django基于方法的rest框架视图权限

Question

django基于方法的rest框架视图权限

Eri*_*oom 2 python django django-rest-framework django-rest-viewsets

所以我正在用DRF编写我的第一个项目,而且我在为我的视图集设置权限时遇到了一些问题.我已经使用djangorestframework-jwt进行身份验证.目前,我定义了一些不同的ViewSet.我想要做的是允许模型对象的所有者对该对象进行任何他们想要的更改,但是阻止其他人(除了管理员)甚至查看对象.基本上,我需要一种方法将权限类应用于特定方法,以便只允许管理员查看"列表",所有者"更新,销毁"等,并通过身份验证的用户"创建".目前我有这样的事情:

class LinkViewSet(viewsets.ModelViewSet):
   queryset = Link.objects.all()
   serializer_class = LinkSerializer

Run Code Online (Sandbox Code Playgroud)

与模型

class Link(models.Model):
   name = models.CharField(max_length=200)
   url = models.URLField()
   # another model with a OneToMany relationship
   section = models.ForeignKey('homepage.LinkSection', related_name='links', on_delete=models.CASCADE
   owner = models.ForeignKey('homepage.UserProfile'), related_name='links', on_delete=models.CASCADE)

Run Code Online (Sandbox Code Playgroud)

和我想申请的权限类

class IsOwner(permissions.BasePermission):
   def has_object_permissions(self, request, view, obj):
      return obj.owner == request.user.userprofile

Run Code Online (Sandbox Code Playgroud)

我确信通过编写完全自定义的视图可以实现这一点,但我有一种直觉,认为有一种更简单的方法可以做到这一点,特别是因为这基本上是我必须做的最后一件事来完成API.感谢您的帮助,如果您需要更多信息,请告诉我们.

Answer 1

Eri*_*oom 5

我可以通过检查视图中使用的操作来创建权限类,如下所示:

class IsOwner(permissions.BasePermission):
'''
Custom permission to only give the owner of the object access
'''
message = 'You must be the owner of this object'

def has_permission(self, request, view):
    if view.action == 'list' and not request.user.is_staff:
        print('has_permission false')
        return False
    else:
        print('has_permission true')
        return True

def has_object_permission(self, request, view, obj):
    print('enter has_object_permission')
    # only allow the owner to make changes
    user = self.get_user_for_obj(obj)
    print(f'user: {user.username}')
    if request.user.is_staff:
        print('has_object_permission true: staff')
        return True
    elif view.action == 'create':
        print('has_object_permission true: create')
        return True
    elif user == request.user:
        print('has_object_permission true: owner')
        return True # in practice, an editor will have a profile
    else:
        print('has_object_permission false')
        return False

def get_user_for_obj(self, obj):
    model = type(obj)
    if model is models.UserProfile:
        return obj.user
    else:
        return obj.owner.user

Run Code Online (Sandbox Code Playgroud)

get_user_for_obj因为我的模型在如何获取用户实例方面不一致,所以我特意将其作为辅助方法实现.您不希望has_permission限制太多,因为has_object_permission只有在has_permission返回True或未覆盖方法时才会运行.

归档时间：	8 年，3 月前
查看次数：	1405 次
最近记录：	7 年，7 月前