Désactiver une méthode dans un ViewSet, django-rest-framework

ViewSets ont des méthodes automatiques pour lister, récupérer, créer, mettre à jour, supprimer, ...

Je voudrais désactiver certains d'entre eux, et la solution que j'ai proposée n'est probablement pas la bonne, car les OPTIONSindique toujours comme autorisés.

Une idée sur la manière de procéder de la bonne manière?

class SampleViewSet(viewsets.ModelViewSet):
    queryset = api_models.Sample.objects.all()
    serializer_class = api_serializers.SampleSerializer

    def list(self, request):
        return Response(status=status.HTTP_405_METHOD_NOT_ALLOWED)
    def create(self, request):
        return Response(status=status.HTTP_405_METHOD_NOT_ALLOWED)

La définition de ModelViewSetest:

class ModelViewSet(mixins.CreateModelMixin, 
                   mixins.RetrieveModelMixin, 
                   mixins.UpdateModelMixin,
                   mixins.DestroyModelMixin,
                   mixins.ListModelMixin,
                   GenericViewSet)

Alors plutôt que d'étendre ModelViewSet, pourquoi ne pas simplement utiliser ce dont vous avez besoin? Donc par exemple:

from rest_framework import viewsets, mixins

class SampleViewSet(mixins.RetrieveModelMixin,
                    mixins.UpdateModelMixin,
                    mixins.DestroyModelMixin,
                    viewsets.GenericViewSet):
    ...

Avec cette approche, le routeur ne doit générer des routes que pour les méthodes incluses.

Référence :

ModelViewSet

Vous pouvez continuer à utiliser viewsets.ModelViewSetet à définir http_method_namessur votre ViewSet.

Exemple

class SampleViewSet(viewsets.ModelViewSet):
    queryset = api_models.Sample.objects.all()
    serializer_class = api_serializers.SampleSerializer
    http_method_names = ['get', 'post', 'head']

Une fois que vous avez ajouté http_method_names, vous ne pourrez plus faire putet patchplus.

Si tu veux putmais ne veux pas patch, tu peux garderhttp_method_names = ['get', 'post', 'head', 'put']

En interne, les vues DRF s'étendent de Django CBV. Django CBV a un attribut appelé http_method_names. Vous pouvez donc également utiliser http_method_names avec les vues DRF.

[Shameless Plug]: Si cette réponse vous a été utile, vous aimerez ma série d'articles sur DRF à l' adresse https://www.agiliq.com/blog/2019/04/drf-polls/ .

Bien que cela fasse un moment pour cet article, j'ai soudainement découvert que c'était en fait un moyen de désactiver ces fonctions, vous pouvez le modifier directement dans le fichier views.py.

Source: https://www.django-rest-framework.org/api-guide/viewsets/#viewset-actions

from rest_framework import viewsets, status
from rest_framework.response import Response

class NameWhateverYouWantViewSet(viewsets.ModelViewSet):

    def create(self, request):
        response = {'message': 'Create function is not offered in this path.'}
        return Response(response, status=status.HTTP_403_FORBIDDEN)

    def update(self, request, pk=None):
        response = {'message': 'Update function is not offered in this path.'}
        return Response(response, status=status.HTTP_403_FORBIDDEN)

    def partial_update(self, request, pk=None):
        response = {'message': 'Update function is not offered in this path.'}
        return Response(response, status=status.HTTP_403_FORBIDDEN)

    def destroy(self, request, pk=None):
        response = {'message': 'Delete function is not offered in this path.'}
        return Response(response, status=status.HTTP_403_FORBIDDEN)

Si vous essayez de désactiver la méthode PUT à partir d'un ensemble de vues DRF, vous pouvez créer un routeur personnalisé:

from rest_framework.routers import DefaultRouter

class NoPutRouter(DefaultRouter):
    """
    Router class that disables the PUT method.
    """
    def get_method_map(self, viewset, method_map):

        bound_methods = super().get_method_map(viewset, method_map)

        if 'put' in bound_methods.keys():
            del bound_methods['put']

        return bound_methods

En désactivant la méthode sur le routeur, la documentation de votre schéma d'API sera correcte.

Comment désactiver la méthode "DELETE" pour ViewSet dans DRF

class YourViewSet(viewsets.ModelViewSet):
    def _allowed_methods(self):
        return [m for m in super(YourViewSet, self)._allowed_methods() if m not in ['DELETE']]

PS Ceci est plus fiable que de spécifier explicitement toutes les méthodes nécessaires, il y a donc moins de chance d'oublier certaines des méthodes importantes OPTIONS, HEAD, etc.

PPS par défaut DRF a http_method_names = ['get', 'post', 'put', 'patch', 'delete', 'head', 'options', 'trace']

Dans Django Rest Framework 3.xx, vous pouvez simplement activer chaque méthode pour laquelle vous souhaitez activer ModelViewSet, en passant un dictionnaire à as_viewmethod. Dans ce dictionnaire, la clé doit contenir le type de requête (GET, POST, DELETE, etc.) et la valeur doit contenir le nom de la méthode correspondante (lister, récupérer, mettre à jour, etc.). Par exemple, disons que vous voulez que le Samplemodèle soit créé ou lu mais que vous ne voulez pas qu'il soit modifié. Donc , cela signifie que vous voulez list, retrieveet la createméthode pour être permettre (et vous voulez que les autres sont désactivés.)

Tout ce que vous avez à faire est d'ajouter des chemins pour urlpatternsaimer ceux-ci:

path('sample/', SampleViewSet.as_view({
    'get': 'list',
    'post': 'create'
})),
path('sample/<pk>/', SampleViewSet.as_view({  # for get sample by id.
    'get': 'retrieve'
}))

Comme vous pouvez le voir il n'y a pas deleteet putdemande au- dessus des paramètres de routage, donc par exemple si vous envoyez une putdemande à l'URL, il vous réponse avec 405 Method Not Allowed:

{
    "detail": "Method \"PUT\" not allowed."
}

Si vous prévoyez de désactiver les méthodes put / post / destroy, vous pouvez utiliser

viewsets.ReadOnlyModelViewSet https://www.django-rest-framework.org/tutorial/6-viewsets-and-routers/#refactoring-to-use-viewsets