Почему не мой пароль пользователя модели Django?

Question

Я использую Django REST Framework (DRF) для создания конечной точки, с помощью которой я могу зарегистрировать новых пользователей. Однако, когда я удаляю конечную точку создания POST, новый пользователь сохраняется через сериализатор, но пароль сохраняется в открытом виде в базе данных. Код для моего сериализатора выглядит следующим образом:

from django.contrib.auth import get_user_model 
from rest_framework import serializers 

class UserSerializer(serializers.ModelSerializer): 

    class Meta: 
     model = get_user_model() 
     fields = ['password', 'username', 'first_name', 'last_name', 'email'] 
     read_only_fields = ['is_staff', 'is_superuser'] 
     write_only_fields = ['password'] 

Пожалуйста, обратите внимание, что я использую модель пользователя по умолчанию из пакета Идент Django, и я очень новый для работы с ФПИ! Кроме того, я нашел this question, который предлагает решение, но для этого требуется два взаимодействия с базой данных: я не считаю, что это эффективно, но это может быть неправильным допущением с моей стороны.

Answer 1

Этот вопрос ФПИ будет просто установить значения полей на модель. Поэтому пароль задается в поле пароля и сохраняется в базе данных. Но чтобы правильно установить пароль, вам нужно вызвать метод set_password(), который будет выполнять хеширование.

Существует несколько способов сделать это, но наилучшим способом для rest framework v3 является переопределение методов update() и create() на вашем Serializer.

class UserSerializer(serializers.ModelSerializer): 
    # <Your other UserSerializer stuff here> 

    def create(self, validated_data): 
     password = validated_data.pop('password', None) 
     instance = self.Meta.model(**validated_data) 
     if password is not None: 
      instance.set_password(password) 
     instance.save() 
     return instance 

    def update(self, instance, validated_data): 
     for attr, value in validated_data.items(): 
      if attr == 'password': 
       instance.set_password(value) 
      else: 
       setattr(instance, attr, value) 
     instance.save() 
     return instance 

Две вещи здесь:

1. мы пользователь self.Meta.model, поэтому, если модель изменяется на сериализаторе, он все еще работает (до тех пор, как это имеет set_password метод конечно).
2. мы перебираем по validated_data предметам, а не полям, для учета необязательно exclude ed fields.

Кроме того, эта версия create не сохраняет отношения M2M. Не требуется в вашем примере, но при необходимости его можно добавить. Вам нужно будет вытащить их из dict, сохранить модель и установить их впоследствии.

Answer 2

просто переопределить create and update methods из сериализатором:

def create(self, validated_data): 
     user = get_user_model(**validated_data) 
     user.set_password(validated_data['password']) 
     user.save() 
     return user 

    def update(self, instance, validated_data): 
     for f in UserSerializer.Meta.fields + UserSerializer.Meta.write_only_fields: 
      set_attr(instance, f, validated_data[f]) 
     instance.set_password(validated_data['password']) 
     instance.save() 
     return instance