Rik*_*ika 5 django django-rest-framework
使用 Django REST 框架,我使用此视图和权限仅允许项目所有者获取他们的项目。
查看.py
class ProjectViewSet(viewsets.ModelViewSet):
permission_classes = (
IsProjectOwner,
permissions.IsAuthenticated,
)
def get_queryset(self):
return Project.objects.filter(owner=self.request.user)
权限.py
class IsProjectOwner(permissions.BasePermission):
def has_object_permission(self, request, view, obj):
return obj.owner == request.user
当用户尝试获取不属于他的项目时,会出现 HTTP 404。但是,我想获得 HTTP 403_Forbidden。这是我使用的测试
def test_auth_get(self):
self.client.credentials(
HTTP_AUTHORIZATION=self.authenticated_user_token
)
response = self.client.get(
'/-/projects/%s/' % self.project_owner_project_id
)
self.assertEqual(response.status_code, status.HTTP_403_FORBIDDEN)
我试图使用 get_object() 方法解决这个问题,比如在 REST 文档http://www.django-rest-framework.org/api-guide/permissions/#object-level-permissions 中。但我不确定如何在知道实际对象之前检查权限。
在这里您需要覆盖您的 get_queryset 方法;实际上,您可以从从 get_queryset 方法传递的查询集中查看查找对象。
def get_queryset(self):
if self.action == 'update':
return Project.objects.filter(owner=self.request.user)
else:
return Project.objects.all()
| 归档时间: |
|
| 查看次数: |
1768 次 |
| 最近记录: |