Kat*_*ops 7 django django-middleware python-3.x django-rest-framework
我正在为超级用户创建一种方式来控制另一个用户的帐户,但允许日志记录显示此时执行的所有操作都是由超级用户完成的。
我目前的想法是在中间件中处理请求并查找特定的标头。如果该标头存在,我将用标头中指定的用户替换当前的 request.user 。目前中间件如下所示:
class ControlledUserMiddleware(MiddlewareMixin):
def process_request(self, request):
controlled_user = request.META.get('HTTP_CONTROLLED_USER', None)
if controlled_user:
request.user = User.objects.get(uuid=controlled_user)
我发现 - 尽管我已将其放在设置文件中的身份验证中间件之后 - 请求中的用户在到达此函数时始终是“匿名用户”。
此方法当前不起作用,我想知道是否可以在 request.user 到达视图逻辑之前对其进行编辑。
根据评论中的要求进行编辑,以下是REST_FRAMEWORK设置:
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': [
'rest_framework.permissions.IsAuthenticated'
],
'DEFAULT_AUTHENTICATION_CLASSES': [
'rest_framework.authentication.TokenAuthentication',
],
'DEFAULT_PARSER_CLASSES': [
'rest_framework.parsers.JSONParser',
'rest_framework.parsers.MultiPartParser',
'rest_framework.parsers.FormParser',
]
}
找到了,是的,这是可能的。事实证明,正如 mehamasum 在上面的评论中正确指出的那样,TokenAuthenticationmy 中的DEFAULT_AUTHENTICATION_CLASSES正在覆盖请求中令牌中的 request.user 。这可以通过向中间件函数添加_force_auth_user和来覆盖,如下所示:force_auth_token
class ControlledUserMiddleware(MiddlewareMixin):
def process_request(self, request):
controlled_user_uuid = request.META.get('HTTP_CONTROLLED_USER', None)
if controlled_user_uuid:
controlled_user = User.objects.get(uuid=controlled_user_uuid)
request._force_auth_user = controlled_user
request._force_auth_token = Token.objects.get(user=controlled_user)
| 归档时间: |
|
| 查看次数: |
3380 次 |
| 最近记录: |