Django adminのカスタマイズでログインした状態のみAPIのエンドポイントを公開する方法

2020年9月4日

今回はDjango adminのカスタマイズでログインした状態のみAPIのエンドポイントを公開する方法についてご紹介いたします。

Django adminのカスタマイズでログインした状態のみAPIのエンドポイントを公開する方法

Django adminのカスタマイズを行っているときのことです。

@admin.registerのデコレーターを使ってget_urlsからAPIのエンドポイントを作成したものの、普通にソースコードを書いただけではログインしてる、してないに関わらずAPIを発行できてしまうことに気付きました。

サンプルプログラムは下記の通りです。

@admin.register(User)
class AdminUserAdmin(UserAdmin):

    list_display = ('username', 'email', 'testlist')
    change_list_template = 'admin/account/User/change_list.html'
    
    def get_urls(self):
        urls = super().get_urls()
        extra_urls = [
            path('test/api', SampleUserView.as_view()),
        ]
        return extra_urls + urls

@admin.register(User)

class AdminUserAdmin(UserAdmin):

list_display = ('username', 'email', 'testlist')

change_list_template = 'admin/account/User/change_list.html'

def get_urls(self):

urls = super().get_urls()

extra_urls = [

path('test/api', SampleUserView.as_view()),

]

return extra_urls + urls

上記のextra_urlsに書かれているtest/apiが今回私が作成したAPIですね。
普通に上記を書いただけだと、例えば
http://localhost/admin/test/user/test/api
のエンドポイントを叩いたときにDjango adminにログインしている、していないに関わらずresponseが返ってきてしまいます。

Django adminはセッションでログイン状態を保持しているらしく、最初はセッション認証周りをかなり調べていました。

実は、簡単にDjango adminにログインしたときのみカスタマイズしたAPIのエンドポイントを叩くことができるようになるのです。

上記のソースコードの例では、下記のようにpathの二番目の引数に対してself.admin_site.admin_viewで囲ってやればOKです。

@admin.register(User)
class AdminUserAdmin(UserAdmin):
 
    list_display = ('username', 'email', 'testlist')
    change_list_template = 'admin/account/User/change_list.html'
    
    def get_urls(self):
        urls = super().get_urls()
        extra_urls = [
            path('test/api', self.admin_site.admin_view(SampleUserView.as_view())),
        ]
        return extra_urls + urls