django - 如何在一个类 View 中设置多个权限，取决于http请求

Question

我正在使用 django-rest-framework。我遇到的问题是 POST 和 GET 方法的 url 是相同的，但我希望根据调用的方法具有不同的权限。现在我正在使用基于类的 View ，我无法弄清楚如何根据方法设置不同的权限。我想要的是，如果用户是 POST 和 GET 的管理员，如果用户经过身份验证而不是只能 GET，并且如果用户未经过身份验证，他们将无法执行任何操作。

class CategoryList(generics.ListCreateAPIView):
    queryset = QuestionCategory.objects.all()
    serializer_class = QuestionCategorySerializer
    permission_classes = (permissions.IsAuthenticated,)

Answer 1

只是一个更新。

您可以覆盖“get_permissions”而不是“get_queryset”。

例如:

def get_permissions(self):
    if self.request.method == 'GET':
        return [permissions.AllowAny()]
    elif self.request.method == 'DELETE':
        return [permissions.IsAdminUser()]
    else:  # PUT, PATCH
        return [...]

请注意，'get_permission' 返回权限实例列表，而不是类。