那些遇到过的问题

使用DjangoObjectPermissionsFilter使用django-guardian过滤用户的对象

lda*_*vid 5 django-rest-framework django-guardian

我能够设置django-guardian和我的django-rest-framework项目作为drf文档中示例,但我没有实现我想要的行为.有人可以指出,如果我做错了什么或者我想做什么都不能用guardian

建立

settings.py

INSTALLED_APPS = (
    ...
    'guardian',
    'simple',
)

AUTHENTICATION_BACKENDS = (
    'django.contrib.auth.backends.ModelBackend',
    'guardian.backends.ObjectPermissionBackend',
)

'DEFAULT_PERMISSION_CLASSES': (
    'infrastructure.permissions.DjangoObjectPermissions',
)
Run Code Online (Sandbox Code Playgroud)

infrastructure.permissions.py

from rest_framework import permissions


class DjangoObjectPermissions(permissions.DjangoObjectPermissions):
    """
    Similar to `DjangoObjectPermissions`, but adding 'view' permissions.
    """
    perms_map = {
        'GET': ['%(app_label)s.view_%(model_name)s'],
        'OPTIONS': ['%(app_label)s.view_%(model_name)s'],
        'HEAD': ['%(app_label)s.view_%(model_name)s'],
        'POST': ['%(app_label)s.add_%(model_name)s'],
        'PUT': ['%(app_label)s.change_%(model_name)s'],
        'PATCH': ['%(app_label)s.change_%(model_name)s'],
        'DELETE': ['%(app_label)s.delete_%(model_name)s'],
    }
Run Code Online (Sandbox Code Playgroud)

models.py

class Event(models.Model):
    name = models.CharField(max_length=255)
    min_age = models.IntegerField()

    def __str__(self):
        return self.name

    class Meta:
        permissions = (('view_event', 'Can view event'),)
Run Code Online (Sandbox Code Playgroud)

views.py

class EventViewSet(viewsets.ModelViewSet):
    queryset = models.Event.objects.all()
    serializer_class = serializers.EventSerializer
    filter_backends = (filters.DjangoObjectPermissionsFilter,)
Run Code Online (Sandbox Code Playgroud)

预期的行为

  • Events返回的列表EventViewSet.list仅包含请求用户可以查看的对象(请求用户具有django.auth view_event权限或('view_event', event_object).
  • EventViewSet.detailsEvent仅当请求用户具有view_event权限或('view_event', event_object)权限时才返回实例.

实际行为

  • 如果用户具有django auth权限view_event和监护人权限('view_event', event_obj),则可以访问路由list(获取所有条目)并details与之关联event_obj.
  • 如果用户没有auth权限view_event但具有监护人权限('view_event', event_obj),则他们在所有路由中收到403(包括details与他们有权限的event_obj相关联的路由).
  • 如果用户有view_event但没有('view_event', event_obj),他们可以访问路由list(查看所有条目),但details无论访问的条目如何,它们都会在路由中收到404 .

谢谢!

lda*_*vid 5

好的,事实证明,所有具有权限类的视图DjangoObjectPermissions仅允许用户在具有模型级和对象级权限的情况下查看给定资源。我的用户能够列出所有对象,但无法检索任何对象的事实,是由于已知的错误已得到纠正,但尚未在当前版本中。

归档时间:

查看次数:

1347 次

最近记录:

10 年,4 月 前
相关归档
Django Rest Framework更新字段 31
没有模型的Django REST框架序列化器 26
Django REST:如何在应用程序级别urls.py中使用Router? 12
Django Rest Framework如何更新SerializerMethodField 9
在Django rest框架中名为quickstart的/ No模块的ImportError 7
Django 存储 S3 - 使用 ModelSerializer 仅保存文件路径而不使用文件 5
如何在 Django 中拥有基于权限的用户系统? 5
Django Rest Framework - 在APITestCase中加载装置? 4
Django Rest Framework:具有通用外键的可写嵌套序列化器 4
令牌身份验证不适用于 Django Rest 框架 4
难疑归档
如何检查字符串"StartsWith"是否是另一个字符串? 1660
ORM(对象关系映射)中的"N + 1选择问题"是什么? 1507
int32的最大值是多少? 1383
漂亮的git分支图 1290
如何正确强制推送Git? 1206
感叹号在功能之前做了什么? 1190
Subversion存储库中"分支","标记"和"主干"的含义是什么? 1181
如何从另一个分支中获取一个文件 1154
如何在Vim中移动到行尾? 1140
为什么使用'=='或'is'比较字符串有时会产生不同的结果? 1076