我正在使用django-rest-framework。它提供了一个很棒的Django admin样式可浏览的自我记录API。但是任何人都可以访问这些页面并使用该界面添加数据(POST)。如何禁用它?
Answers:
您只需要从视图的受支持渲染器列表中删除可浏览的API渲染器即可。
通常:
REST_FRAMEWORK = {
'DEFAULT_RENDERER_CLASSES': (
'rest_framework.renderers.JSONRenderer',
)
}每次观看的基础:
class MyView(...):
renderer_classes = [renderers.JSONRenderer]除了:
在许多情况下,我认为人们在任何情况下都选择禁用可浏览的API是很可惜的,因为这对使用该API的任何开发人员都是很大的帮助,并且它没有给他们更多的权限。我可以看到在某些情况下这样做可能有商业原因,但通常我认为这是一项巨大的资产。尽管在某些情况下,可能会显示一些非公共API可能不想显示的详细信息(例如自定义操作的名称)。
另请参阅以下答案,以获取有关限制可浏览API渲染器进行开发的更多详细信息。
it's a big aid to any developers working on the API。他们不应该有用于开发和生产的设置文件吗?在开发中启用可浏览的API。
虽然这个问题的公认答案确实回答了措辞上的问题,但我认为它不能解决眼前的实际问题。
为了完整起见,禁用可浏览HTML api的方法是将其从渲染器类中删除,如下所示:
REST_FRAMEWORK = {
'DEFAULT_RENDERER_CLASSES': (
'rest_framework.renderers.JSONRenderer',
)
}但是,问题所隐含的实际问题是人们无需身份验证就能发布到API。尽管删除该表单使其不那么明显,但此答案不能保护API端点。
至少,有人会发现此问题,并希望保护API免遭未经身份验证或未经授权的POST提交;他们正在寻求更改API权限
除非用户通过身份验证,否则以下内容将所有端点设置为只读。
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.IsAuthenticatedOrReadOnly',
)
}如果您想完全隐藏API,除非用户已登录,也可以使用IsAuthenticated。
仅供参考:由于该表单会响应权限,因此也会从HTML可浏览API中删除该表单。经过身份验证的用户登录后,该表单将再次可用。
奖励回合:
仅在dev中启用可浏览的HTML API:
DEFAULT_RENDERER_CLASSES = (
'rest_framework.renderers.JSONRenderer',
)
if DEBUG:
DEFAULT_RENDERER_CLASSES = DEFAULT_RENDERER_CLASSES + (
'rest_framework.renderers.BrowsableAPIRenderer',
)
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.IsAuthenticatedOrReadOnly',
),
'DEFAULT_RENDERER_CLASSES': DEFAULT_RENDERER_CLASSES
}REST_FRAMEWORK['DEFAULT_RENDERER_CLASSES'].append('rest_framework.renderers.BrowsableAPIRenderer')