django - Django RestAPI - 仅允许使用 JWT 身份验证访问用户数据
问题描述
我有以下 API:
模型:
class Todo(models.Model):
owner = models.ForeignKey(User, on_delete=models.CASCADE)
name = models.CharField(max_length=20, default="")
text = models.TextField(max_length=450, default="")
done = models.BooleanField(default=False)
看法:
class TodoView(viewsets.ModelViewSet):
serializer_class = TodoSerializer
permission_classes = [IsAuthenticated]
def get_queryset(self):
id = self.request.query_params.get("id")
queryset = Todo.objects.filter(owner__id=id)
return queryset
序列化器:
class TodoSerializer(serializers.ModelSerializer):
class Meta:
model = Todo
fields = ("id", "owner", "name", "text", "done")
我使用rest_framework_simplejwt
我的令牌和以下路径来接收我的令牌:
path("api/token/", TokenObtainPairView.as_view(), name="token_obtain_pair"),
这是令牌:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ0b2tlbl90eXBlIjoiYWNjZXNzIiwiZXhwIjoxNjE5Mjg4ODAwLCJqdGkiOiJhY2E4MjM5ZGMyZjA0NGE5YWE4NzM3NWZjMDc2NWQ0YSIsInVzZXJfaWQiOjF9.xJ4s971XE0c9iX0Ar1HQSE84u_LbDKLL4iMswYsk2U8
当我在 jwt.io 上对其进行解码时,我可以看到它包含用户 ID:
{
"token_type": "access",
"exp": 1619288800,
"jti": "aca8239dc2f044a9aa87375fc0765d4a",
"user_id": 1
}
在我的请求http://localhost:8000/todos/?id=1
标头中没有令牌的请求不起作用(很好!),但是使用令牌,我也可以访问http://localhost:8000/todos/?id=2
这当然是不希望的。我只想访问http://localhost:8000/todos/?id=1
(user_id
来自有效负载的对应)
我怎样才能做到这一点?
解决方案
用这个改变你的get_queryset
方法:
def get_queryset(self):
reque Todo.objects.filter(owner=self.request.user)
现在任何人都只能访问自己的 Todo 记录。
网址应该是这样的http://localhost:8000/todos/<id>
额外:不要owner
从客户那里拿走。而是设置自己。如下所示。
class TodoSerializer(serializers.ModelSerializer):
owner = serializers.HiddenField(default=serializers.CurrentUserDefault())
class Meta:
model = Todo
fields = ("id", "owner", "name", "text", "done")
推荐阅读
- javascript - 来自 redux 操作的 PUT 请求不起作用
- python - 如何使用 Python 将字节数组 b'2\x000\x006\x000\x000\x000\x00\x04\x04\x04\x04' 转换为可读字符串“20600”?
- django - 返回错误列表时出现问题
- android - 如何在搜索结果recycleview中添加空视图?
- firebase - Firebase/Google 分析与 Firebase 功能共享
- python - Librosa Mel-频谱图对数形状
- javascript - AngularJS ngClass 附加动态类的条件?
- mysql - 第 18 行的错误 1227 (42000):访问被拒绝,MYSQL 8 导入表
- java - 无法识别的选项:Java 独立项目、VSCode 中显示的 -ea、--enable-preview 错误
- java - gui的问题