Django REST Framework 中实现用户资料更新的完整实践指南
本文详解如何在 drf 中正确实现基于 token 认证的用户资料(如 first_name)更新功能,涵盖序列化器逻辑修正、视图层数据绑定、权限与认证配置,并指出原始代码中 create() 方法误用、request.auth 访问时机错误等关键问题。
本文详解如何在 drf 中正确实现基于 token 认证的用户资料(如 first_name)更新功能,涵盖序列化器逻辑修正、视图层数据绑定、权限与认证配置,并指出原始代码中 create() 方法误用、request.auth 访问时机错误等关键问题。
在 Django REST Framework(DRF)中实现用户资料更新,绝非仅靠定义序列化器和视图即可完成——尤其当涉及认证上下文(如 TokenAuthentication)时,数据流向、对象绑定与状态一致性必须精准把控。原始代码存在多个典型误区:ProfileSerializer.create() 被错误用于更新场景(create 仅适用于新建对象),且在 create() 内尝试访问 validated_data.auth(该字段根本不存在于 validated_data 中);同时,视图中虽调用 serializer.is_valid(),却未调用 serializer.save() 或手动更新模型实例,导致数据“校验通过但未持久化”。
✅ 正确实现路径:分离职责,明确语义
首先,应区分「创建」与「更新」行为。用户资料修改属于 partial update,推荐使用 update() 方法而非 create()。同时,request.auth 是认证成功后由 DRF 注入的 Token 实例,只能在视图方法内、认证通过后访问,不可在序列化器方法中假设其存在。
以下是优化后的完整实现:
1. 修正 serializers.py
from rest_framework import serializers
from django.contrib.auth.models import User # 注意:此处应与 CustomUser 一致;若使用自定义用户模型,请替换为对应类
class ProfileSerializer(serializers.ModelSerializer):
class Meta:
model = User # 或 CustomUser,需确保与实际模型一致
fields = ('first_name',) # 可扩展为 email、last_name 等
read_only_fields = ('id',) # 防止客户端篡改主键
def update(self, instance, validated_data):
# instance 是当前登录用户对象(由视图传入)
instance.first_name = validated_data.get('first_name', instance.first_name)
instance.save()
return instance
⚠️ 注意:update() 方法接收 instance(待更新的对象)和 validated_data(已校验的数据),这是 DRF 更新逻辑的标准契约。
稿定AI
拥有线稿上色优化、图片重绘、人物姿势检测、涂鸦完善等功能
2. 重构 views.py —— 显式获取并更新用户
from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework import status, permissions
from rest_framework.authentication import TokenAuthentication
from django.contrib.auth.models import User
from .serializers import ProfileSerializer
class ProfileAPIView(APIView):
serializer_class = ProfileSerializer
permission_classes = [permissions.IsAuthenticated] # ✅ 强烈建议改为 IsAuthenticated
authentication_classes = [TokenAuthentication]
def post(self, request):
# request.user 即认证后的用户对象,安全可靠
user = request.user
serializer = ProfileSerializer(user, data=request.data, partial=True)
if serializer.is_valid(raise_exception=True):
serializer.save() # 触发 ProfileSerializer.update()
return Response({"msg": "Profile updated successfully"}, status=status.HTTP_200_OK)
return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)
✅ 关键改进:
- 使用 permissions.IsAuthenticated 替代 AllowAny,防止未认证用户滥用接口;
- 直接传入 request.user 作为 instance,避免重复查库(如 Token.objects.get(...));
- 采用 partial=True 支持单字段更新(如仅提交 {"first_name": "Alice"});
- 调用 serializer.save(),真正触发 update() 逻辑。
3. (可选)更简洁方案:使用 UpdateAPIView
若无需自定义逻辑,DRF 内置的通用视图可大幅简化代码:
from rest_framework.generics import UpdateAPIView
class ProfileAPIView(UpdateAPIView):
serializer_class = ProfileSerializer
permission_classes = [permissions.IsAuthenticated]
authentication_classes = [TokenAuthentication]
def get_object(self):
return self.request.user
? 重要注意事项
- 模型一致性:确保 ProfileSerializer.Meta.model 与项目实际用户模型(CustomUser 或 User)严格匹配,否则会引发 AttributeError 或静默失败。
- Token 认证前提:前端请求头必须携带 Authorization: Token ,否则 request.auth 为 None,request.user 将是匿名用户。
- 字段验证:如需对 first_name 做长度或格式限制,可在 ProfileSerializer 中添加 validators 或重写字段定义。
- 安全性增强:生产环境应配合 CSRF 保护(TokenAuthentication 通常用于 API 场景,可忽略 CSRF)、速率限制及敏感字段白名单控制。
通过以上重构,你将获得一个健壮、符合 DRF 设计哲学、易于维护的用户资料更新接口——它不再依赖脆弱的 Token.objects.get() 查询,不混淆 create/update 语义,且充分利用框架提供的认证上下文与序列化生命周期。
如非特殊说明,本站内容均来自于网友自主分享,如有任何问题均请联系我们进行处理!
猜您喜欢
《绝区零》3.0版本更新内容一览
2026-07-09绝区零3.0版本更新内容有什么?米哈游旗下多款手游广受玩家喜爱,其中《绝区零》以都市幻想为背景,融合动作、解谜与角色养成等多元玩法,持续通过版本迭代丰富游戏体验。官方已正式公布3.0版本更新计划,主题定为【某个梦游者的自白】,将于6月17日全球同步上线,覆盖iOS、安卓及PC模拟器全平台。本次更新不仅带来视觉表现力的全面升级,更在世界观构建、玩法机制与角色生态上实现重要突破。 《绝区零》3.0版本...
