gpt4 book ai didi

django - DRF View 集中的权限检查无法正常工作

转载 作者:行者123 更新时间:2023-12-04 05:47:22 24 4
gpt4 key购买 nike

我正在实现一个有嵌套结构的 API。
假设这是一个动物园,我可以调用GET /api/cage/获取笼子列表GET /api/cage/1/获取笼子 ID 1,然后我可以 GET /api/cage/1/animals/得到那个笼子里的动物名单。
我遇到的问题是权限。如果我能看到笼子本身,我应该只能看到笼子里的动物。如果has_object_permission(),我应该能够看到笼子本身。返回 True在相关的权限类中。
出于某种原因,has_object_permission()当我做 GET /api/cage/1/ 时被调用, 但是 has_permission()当我调用 GET /api/cage/1/animals/ 时被调用.和 has_permission()我无权访问该对象来检查权限。我错过了什么吗?我该怎么做呢?
我的笼 subview 或多或少看起来像这样

class CageViewSet(ModelViewSet):
queryset = Cage.objects.all()
serializer_class = CageSerializer
permission_classes = [GeneralZooPermissions, ]
authentication_classes = [ZooTicketCheck, ]

def get_queryset(self):
... code to only list cages you have permission to see ...

@detail_route(methods=['GET'])
def animals(self, request, pk=None):
return Request(AnimalSerializer(Animal.objects.filter(cage_id=pk), many=True).data)
我的 GeneralZooPermissions类看起来像这样(目前)
class GeneralZooPermissions(BasePermission):
def has_permission(self, request, view):
return True

def has_object_permission(self, request, view, obj):
return request.user.has_perm('view_cage', obj)
这似乎是 DRF 中的一个错误。详细路由不调用正确的权限检查。我曾尝试向 DRF 开发人员报告此问题,但我的报告似乎消失了。不知道下一步该怎么做。想法?
我用 DRF 发布的问题又回来了,我得到了回复。好像只检查 has_permission()而不是 has_object_permission()是预期的行为。这对我没有帮助。此时,必须执行以下操作:
class CustomPermission(BasePermission):
def has_permission(self, request, view):
"""we need to do all permission checking here, since has_object_permission() is not guaranteed to be called"""
if 'pk' in view.kwargs and view.kwargs['pk']:
obj = view.get_queryset()[0]
# check object permissions here
else:
# check model permissions here

def has_object_permission(self, request, view, obj):
""" nothing to do here, we already checked everything """
return True

最佳答案

好的,所以在阅读了一堆 DRF 的代码并在 DRF GitHub 页面上发布了一个问题之后。
看来has_object_permission()只有当您的 View 调用 get_object() 时才会调用检索要操作的对象。
这是有道理的,因为无论如何您都需要检索对象以检查权限,并且如果他们透明地执行此操作,则会添加额外的数据库查询。
回复我报告的人说他们需要更新文档以反射(reflect)这一点。所以,这个想法是,如果你想编写一个自定义详细路由并让它正确检查权限,你需要做

class MyViewSet(ModelViewSet):
queryset = MyModel.objects.all()
....
permission_classes = (MyCustomPermissions, )

@detail_route(methods=['GET', ])
def custom(self, request, pk=None):
my_obj = self.get_object() # do this and your permissions shall be checked
return Response('whatever')

关于django - DRF View 集中的权限检查无法正常工作,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36553197/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com