Django Rest Framework: при использовании generics APIview я не могу установить разрешения

Я хочу, чтобы пользователь admin имел доступ к деталям каждого пользователя, а пользователь non-admin получал доступ только к своим деталям, но вместо этого пользователь non-admin показывает полный список всех пользователей, как и пользователь admin. Как я поделился своими views.py, permissions.py и models.py для этого.

Я не уверен, где проблема - в permisions.py или models.py, поскольку я новичок в Django.

Я использую Postman для тестирования API и это работает нормально для пользователя администратора, но для индивидуального пользователя это не работает.

views.py


class UserListCreateAPIView(generics.ListCreateAPIView):
    permission_classes = [IsStaffOrTargetUser]
    queryset = User.objects.all()
    serializer_class = UserSerializer


class UserRetrtieveUpdateDestroyAPIView(generics.RetrieveUpdateDestroyAPIView):
    permission_classes = [IsStaffOrTargetUser]
    queryset = User.objects.all()
    
    serializer_class = UserSerializer

permissions.py

class IsStaffOrTargetUser(BasePermission):
    def has_permission(self, request, view):
        # allow user to list all users if logged in user is staff
        return request.user or request.user.is_staff
 
    def has_object_permission(self, request, view, obj):
        # allow logged in user to view own details, allows staff to view all records
        return request.user.is_staff or obj == request.user

models.py

class User(AbstractBaseUser):
    email = models.EmailField(verbose_name='Email',max_length=255,unique=True)
    name = models.CharField(max_length=200)
    contact_number= models.IntegerField()
    gender = models.IntegerField(choices=GENDER_CHOICES)
    address= models.CharField(max_length=100)
    state=models.CharField(max_length=100)
    city=models.CharField(max_length=100)
    country=models.CharField(max_length=100)
    pincode= models.IntegerField()
    dob = models.DateField(null= True)


    # is_staff = models.BooleanField(default=False)
    is_active = models.BooleanField(default=True)
    is_admin = models.BooleanField(default=False)
    created_at = models.DateTimeField(auto_now_add=True)
    updated_at = models.DateTimeField(auto_now=True)

    objects = UserManager()

    USERNAME_FIELD = 'email'
    REQUIRED_FIELDS = ['name','contact_number','gender','address','state','city','country','pincode','dob']

    def __str__(self):
        return self.email

    def has_perm(self, perm, obj=None):
        "Does the user have a specific permission?"
        # Simplest possible answer: Yes, always
        return self.is_admin

    def has_module_perms(self, app_label):
        "Does the user have permissions to view the app `app_label`?"
        # Simplest possible answer: Yes, always
        return True

    @property
    def is_staff(self):
        "Is the user a member of staff?"
        # Simplest possible answer: All admins are staff
        return self.is_admin

permissions.py

class IsStaffOrTargetUser(BasePermission):
    def has_permission(self, request, view):
        # allow user to list all users if logged in user is staff
        return request.user or request.user.is_staff