В вашем permissions.py (создать, если не существует)
class MyPermisssion(BasePermission):
def has_permission(self, request, view):
if request.method in SAFE_METHODS or request.user.is_stuff:
return True
return False
В твоих views.py
class ExampleView(APIView):
permission_classes = (MyPermisssion,)
...
Подробнее о разрешениях: https://www.django -rest-framework.org / api-guide / permissions /