那些遇到过的问题

Django-对象级别权限和基于类的通用视图

del*_*boy 2 python django permissions

这是模型:

class Car(models.Model):
    user = models.ForeignKey(User, related_name='cars')
    name = models.CharField(max_length=64)
Run Code Online (Sandbox Code Playgroud)

网址模式如下所示:

url(r'^car/(?P<pk>\d+)/$', login_required(CarDetails.as_view()), name='car_details)
Run Code Online (Sandbox Code Playgroud)

并查看:

class CarDetail(DetailView):
    context_object_name = 'car'
    template_name = 'my_app/car_details.html'
    model = models.Car

    def get_object(self, *args, **kwargs):
        car = super(CarDetail, self).get_object(*args, **kwargs)
        if car.user != self.request.user:
            raise PermissionDenied()
        else:
            return car
Run Code Online (Sandbox Code Playgroud)

这很好用,但是在每个类中我都必须重写get_object以防止用户弄乱别人的对象。这包括对我拥有的每个模型进行编辑和删除,这严重违反了DRY原理。

有一个更好的方法吗?可能是login_required装饰器之类的东西?

编辑

正如Dr.Tyrsa在他的回答中所提出的,解决方案或多或少简单,只有一点点不同。我创建的基类CurUserOnly继承object,而不是DetailView(我想使用这个类DeleteViewUpdateView,太),现在CarDetail继承CurUserOnlyDetailViewCarDelete继承CurUserOnlyDeleteView等等......

有趣的是,我之前曾尝试过此方法,但由于我忘了python的MRO,并且DetailViewCurUserOnly应该成为继承列表的第一位时,它没有起作用!

最后,这是CurUserOnly课程:

class CurUserOnly(object):
    def get_object(self, *args, **kwargs):
        obj = super(CurUserOnly, self).get_object(*args, **kwargs)
        user_attribute = getattr(self, 'user_attribute', 'user')
        user = obj
        for part in user_attribute.split('.'):
            user = getattr(user, part, None)
        if user != self.request.user:
            raise PermissionDenied()
        else:
            return obj
Run Code Online (Sandbox Code Playgroud)

如果我的模型与用户没有直接联系,我所要做的就是添加user_attribute字段。例如,如果我的模型Tyre使用ForeignKey Car为其DeleteView看起来像这样:

class TyreDelete(CurUserOnly, DeleteView):
    model = models.Tyre
    user_attribute = 'car.user'
Run Code Online (Sandbox Code Playgroud)

DrT*_*rsa 6

那么definig基类(或mixin)以及使用继承呢?

class CurUserOnlyDetailView(DetailView):
    def get_object(self, *args, **kwargs):
        obj = super(CurUserOnlyDetailView, self).get_object(*args, **kwargs)
        if obj.user != self.request.user:
            raise PermissionDenied()
        else:
            return obj

class CarDetail(CurUserOnlyDetailView):
    context_object_name = 'car'
    template_name = 'my_app/car_details.html'
    model = models.Car

# another view, no DRY violation
class BikeDetail(CurUserOnlyDetailView):
    context_object_name = 'bike'
    template_name = 'my_app/bike_details.html'
    model = models.Bike
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1328 次

最近记录:

14 年,4 月 前
相关归档
为什么"if not someobj:"比Python中的"if someobj == None:"更好? 120
Django Template - 增加变量的值 20
在Django中禁用会话创建 17
来自manage.py runserver的堆栈跟踪未显示 17
使用django admin创建整个Web应用程序 15
django models =业务逻辑+数据访问?或者数据访问层应该从django模型中分离出来? 15
限制Django中自动填充字段的查询集 10
如何将HTML类添加到Django表单的help_text中? 9
Django allauth用电子邮件作为用户名和多个站点 9
部署到Elastic Beanstalk时运行Django迁移 8
难疑归档
var functionName = function(){} vs function functionName(){} 6645
如何从异步调用返回响应? 5208
grep一个文件,但显示几个周围的行? 3277
在JavaScript中循环遍历数组 2940
如何在Python中获取当前时间 2618
JavaScript检查变量是否存在(定义/初始化) 1642
ORM(对象关系映射)中的"N + 1选择问题"是什么? 1507
如何克隆仅Git存储库的子目录? 1298
在HTML中显示哪些字符可用于上/下三角(没有词干的箭头)? 1212
按ID删除元素 1085