Autenticación y permisos en Django Rest Framework

Clase 15 de 21 • Curso de Django Rest Framework

Resumen

Asegura tus endpoints en Django Rest Framework con un flujo claro de autenticación, autorización y permission classes. Con SessionAuthentication, inicio de sesión vía API auth y permisos como IsAuthenticated, IsAuthenticatedOrReadOnly y un permiso personalizado IsDoctor, puedes controlar quién entra y qué puede hacer en tu API.

¿Qué significan autenticación y autorización en APIs?

La autenticación verifica quién eres: como mostrar tu documento al llegar a un hotel. En sistemas, suele ser usuario y contraseña. La autorización define qué puedes hacer: la llave del hotel abre solo tu habitación, no todas. En APIs, es el conjunto de permisos que habilitan acciones específicas.

Autenticación: demostrar identidad con credenciales.
Autorización: limitar acciones según permisos.
Metáfora del hotel aplicada a endpoints.

¿Cómo configurar Django Rest Framework con session authentication?

Django Rest Framework reutiliza el sistema de Django. Con SessionAuthentication, tras autenticarse, Django agrega una cookie que viaja en cada request para identificarte. Así, puedes usar el mismo login que en Django admin.

Configura DEFAULT_AUTHENTICATION_CLASSES con SessionAuthentication.
Agrega la URL de API auth e incluye las rutas del sistema de DRF.
Recarga la interfaz de DRF: aparece el link Login.
Crea un superusuario con manage.py create super user.
Inicia sesión y verás tu usuario y el Logout en la esquina superior derecha.

# settings.py
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'SessionAuthentication',
    ],
}

# urls.py (agregar la ruta de autenticación de DRF)
urlpatterns = [
    # ...
    path('api-auth/', include('rest_framework.urls')),
]

# crear superusuario
python manage.py create super user

¿Cómo aplicar permisos y proteger endpoints con Django Rest?

Con permission classes puedes exigir autenticación, permitir solo lectura a anónimos o crear reglas a la medida. La interfaz de DRF reacciona a estos permisos: si no puedes escribir, oculta formularios.

¿Qué permission classes usar para acceso seguro?

Al definir en tu view set algo como permission_classes, puedes activar IsAuthenticated para que todo el view set funcione solo si hay sesión iniciada.

Si no hay sesión, devuelve un detalle en JSON: “La autenticación no está proveída”.
La respuesta es un 401 al estar deslogueado.
Al loguearte, los endpoints vuelven a responder.

# ejemplo en un ViewSet
class DoctorViewSet(ModelViewSet):
    permission_classes = [IsAuthenticated]

¿Cómo permitir lectura pública con IsAuthenticatedOrReadOnly?

Cuando necesitas listar recursos públicamente pero evitar modificaciones a usuarios anónimos, usa IsAuthenticatedOrReadOnly.

Usuarios anónimos ven la lista.
La UI de DRF oculta el formulario de edición.
Usuarios autenticados mantienen las acciones de escritura.

class DoctorViewSet(ModelViewSet):
    permission_classes = [IsAuthenticatedOrReadOnly]

¿Cómo crear un permiso personalizado IsDoctor con grupos?

Para reglas de negocio más finas, crea un permiso a medida. Ejemplo: solo usuarios del grupo Doctors pueden modificar doctores.

Pasos clave:

En Django admin, crea el grupo Doctors y asígnalo al usuario admin.
Crea permissions.py con un permiso IsDoctor.
Hereda de PermissionsBasedPermission y sobrescribe hasPermission.
Valida el grupo con request.user.groups.filter(name='Doctors').exists().
Combina en el view set: primero autenticación y luego IsDoctor.

# permissions.py
from rest_framework import permissions

class IsDoctor(permissions.PermissionsBasedPermission):
    def hasPermission(self, request, view):
        return request.user.groups.filter(name='Doctors').exists()

# uso en el ViewSet: primero autenticado, luego regla de doctor
class DoctorViewSet(ModelViewSet):
    permission_classes = [IsAuthenticated, IsDoctor]

Pruebas prácticas:

Usuario con grupo Doctors edita un doctor con éxito.
Usuario sin grupo recibe 403 Prohibido: “No tienes permisos para hacer esta acción”.
Diferencia clara entre 401 (no autenticado) y 403 (autenticado sin permiso).

¿Quieres que revisemos tu configuración de permisos o un caso de negocio específico? Cuéntame en los comentarios qué reglas necesitas implementar.

