我想拥有一个API,用户可以在其中更新自己的列表。当前,任何经过身份验证的用户都可以更新我使用Postman找到的任何列表。我想验证用户,以便在用户不尝试更新自己的列表时API返回错误作为响应。这是我的代码:
# serializers.py
class ListingSerializer(serializers.ModelSerializer):
class Meta:
model = Listing
fields = '__all__'
# api.py
class ListingViewSet(ModelViewSet):
permission_classes = [IsAuthenticatedOrReadOnly]
serializer_class = ListingSerializer
def get_queryset(self):
return Listing.objects.all()
def perform_create(self, serializer):
serializer.save(owner=self.request.user)
# urls.py
router = routers.DefaultRouter()
router.register('api/listings', ListingViewSet, 'listings')
urlpatterns = router.urls
答案 0 :(得分:1)
您只需要覆盖perform_update函数:
def perform_update(self, serializer):
obj = self.get_object()
if self.request.user != obj.created_by: # Or how ever you validate
raise PermissionDenied('User is not allowed to modify listing')
serializer.save()
您将需要:
from django.core.exceptions import PermissionDenied
答案 1 :(得分:0)
您可以为所有方法更改主查询集限制对象。在这种情况下,如果不适当的用户尝试访问无效的对象,则api返回404。
def get_queryset(self):
return Listing.objects.filter(owner=self.request.user)