django-guardian 和 django-rest-framework

Question

django-guardian 和 django-rest-framework

Ben*_*Ben 5 permissions django-rest-framework django-guardian

我想在一个安静的项目中使用 django-guardian 管理我的对象权限（使用 django-rest-framework）。

我想要什么：

仅当连接的用户具有“add_modelname”权限时才允许他创建对象。
当连接的用户创建对象时，设置“delete_modelname”和“change_modelname”权限。
仅当连接的用户具有“change_modelobject”权限时才允许他编辑对象。
仅当连接的用户具有“delete_modelobject”权限时才允许他删除对象。

我正在尝试使用以下代码管理这些案例：

查看.py

class ModelNameViewSet(viewsets.ModelViewSet):
    """
    This viewset automatically provides `list`, `create`, `retrieve`,
    `update` and `destroy` actions.

    Additionally we also provide an extra `highlight` action.
    """
    queryset = ModelName.objects.all()
    serializer_class = ModelNameSerializer
    permission_classes = (permissions.IsAuthenticatedOrReadOnly, ModelNamePermission)

    def create(self, request, *args, **kwargs):
        assign_perm("change_modelname", request.user, self)
        assign_perm("delete_modelname", request.user, self)
        return super().create(request, *args, **kwargs)

Run Code Online (Sandbox Code Playgroud)

权限.py

class ModelNamePermission(permissions.BasePermission):
    """
    Custom permission to only allow owners of an object to edit it.
    """

    def has_permission(self, request, view):
        if request.method in ['GET']:
            return request.user.has_perm('view_modelname')        
        if request.method in ['POST']:
            return request.user.has_perm('add_modelname')
        if request.method in ['PUT', 'PATCH']:
            return request.user.has_perm('change_modelname')
        if request.method in ['DELETE']:
            return request.user.has_perm('delete_modelname')
        return False

    def has_object_permission(self, request, view, obj):         
        if request.method in ['GET']:
            return request.user.has_perm('view_modelname', obj)        
        if request.method in ['POST']:
            return request.user.has_perm('add_modelname', obj)
        if request.method in ['PUT', 'PATCH']:
            return request.user.has_perm('change_modelname', obj)
        if request.method in ['DELETE']:
            return request.user.has_perm('delete_modelname', obj)
        return False

Run Code Online (Sandbox Code Playgroud)

我遇到的第一个问题是我在这一行中有一个错误：

assign_perm("change_modelname", request.user, self)

Run Code Online (Sandbox Code Playgroud)

错误：

error: 'ModelNameViewSet' object has no attribute '_meta'

Run Code Online (Sandbox Code Playgroud)

而且我认为其余的代码将不起作用，但至少您可以看到我想要做什么。

我还没有看到任何关于这些具体案例的例子。

编辑：另一件事是这段代码：

request.user.has_perm('view_coachingrequest')

Run Code Online (Sandbox Code Playgroud)

总是返回真。但是我从来没有为我的用户设置过这个权限（只用管理员用户试过，也许这就是原因）。

Answer 1

小智 2

视图集的方法create将返回一个新创建的模型实例。您正在尝试将权限分配给视图集对象本身。您的方法的代码create应如下所示：

def create(self, request, *args, **kwargs):
    instance = super().create(request, *args, **kwargs)
    assign_perm("change_modelname", request.user, instance)
    assign_perm("delete_modelname", request.user, instance)
    return instance

Run Code Online (Sandbox Code Playgroud)

这将创建模型实例，然后在返回之前为其分配所需的权限。

归档时间：	9 年，1 月前
查看次数：	3747 次
最近记录：	8 年，5 月前