Antonio Demarco Bonino

student•

Para ser más claro:

Autenticación: DRF soporta varios métodos de autenticación (Basic, Session, Token, JWT) y puedes configurarlos según las necesidades de tu proyecto.
Permisos: DRF proporciona permisos predeterminados como IsAuthenticated, IsAdminUser, pero también permite definir permisos personalizados.
Gestión de Roles: La gestión de roles en DRF puede hacerse utilizando los permisos predeterminados de Django, como is_staff, o mediante Grupos y permisos personalizados.

Andres Trujillo

student•

Cool!!!

Manuel Galindo

student•

Algunos tipos de autenticación utilizados en APIs son:

Autenticación Básica: Utiliza un nombre de usuario y una contraseña codificados en Base64.
Claves API: Emplea una clave única proporcionada a cada usuario para autenticar solicitudes.
Tokens JWT (JSON Web Tokens): Utiliza tokens firmados que contienen información del usuario y tienen una duración limitada.
OAuth 2.0: Un protocolo de autorización que permite a las aplicaciones acceder a recursos en nombre del usuario sin compartir las credenciales.
Autenticación Bearer: Similar a JWT, utiliza tokens que deben ser incluidos en el encabezado de la solicitud.

Andres Trujillo

student•

gracias por compartir!

Ronaldo Jiménez

student•

Estoy muy sorprendido de como DRF abstrae mucha lógica y hace que sea más sencillo implantar nuestros proyectos enfocándonos en la lógica de negocio y eso que se repite como los CRUDs y el sistema de Auth se reutiliza y se adapta para no crearlo desde cero (que quita mucho tiempo). MUCHAS GRACIAS LUIS.

Edward Rodríguez

student•

¿Cómo se implementaría la forma de autenticación que explicó el profe Luis en un frontend?

Platzi

student•

El profesor Luis explicó el uso de 'session authentication', que implica enviar credenciales (usuario y contraseña) para obtener una cookie, luego esa cookie se envía en cada request para autenticación y autorización.

Carlos Adrián Almaras Sánchez

student•

se puede tambien personalizar el mensaje de error que utiliza django, si no pasa la autenticacion?

Luis Martinez

teacher••

Seria algo así:

from rest_framework import exceptions, views, response, authentication, permissions
class CustomAuthentication(authentication.BaseAuthentication):
    def authenticate(self, request):
        # Lógica de autenticación...
        if autenticacion_fallida:
            raise exceptions.AuthenticationFailed({'detail': '¡Credenciales inválidas! Revisa tu usuario y contraseña.'})
        # ...
        return (usuario, token)
class CustomPermission(permissions.BasePermission):
    def has_permission(self, request, view):
        if not request.user.is_staff:
            raise exceptions.PermissionDenied({'detail': 'No tienes permisos para acceder a este recurso.'})
        return True
# Luego, en tu vista:
class MiVista(views.APIView):
    authentication_classes = [CustomAuthentication]
    permission_classes = [CustomPermission]

Alejandro Ochoa Maidana

student•

Donde puedo saber mas sobre la gestión de roles? gracias de antemano

from rest_framework import exceptions, views, response, authentication, permissions
class CustomAuthentication(authentication.BaseAuthentication):
    def authenticate(self, request):
        # Lógica de autenticación...
        if autenticacion_fallida:
            raise exceptions.AuthenticationFailed({'detail': '¡Credenciales inválidas! Revisa tu usuario y contraseña.'})
        # ...
        return (usuario, token)
class CustomPermission(permissions.BasePermission):
    def has_permission(self, request, view):
        if not request.user.is_staff:
            raise exceptions.PermissionDenied({'detail': 'No tienes permisos para acceder a este recurso.'})
        return True
# Luego, en tu vista:
class MiVista(views.APIView):
    authentication_classes = [CustomAuthentication]
    permission_classes = [CustomPermission]

Autenticación y permisos en Django Rest Framework

Fundamentos de Django Rest Framework

Django REST Framework para APIs escalables

Qué son las APIs y cómo funcionan

Configuración de Django REST Framework paso a paso

Django Rest: qué reutiliza de Django

Serializers Django: modelos a JSON fácil

Listado de pacientes con serializers en DRF

POST y GET en el mismo endpoint con Django REST

CRUD completo con PUT y DELETE en Django Rest

Cómo probar APIs con Postman y curl

Django Rest Framework: de funciones a vistas genéricas

Vistas genéricas en Django Rest Framework

Documentación automática de APIs con drf-spectacular

Vistas y Endpoints

ViewSets vs APIView: refactor automático de URLs

Acciones en Django Rest con decorador @action