Как обезопасить страницу в django rest framework?

Question

[sortfact333]

Я хочу ограничеть пользователя в том что он может изменять, добавлять, удалять
только посты которые записаны только на его имя.
Ну или полностью скрыть все ссылки и иметь возможность получать информацию только из requests

headers = {'Authorization': 'Token ' + '4eeef4bfe6707e87eb8fea3e14f00a7bbfa48950'}
requests.post(url, data=data2, headers=headers)

Как мне правильно это сделать?

Answer 1

[Сергей Тихонов]

только посты которые записаны только на его имя.

Достаточно переопределить get_queryset() во ViewSet, либо написать пермишн, который проверит владельца объекта.

полностью скрыть все ссылки

Отключите APIView и не используйте стандартный пагинатор и URLField.

иметь возможность получать информацию только из requests

Проверяйте заголовок user-agent, но учитывайте, что его можно хоть подделать тем же requests.

Comments

[sortfact333]

Достаточно переопределить get_queryset() во ViewSet, либо написать пермишн, который проверит владельца объекта.

А могу я использовать get_queryset() в ModelViewSet?

class UserViewSet(viewsets.ModelViewSet):
	serializer_class = UserSerializer
	filter_backends = [DjangoFilterBackend,]
	filterset_fields = ['email', 'username']
	permission_classes = [permissions.IsAuthenticated]
	queryset = User.objects.all()

urlpatterns = [
	path('user/<int:pk>', views.UserViewSet.as_view({
		'get_queryset': 'get_queryset',
		'get': 'retrieve',
	})),
	]

Отключите APIView и не используйте стандартный пагинатор и URLField.

А что мне тогда использовать? И будет ли после этого работать requests?

[Сергей Тихонов]

sortfact333, можете использовать get_queryset() в ModelViewSet, я разрешаю

А что мне тогда использовать? И будет ли после этого работать requests?

И html-представление API, и пагинатор, и URLField добавляют так или иначе ссылки на страницы или в ответы API. Если Вы хотите жить без ссылок - не вставляйте их. И да, requests работать будет, ему на ссылки пофиг.