0

我正在使用 Django 3.2 和 djangorestframework==3.12.2。我最近将此添加到我的设置文件中,因为我想向我的应用程序添加一些安全端点...

REST_FRAMEWORK = {
    'DEFAULT_PERMISSION_CLASSES': [
         'rest_framework.permissions.IsAuthenticated',
         'rest_framework.permissions.IsAdminUser',
         ],
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
    )
}

JWT_AUTH = {
    # how long the original token is valid for
    'JWT_EXPIRATION_DELTA': datetime.timedelta(hours=1),

}

但是,这似乎导致我所有的端点都需要身份验证。例如,我在 views.py 文件中设置了这个视图

class CoopList(APIView):
    """
    List all coops, or create a new coop.
    """
    def get(self, request, format=None):
        contains = request.GET.get("contains", "")
        if contains:
            coops = Coop.objects.find(
                partial_name=contains,
                enabled=True
            )
        else:
            partial_name = request.GET.get("name", "")
            enabled_req_param = request.GET.get("enabled", None)
            enabled = enabled_req_param.lower() == "true" if enabled_req_param else None
            city = request.GET.get("city", None)
            zip = request.GET.get("zip", None)
            street = request.GET.get("street", None)
            state = request.GET.get("state", None)
            coop_types = request.GET.get("coop_type", None)
            types_arr = coop_types.split(",") if coop_types else None

            coops = Coop.objects.find(
                partial_name=partial_name,
                enabled=enabled,
                street=street,
                city=city,
                zip=zip,
                state_abbrev=state,
                types_arr=types_arr
            )
        serializer = CoopSearchSerializer(coops, many=True)
        return Response(serializer.data)

在我的 urls.py 文件中使用

path('coops/', views.CoopList.as_view()),

但是现在当我尝试打电话时,我得到以下响应

{"detail":"Authentication credentials were not provided."}

我只希望保护某些视图/端点。如何默认所有视图都可以访问,并且只指定一些视图/端点以使用提供的 JWT 进行验证?

4

2 回答 2

0

在 settings.py 中设置以下配置

'DEFAULT_PERMISSION_CLASSES': [
   'rest_framework.permissions.IsAuthenticated',
]

对于基于类的视图,您可以将权限类设置为空列表。

class CoopList(APIView):
    permission_classes = []
  
    def get(self, request, format=None):
        pass

对于基于函数的视图,添加装饰器 @permission_classes

from rest_framework.decorators import permission_classes

@permission_classes([])
def CoopList(request, format=None):
    pass
于 2021-10-11T19:41:10.470 回答
0

'DEFAULT_PERMISSION_CLASSES'方便地应用于所有视图,除非手动覆盖。在您的情况下,列出的两个权限都需要对用户进行身份验证。仅供参考,该列表以一种OR方式进行评估。

如果你想默认允许所有人并且只收紧特定视图,你想设置

'DEFAULT_PERMISSION_CLASSES': ['rest_framework.permissions.AllowAny']

这不需要用户进行身份验证。然后在视图上显式设置更严格的权限(例如permissions_classes = [IsAuthenticated]DEFAULT_AUTHENTICATION_CLASS可以保持原样。

注意:通常建议反其道而行之。像这样意外暴露不安全的端点很容易,并可能在您的 API 中造成安全漏洞。默认值应该是安全的,然后应该手动解除异常。

于 2021-10-11T16:56:43.630 回答