Estoy usando Django REST Framework para serializar un modelo de Django. Tengo una vista ListCreateAPIView para enumerar los objetos y una vista RetrieveUpdateDestroyAPIView para recuperar / actualizar / eliminar objetos individuales. El modelo almacena información que los usuarios envían ellos mismos. La información que envían contiene información privada y información pública. Quiero que todos los usuarios puedan enumerar y recuperar la información pública, pero solo quiero que el propietario enumere / recupere / actualice / elimine la información privada. Por lo tanto, necesito permisos por campo y no permisos de objeto.

La sugerencia más cercana que encontré fuehttps://groups.google.com/forum/#!topic/django-rest-framework/FUd27n_k3U0 que cambia el serializador basado en el tipo de solicitud. Esto no funcionará para mi situación porque no tengo el queryset u objeto en ese punto para determinar si es propiedad del usuario o no.

Por supuesto, tengo mi interfaz ocultando la información privada, pero las personas inteligentes todavía pueden rastrear las solicitudes de API para obtener los objetos completos. Si es necesario el código, puedo proporcionarlo, pero mi solicitud se aplica a los diseños de VTD DANGO Framework de vainilla.