在django drf中，具有令牌的经过身份验证的用户能否访问其他用户的数据？_Django_Django Rest Framework_Token_Http Token Authentication

在django drf中，具有令牌的经过身份验证的用户能否访问其他用户的数据？

django django-rest-framework

在django drf中，具有令牌的经过身份验证的用户能否访问其他用户的数据？,django,django-rest-framework,token,http-token-authentication,Django,Django Rest Framework,Token,Http Token Authentication,在django drf中，具有令牌的经过身份验证的用户能否访问其他用户的数据？我知道不应该这样，但在我的应用程序中，它不会发生。为了进行测试，我在postman中使用了这个令牌，但当我看到通过使用一个用户令牌，我可以通过更改url中的PK来访问任何其他用户数据时，我感到惊讶。当我在网上研究这个问题时，我找不到任何明确的答案。可能是我错误地使用了令牌身份验证方法但我的主要问题是：若我有一个用户令牌，那个么通过改变url中的pk，我应该能够获得其他用户的数据吗？如果是，如何避免注意：我

在django drf中，具有令牌的经过身份验证的用户能否访问其他用户的数据？我知道不应该这样，但在我的应用程序中，它不会发生。为了进行测试，我在postman中使用了这个令牌，但当我看到通过使用一个用户令牌，我可以通过更改url中的PK来访问任何其他用户数据时，我感到惊讶。当我在网上研究这个问题时，我找不到任何明确的答案。可能是我错误地使用了令牌身份验证方法

但我的主要问题是：若我有一个用户令牌，那个么通过改变url中的pk，我应该能够获得其他用户的数据吗？如果是，如何避免

注意：我目前没有使用HTTPS。

这也是一个概念性的问题，所以在得到答案后，我可能需要问另一个关于代码错误的问题；我会的。但是请回答这个问题。

否。如果发生这种情况，则意味着您以错误的方式实施身份验证

确保设置为“rest\u framework.authentication.TokenAuthentication”

并在已安装的应用程序中包含“rest\u framework.authtoken”

如果用于发送用户数据的视图只有已验证的权限类，则此行为是可以预期的。您需要做的是实现另一个权限isOwner，它检查请求数据的用户是否是其所有者