Django Rest Framework:最佳实践?

时间:2014-05-18 23:54:30

标签: django django-rest-framework

我想知道关于Django Rest Framework的最佳实践。我通过使用每个用户使用不同的序列化程序(员工与帐户所有者与其他任何人)和HTTP方法限制访问更改帐户的某些属性,但我觉得这太过于unpythonic

这是完成分离"权限的最佳方式吗?更改对象的不同字段?或者是否有一种更好,更pythonic的方式来完成我目前以这种方式做的事情?

接受以下代码的任何批评都被接受,因为我觉得我已经削减了一些角落。

非常感谢。

from rest_framework import serializers, viewsets
from rest_framework.permissions import SAFE_METHODS
from accounts.models import User
from cpapi.permissions import *


class UserSerializer(serializers.HyperlinkedModelSerializer):
    class Meta:
        model = User
        fields = ('id', 'url', 'username', 'password')
        write_only_fields = ('password',)

    def restore_object(self, attrs, instance=None):
        user = super(UserSerializer, self).restore_object(attrs, instance)
        if 'password' in attrs.keys():
            user.set_password(attrs['password'])
        return user

class UserDetailsSerializer(UserSerializer):
    class Meta(UserSerializer.Meta):
        fields = ('id', 'url', 'username', 'password', 'email')

class UserListSerializer(UserSerializer):
    class Meta(UserSerializer.Meta):
        fields = ('id', 'url', 'username')

class UserWithoutNameSerializer(UserSerializer):
    class Meta(UserSerializer.Meta):
        fields = ('id', 'url', 'password', 'email')


class UserViewSet(viewsets.ModelViewSet):
    """
    API endpoint that allows users to be viewed or edited.
    """
    serializer_class = UserSerializer
    model = User

    def get_serializer_class(self): # Modify to allow different information for different access (userlist vs staff)
        serializer_class = self.serializer_class
        if 'List' in self.get_view_name():
            serializer_class = UserListSerializer
        elif self.request.method in ['PUT', 'PATCH']:
            serializer_class = UserWithoutNameSerializer
        elif self.get_object() == self.request.user or self.request.user.is_staff:
            serializer_class = UserDetailsSerializer
        return serializer_class

    def get_permissions(self):
        if self.request.method in SAFE_METHODS or self.request.method == 'POST':
            return [AllowAny()]
        elif self.request.method == 'DELETE':
            return [IsAdminUser()]
        else:
            return [IsStaffOrTargetUser()]

1 个答案:

答案 0 :(得分:1)

如果我理解你想要的是每个字段的权限,而不是Django和Django-REST-Framework直接支持它们。您可以安装像Django Fine-Grained Permissions这样的软件包,但是您将无法使用相同的解决方案,因为无法将这些权限发送到REST API视图。

我建议您坚持使用您的解决方案,或将序列化程序选择逻辑放在一个包含所有字段的序列化程序中,并将角色传递给构造函数,并让序列化程序根据它构建字段列表,但是要使它工作,你需要编写自己的Serializer子类。

相关问题
最新问题