我使用的是Django 3.2和djangorestframework==3.12.2我最近将此添加到我的设置文件中,因为我想为我的应用程序添加一些安全端点…
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': [
'rest_framework.permissions.IsAuthenticated',
'rest_framework.permissions.IsAdminUser',
],
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
)
}
JWT_AUTH = {
# how long the original token is valid for
'JWT_EXPIRATION_DELTA': datetime.timedelta(hours=1),
}
然而,这似乎导致我所有的端点都需要身份验证。例如,我在views.py文件
中设置了这个视图class CoopList(APIView):
"""
List all coops, or create a new coop.
"""
def get(self, request, format=None):
contains = request.GET.get("contains", "")
if contains:
coops = Coop.objects.find(
partial_name=contains,
enabled=True
)
else:
partial_name = request.GET.get("name", "")
enabled_req_param = request.GET.get("enabled", None)
enabled = enabled_req_param.lower() == "true" if enabled_req_param else None
city = request.GET.get("city", None)
zip = request.GET.get("zip", None)
street = request.GET.get("street", None)
state = request.GET.get("state", None)
coop_types = request.GET.get("coop_type", None)
types_arr = coop_types.split(",") if coop_types else None
coops = Coop.objects.find(
partial_name=partial_name,
enabled=enabled,
street=street,
city=city,
zip=zip,
state_abbrev=state,
types_arr=types_arr
)
serializer = CoopSearchSerializer(coops, many=True)
return Response(serializer.data)
可以在我的urls.py文件中使用
访问path('coops/', views.CoopList.as_view()),
但是现在当我尝试调用它时,我得到了下面的响应
{"detail":"Authentication credentials were not provided."}
我只希望某些视图/端点安全。如何设置所有视图都是可访问的默认值,并使用提供的JWT只指定要验证的一些视图/端点?
'DEFAULT_PERMISSION_CLASSES'通常应用于所有视图,除非手动覆盖。在你的例子中和列出的权限要求对用户进行身份验证。仅供参考,该列表以OR方式进行评估。
如果你想在默认情况下允许每个人,只收紧特定的视图,你想设置
'DEFAULT_PERMISSION_CLASSES': ['rest_framework.permissions.AllowAny']
,它不需要对用户进行身份验证。然后在视图上显式地设置更严格的权限(例如permissions_classes = [IsAuthenticated]),DEFAULT_AUTHENTICATION_CLASS可以保持原样。
注意:通常建议用另一种方式来做。很容易意外地暴露这样一个不安全的端点,并可能在您的API中创建安全漏洞。默认值应该是安全的,然后应该手动解除异常。
在settings.py
中设置以下配置'DEFAULT_PERMISSION_CLASSES': [
'rest_framework.permissions.IsAuthenticated',
]
对于基于类的视图,可以将权限类设置为空列表。
class CoopList(APIView):
permission_classes = []
def get(self, request, format=None):
pass
对于基于函数的视图,添加装饰器@permission_classes
from rest_framework.decorators import permission_classes
@permission_classes([])
def CoopList(request, format=None):
pass