在我的应用程序中,我使用了修改后的User模型以及我需要的另外3个字段。
from django.contrib.auth.models import AbstractUser
from django.db import models
import ldapdb.models
class User(AbstractUser):
cotisant = models.BooleanField(default=False)
nbSessions = models.IntegerField(default=0)
tel = models.CharField(max_length=20, default="")
我希望人们能够更改自己的帐户设置(例如密码,电子邮件,tel,...)。
为此,我有一个这样的序列化器:
from rest_framework import serializers
from django.contrib.auth.hashers import make_password
from coreapp.models import User
class UserSerializer(serializers.ModelSerializer):
class Meta:
model = User
fields = ('username', 'first_name', 'last_name', 'email', 'password', 'cotisant', 'tel')
extra_kwargs = {
# Allow to set pwd, but disallow getting the hash from database
'password': {'write_only': True}
}
def validate_password(self, value: str):
return make_password(value)
这样的观点:
class UserViewSet(viewsets.ModelViewSet):
serializer_class = UserSerializer
permission_classes = (IsSelfOrStaffPermission, TokenHasReadWriteScopeOrCreate,)
lookup_field = 'username'
def get_queryset(self):
current_user = self.request.user
if current_user.is_staff:
user_set = User.objects.all()
else:
user_set = User.objects.filter(username=current_user.username)
query = self.request.query_params.get('q', None)
if not query:
return user_set
return user_set.filter(
Q(username__icontains=query) |
Q(first_name__icontains=query) |
Q(last_name__icontains=query)
)
(这样只允许用户访问自己,除非他是员工)
问题是,要更新nbSessions参数,用户必须在我的某个应用上付款。
如何允许应用设置参数,但不允许用户直接更新?
注意:我有其他应用使用密码凭据流并且是客户端,因此有人可以通过它获得应用令牌。
答案 0 :(得分:1)
如果我正确理解了这个问题,您希望某个字段(nbSessions)可以通过某些第三方应用通过相同的API端点写入,但不能由普通用户写入。
我将如何做:创建两个不同的序列化程序,一个用于第三方应用程序,另一个用于普通用户。
class UserSerializer(serializers.ModelSerializer):
"""
Serializer used by third-party apps.
All fields, including nbSessions, are writeable.
"""
class Meta:
model = User
fields = ('username', 'first_name', 'last_name', 'email', 'password', 'cotisant', 'nbSessions', 'tel')
extra_kwargs = {
'password': {'write_only': True}
}
# ...
class RestrictedUserSerializer(UserSerializer):
"""
Serializer used by regular users.
All fields except nbSessions are writeable.
It inherits from UserSerializer so that common code is not duplicated.
"""
class Meta(BaseUserSerializer.Meta):
read_only_fields = ('nbSessions',)
在这里,正如您所看到的,两个序列化程序之间的唯一区别是read_only_fields中存在RestrictedUserSerializer.Meta属性。
然后在您的视图中,您可以检查您的请求以查看要使用的序列化程序类:
class UserViewSet(viewsets.ModelViewSet):
def get_serializer_class(self):
if is_third_party_app(self.request.user):
return UserSerializer
return RestrictedUserSerializer
# ...
您可以进一步扩展此概念,并为常规用户,第三方应用程序,员工,管理员等提供不同的序列化程序类(可能继承自相同的基类)。每个序列化程序都可以拥有其特定的字段集,验证规则和更新逻辑。
答案 1 :(得分:1)
您必须使用客户端密钥来识别谁正在呼叫您的api。您必须为您的客户生成api密钥。客户将发送这些api密钥作为查询参数,以证明他们是您的批准客户。
例如,您为ios应用生成了令牌abcd。您的ios应用会将请求发送为:https://your-endpoint.com/api/method/?token=abcd
要检查令牌是否正确,您可以创建自定义权限类。
class IsApprovedClientPermission(permissions.BasePermission):
def has_permission(self, request, view):
token = request.query_params.get('token', None)
if request.method not in permissions.SAFE_METHODS:
# custom checks
return token in approved_tokens_list:
return True
您可以在允许请求修改数据之前将此权限类应用于要验证的任何视图。