时间戳

首页 > 解决方案 > Django RestAPI - 仅允许使用 JWT 身份验证访问用户数据

django - Django RestAPI - 仅允许使用 JWT 身份验证访问用户数据

问题描述

我有以下 API:

模型:

class Todo(models.Model):
    owner = models.ForeignKey(User, on_delete=models.CASCADE)
    name = models.CharField(max_length=20, default="")
    text = models.TextField(max_length=450, default="")
    done = models.BooleanField(default=False)

看法:

class TodoView(viewsets.ModelViewSet):
    serializer_class = TodoSerializer
    permission_classes = [IsAuthenticated]

    def get_queryset(self):
        id = self.request.query_params.get("id")
        queryset = Todo.objects.filter(owner__id=id)
        return queryset

序列化器:

class TodoSerializer(serializers.ModelSerializer):
    class Meta:
        model = Todo
        fields = ("id", "owner", "name", "text", "done")

我使用rest_framework_simplejwt我的令牌和以下路径来接收我的令牌:

path("api/token/", TokenObtainPairView.as_view(), name="token_obtain_pair"),

这是令牌:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ0b2tlbl90eXBlIjoiYWNjZXNzIiwiZXhwIjoxNjE5Mjg4ODAwLCJqdGkiOiJhY2E4MjM5ZGMyZjA0NGE5YWE4NzM3NWZjMDc2NWQ0YSIsInVzZXJfaWQiOjF9.xJ4s971XE0c9iX0Ar1HQSE84u_LbDKLL4iMswYsk2U8

当我在 jwt.io 上对其进行解码时,我可以看到它包含用户 ID:

{
  "token_type": "access",
  "exp": 1619288800,
  "jti": "aca8239dc2f044a9aa87375fc0765d4a",
  "user_id": 1
}

在我的请求http://localhost:8000/todos/?id=1标头中没有令牌的请求不起作用(很好!),但是使用令牌,我也可以访问http://localhost:8000/todos/?id=2这当然是不希望的。我只想访问http://localhost:8000/todos/?id=1user_id来自有效负载的对应)

我怎样才能做到这一点?

标签: djangodjango-rest-frameworkdjango-authentication

解决方案

用这个改变你的get_queryset方法:

def get_queryset(self):
    reque Todo.objects.filter(owner=self.request.user)

现在任何人都只能访问自己的 Todo 记录。

网址应该是这样的http://localhost:8000/todos/<id>

额外:不要owner从客户那里拿走。而是设置自己。如下所示。

class TodoSerializer(serializers.ModelSerializer):
    owner = serializers.HiddenField(default=serializers.CurrentUserDefault())

    class Meta:
        model = Todo
        fields = ("id", "owner", "name", "text", "done")

推荐阅读