Django API 权限装饰器
Django API permission decorator
Objective:
我想只允许具有特定权限的用户使用某些端点。
例如,要调用允许创建用户的端点,您需要权限“user.create”
问题:
我试图创建一个中间件来与 decorator_from_middleware_with_args
一起使用
class PermissionMiddleware:
def __init__(self, view,permission):
self.permission = permission
def process_request(self, request):
if not request.user.has_perm(permission_name):
if raise_exception:
raise exceptions.PermissionDenied("Don't have permission")
return False
return True
然后在我的视图中我使用 decorator_from_middleware_with_args
class UtilisateurViewSet(viewsets.ViewSet):
permission = decorator_from_middleware_with_args(PermissionMiddleware)
@permission('view_utilisateur')
def list(self, request):
queryset = Utilisateur.objects.all()
serializer = UtilisateurSerializer(queryset, many=True)
return Response(serializer.data)
但是调用端点时出现错误:
AttributeError: 'UtilisateurViewSet' 对象没有属性 'user'
我觉得是因为django.contrib.sessions.middleware.SessionMiddleware还没有执行
有没有一种方法可以定义中间件的顺序,或者有其他方法来实现想要的效果?
我没有找到如何准确地做到我想要的,但我确实以其他方式实现了它。
我使用了 permission_classes 并在 Class 中定义了所需的权限,我将为我要添加的每个视图集执行此操作。
class UtilisateurPermission(permissions.BasePermission):
def has_permission(self, request, view):
if view.action == "create":
return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_create")))
elif view.action == "retrieve":
return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_retrieve")))
elif view.action == "list":
return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_list")))
elif view.action == "destroy":
return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_destroy")))
elif view.action == "archive":
return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_archive")))
elif view.action in ['update', 'partial_update']:
return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_update")))
else:
return False
Objective: 我想只允许具有特定权限的用户使用某些端点。
例如,要调用允许创建用户的端点,您需要权限“user.create”
问题:
我试图创建一个中间件来与 decorator_from_middleware_with_args
一起使用class PermissionMiddleware:
def __init__(self, view,permission):
self.permission = permission
def process_request(self, request):
if not request.user.has_perm(permission_name):
if raise_exception:
raise exceptions.PermissionDenied("Don't have permission")
return False
return True
然后在我的视图中我使用 decorator_from_middleware_with_args
class UtilisateurViewSet(viewsets.ViewSet):
permission = decorator_from_middleware_with_args(PermissionMiddleware)
@permission('view_utilisateur')
def list(self, request):
queryset = Utilisateur.objects.all()
serializer = UtilisateurSerializer(queryset, many=True)
return Response(serializer.data)
但是调用端点时出现错误:
AttributeError: 'UtilisateurViewSet' 对象没有属性 'user'
我觉得是因为django.contrib.sessions.middleware.SessionMiddleware还没有执行
有没有一种方法可以定义中间件的顺序,或者有其他方法来实现想要的效果?
我没有找到如何准确地做到我想要的,但我确实以其他方式实现了它。
我使用了 permission_classes 并在 Class 中定义了所需的权限,我将为我要添加的每个视图集执行此操作。
class UtilisateurPermission(permissions.BasePermission):
def has_permission(self, request, view):
if view.action == "create":
return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_create")))
elif view.action == "retrieve":
return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_retrieve")))
elif view.action == "list":
return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_list")))
elif view.action == "destroy":
return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_destroy")))
elif view.action == "archive":
return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_archive")))
elif view.action in ['update', 'partial_update']:
return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_update")))
else:
return False