Лучшие практики для разрешений / фильтров в Django Rest Framework

Question

Я новичок в DRF и не могу понять, как лучше всего получить доступ только к информации, принадлежащей пользователю. У меня есть вид:

class InvoiceAPIView(generics.ListAPIView):
    serializer_class = InvoiceSerializer
    permission_classes = [permissions.IsAuthenticated]

    def get_queryset(self):
        return Invoice.objects.filter(company__user=self.request.user)

Достаточно ли хорошо, чтобы использовать метод фильтра, или, может быть, я должен добавить пользовательское разрешение или даже перейти к сериализации. Спасибо!

Answer 1

Если вам нужно ограничить список объектов только объектами, принадлежащими текущему пользователю, тогда можно переопределить набор запросов.

Классы разрешений используются для проверки, ну, в общем, разрешений, основанных на уровне представления или объекта. Было бы хорошо использовать разрешения, если вам нужно разрешить всем пользователям видеть все объекты, но только владелец может редактировать определенный объект.