Как бы вы поступили с защитой DefaultRouter()
, чтобы пользователь не мог просматривать корень API, если он не вошел в систему?
class OrderViewSet(viewsets.ReadOnlyModelViewSet):
permission_classes = (permissions.IsAuthenticated)
queryset = Order.objects.all()
serializer_class = OrderSerializer
router = routers.DefaultRouter()
router.register(r'orders', views.OrderViewSet)
urlpatterns = [
url(r'^', include(router.urls)),
url(r'^auth/', include('rest_framework.urls')),
]
project.urls.py
# API
url(r'^api/', include(api_urls)),
Вы можете добавить классы разрешений по умолчанию в свой файл settings.py:
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.IsAuthenticated',
)
}
Это сработало для меня! Для тех, кто использует DRF с JWT, обязательно укажите это перед DEFAULT_AUTHENTICATION_CLASSES
: REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.IsAuthenticated', ), 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_simplejwt.authentication.JWTAuthentication', ) }
Я обновил исходный вопрос более подробно. После добавления
DEFAUL_PERMISSION_CLASSES
API Root все еще виден при посещении 127.0.0.1:8000/api/