Ich lerne Django + DRF + Reagieren und ich erreichte die Phase, in der es Zeit ist, einige Endpunkte zu schützen. Einige sind einfacher zu schützen, nur eine Erlaubnis, so dass nur der Benutzer, der ein bestimmtes Objekt (und die Admins) erstellt hat, es sehen kann. Es gibt einen Endpunkt, der für mich schwierig ist. Es ist ein GET Anruf und gibt so etwas wie:Django Rest Framework - der beste Weg zu einem Endpunkt?
{book: "Who am I and how come",
id: "whatever31",
reading: ["user1", "user2"]}
Ich möchte diesen Endpunkt schützen auf der Grundlage der Benutzer die Anforderung (Session auth) zu machen, so können nur Gespräche von user1
und user2
kommt dieses Objekt zugreifen kann (auch nicht auszusetzen reading
Feld, aber das ist wahrscheinlich eine andere Diskussion). Sollte ich eine benutzerdefinierte Berechtigung für die DRF-Ansicht verwenden? Sollte ich stattdessen einen Filter in queryset
Methode verwenden? Vielleicht beide?
Haben Sie in schauen auf dem Controller einen Dekorateur zu schaffen? Klingt so, als wäre das der richtige Ort dafür. http://stackoverflow.com/questions/5469159/how-to-write-a-custom-decorator-in-django – KVISH