暗黑4S14更新后游戏卡顿掉帧解决方法
2026-07-09暗黑破坏神4新赛季S14将于7月1日正式拉开帷幕,为玩家带来前所未有的游戏体验。还有一些小bug,那么有不少小伙伴好奇S14更新后游戏卡顿掉帧怎么办,下面就来告诉大家S14更新后游戏卡顿掉帧解决方法。 暗黑4S14更新后游戏卡顿掉帧解决方法 NVIDIA显卡操作:更新最新驱动开启DLSS4.5; NVIDIA控制面板-管理3D设置,临时禁用着色器缓存并应用; Win+R删除DXCache、GLCa...
三角洲行动7月2日更新内容一览2026
2026-07-07《三角洲行动》是一款设定在2035年的第一人称特战干员战术射击游戏。就在最近三角洲行动就行更新了,那么有不少小伙伴好奇三角洲行动7月2日更新内容都有什么,下面就来告诉大家7月2日更新内容一览。 三角洲行动7月2日更新内容一览2026 7月2日更新公告丨烽火挑战即将开启&问题修复 本文内容来源于互联网,如有侵权请联系删除。
炉石传说36.0补丁更新内容介绍
2026-07-0336.0补丁将于明日上线,正式开启全新扩展包的最后倒计时,并带来全新竞技模式赛季及更多内容,那么有不少小伙伴好奇36.0补丁更新了什么,下面就来告诉大家36.0补丁更新内容介绍。 炉石传说36.0补丁更新内容介绍 36.0补丁将于明日上线,正式开启全新扩展包的最后倒计时,并带来全新竞技模式赛季及更多内容! 目录 准备好“逃离紫罗兰监狱” 抢先体验乱斗 全新传说奖励 竞技模式 活动奖励 免费神秘礼物...
三角洲行动6月26日更新内容一览2026
2026-06-27《三角洲行动》是一款设定在2035年的第一人称特战干员战术射击游戏。就在最近三角洲行动就行更新了,那么有不少小伙伴好奇三角洲行动6月26日更新内容都有什么,下面就来告诉大家6月26日更新内容一览。 三角洲行动6月26日更新内容一览2026 6月26日更新公告|新赛季【裂变】即将开启! 本文内容来源于互联网,如有侵权请联系删除。
SteamOS针对Steam Machine等设备发布3.8更新档
2026-06-22经过常规的测试阶段后,Valve旗下基于ArchLinux打造、专为SteamDeck、SteamMachine与Steam Frame设备设计的系统发行版SteamOS,最新版本正式迈入3.8时代。准确来说是3.8版本——SteamOS 3.8现已正式推出,只要你细品更新细节,就能从中嗅到下一代硬件的初步信号。 具体而言,SteamOS3.8为Steam Machine带来了“初步支持”,同时新...
《战魂铭人》v3.3.0版本的玩法更新内容
2026-06-18战魂铭人全新版本玩法一览,“新手指引”功能上线,点击客厅右上角图标即可查看具体进度,原六道首通奖励将以阶段性任务的形式发放。已经领取六道首通奖励的老玩家们依然可以领取阶段1-6的子任务奖励。部分任务会自动继承进度,但其中最艰险的试炼仍需各位亲自温习! 《战魂铭人》v3.3.0版本的玩法更新内容: 【道具占星玩法升级】 本期更新我们调整了道具占星玩法! 1、原客厅水晶球基本机制不变 战士们依然可通过...
《弈仙牌》天衍万象赛季更新内容一览
2026-06-15弈仙牌天衍万象赛季更新内容有什么?弈仙牌在每个赛季都会创新的加入不同玩法机制与全新角色外观,而最近要到来的这个天衍万象赛季也是将这几方面做得很好,不少人因此十分关心弈仙牌天衍万象赛季更新内容,那么小编在下面就针对这几个方面一一介绍下,希望能够让大家在新赛季到来后掌握信息差快人一步。 《弈仙牌》天衍万象赛季更新内容一览 首先是对局过程中新增了一个天衍仙命的机制,有点类似于肉鸽的玩法,会在第3、6、9...
《伊瑟》SS5赛季更新内容一览
2026-06-15伊瑟SS5赛季更新内容是什么?在6月11日时伊瑟将迎来SS5的赛季更新,这赛季的主题叫突然一夏,融入了许多夏季与清凉的元素,相信大家也是对伊瑟SS5赛季更新内容具体有哪些很感兴趣,那接下来小编就从一些重要的版本改动和福利活动方面来为大家介绍该版本内容,感兴趣的不要错过! 《伊瑟》SS5赛季更新内容一览 SS5赛季新增的主线剧情并不多,更多是对已有的老剧情进行了优化调整,改动的细节相对还是比较多的,...
三角洲行动6月11日更新内容一览2026
2026-06-13《三角洲行动》是一款设定在2035年的第一人称特战干员战术射击游戏。就在最近三角洲行动就行更新了,那么有不少小伙伴好奇三角洲行动6月11日更新内容都有什么,下面就来告诉大家6月11日更新内容一览。 三角洲行动6月11日更新内容一览2026 6月11日更新公告丨赛季通行证等级加速即将开启! 本文内容来源于互联网,如有侵权请联系删除。
