Django REST Framework在一些相关的情况下返回状态码403：

• 当您没有所需的权限级别时（例如，当DEFAULT_PERMISSION_CLASSES为('rest_framework.permissions.IsAuthenticated',)时，以未经身份验证的用户身份发出API请求。
• 当您执行不安全的请求类型（POST、PUT、PATCH或DELETE -应该有副作用的请求）时，您使用的是rest_framework.authentication.SessionAuthentication，并且您没有将CSRFToken包含在请求集中。
• 当您正在执行不安全的请求类型，并且包含的CSRFToken不再有效时。

我将针对一个测试API发出几个演示请求，并给予每个请求的示例，以帮助您诊断所遇到的问题并演示如何解决它。

测试API

我用一个模型Life建立了一个非常简单的API，它包含一个字段（answer，默认值为42）。我在/life URL路由上设置了一个ModelSerializer-LifeSerializer、一个ModelViewSet-LifeViewSet和一个DefaultRouter。我已经配置了DRF，要求用户通过身份验证才能使用API和SessionAuthentication。

击中API

import json
import requests

response = requests.get('http://localhost:8000/life/1/')
# prints (403, '{"detail":"Authentication credentials were not provided."}')
print response.status_code, response.content

my_session_id = 'mph3eugf0gh5hyzc8glvrt79r2sd6xu6'
cookies = {}
cookies['sessionid'] = my_session_id
response = requests.get('http://localhost:8000/life/1/',
                        cookies=cookies)
# prints (200, '{"id":1,"answer":42}')
print response.status_code, response.content

data = json.dumps({'answer': 24})
headers = {'content-type': 'application/json'}
response = requests.put('http://localhost:8000/life/1/',
                        data=data, headers=headers,
                        cookies=cookies)
# prints (403, '{"detail":"CSRF Failed: CSRF cookie not set."}')
print response.status_code, response.content

# Let's grab a valid csrftoken
html_response = requests.get('http://localhost:8000/life/1/',
                             headers={'accept': 'text/html'},
                             cookies=cookies)
cookies['csrftoken'] = html_response.cookies['csrftoken']
response = requests.put('http://localhost:8000/life/1/',
                        data=data, headers=headers,
                        cookies=cookies)
# prints (403, '{"detail":"CSRF Failed: CSRF token missing or incorrect."}')
print response.status_code, response.content

headers['X-CSRFToken'] = cookies['csrftoken']
response = requests.put('http://localhost:8000/life/1/',
                        data=data, headers=headers,
                        cookies=cookies)
# prints (200, '{"id":1,"answer":24}')
print response.status_code, response.content

只是对于任何可能发现同样问题的人。如果您使用的是没有路由器的视图集，如：

user_list = UserViewSet.as_view({'get': 'list'})
user_detail = UserViewSet.as_view({'get': 'retrieve'})

Django Rest框架会返回403，除非你在类级别定义permission_classes：

class UserViewSet(viewsets.ModelViewSet):
    """
    A viewset for viewing and editing user instances.
    """
    permission_classes= YourPermisionClass

希望能有所帮助！

为了完整起见，还有一种DRF返回代码403的情况：如果您忘记将as_view()添加到您的www.example.com文件中的视图声明中urls.py。刚刚发生在我身上，我花了几个小时才找到问题所在，所以也许这个添加可以为某人保存一些时间。

对于那些甚至无法从Javascript访问其csrftoken的用户：
在我的例子中，我无法从我的Javascript代码中获取csrftoken，以便在 AJAX POST中设置它。它总是输出null。最后我发现django CSRF_COOKIE_HTTPONLY环境变量被设置为True。
来自Django文档

CSRF_饼干_HTTPONLY：如果将其设置为True，客户端JavaScript将无法访问CSRF Cookie。”

将CSRF_COOKIE_HTTPONLY更改为False使我最终获得了csrftoken。
https://docs.djangoproject.com/en/4.1/ref/settings/#std-setting-CSRF_COOKIE_HTTPONLY

还有一种情况是，当您在请求的“Authorization”标头中将令牌作为null传递时，在AllowAny路由上会出现403错误。例如，您可能希望允许任何人使用该路由，但也希望知道使用该路由的人是否是经过身份验证的用户。
例如

if (token) {
    headers = {
        "Content-Type": "application/json",
        "Authorization": "Token " + token
    }
} else {
    headers = {
        "Content-Type": "application/json"
    }
}