我在玩djangorestframework
,我的目标是在我的视图上使用DjangoModelPermissions
,它对GET
请求做出反应。官方文档说:Django Rest Framework在ListAPIView上使用DjangoModelPermissions
默认行为也可以覆盖以支持自定义模型 权限。例如,您可能需要为
GET
请求包含view
模型 权限。
所以我修改我的模型如下所示:
class User(AbstractUser):
display_name = models.CharField(_('Display Name'), blank=True, max_length=255)
class Meta:
permissions = (
("view_user", "Can view users"),
)
def __str__(self):
return self.username
和视图:
class UserListAPIView(ListAPIView):
queryset = User.objects.all()
serializer_class = UserSerializer
permission_classes = (permissions.DjangoModelPermissions,)
设置:
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework.authentication.SessionAuthentication',
'rest_framework.authentication.TokenAuthentication',
),
'DEFAULT_PERMISSION_CLASSES': [
'rest_framework.permissions.DjangoModelPermissions'
]
}
问题是,我实施的UserListAPIView
成功返回一个不属于Group
的用户的所有对象的列表,既没有任何自定义User Permission
。在我看来,DjangoModelPermissions
不起作用。
class CustomDjangoModelPermission(permissions.DjangoModelPermissions):
def __init__(self):
self.perms_map['GET'] = ['%(app_label)s.view_%(model_name)s']
哦,我想我必须自己实现它:https://github.com/encode/django-rest-framework/blob/master/rest_framework/permissions.py#L91任何帮助在这里将不胜感激。 –