tastypie - 禁用嵌套对象创建

时间:2013-01-20 19:18:19

标签: python django tastypie

当我创建一个具有外部关系的新资源(指定为{"pk": 20})时,我会创建一个新的不需要的FK项。

我的Order模型类与Language模型有关系,因此在创建Order实例时,我可能需要指定订单的语言。语言列表应该是不变的,用户不能具有修改existant或创建新语言的能力。

Order资源:

class OrderResource(ModelResource):
    user = fields.ForeignKey(UserResource, 'user', null=True, full=True)
    src_lang = fields.ForeignKey(LanguageResource, 'src_lang', null=True, full=True)
    dst_lang = fields.ForeignKey(LanguageResource, 'dst_lang', null=True, full=True)

    def obj_create(self, bundle, request=None, **kwargs):
        return super(OrderResource, self).obj_create(bundle, request, user=request.user)

    class Meta:
        resource_name = 'orders'
        queryset = Order.objects.all()
        serializer = Serializer(['json'])

        authentication = MultiAuthentication(SessionAuthentication(), ApiKeyAuthentication())
        authorization = ResourceAuthorization()

这是一个Language资源:

class Language(models.Model):
    name = models.CharField(max_length=100)
    code = models.CharField(max_length=100)


class LanguageResource(ModelResource):
    class Meta:
        resource_name = 'languages'
        queryset = Language.objects.all()
        allowed_methods = ['get']
        authorization = ReadOnlyAuthorization()
        serializer = Serializer(['json'])

我正在尝试使用jQuery创建一个新的Order

var data = JSON.stringify({
    "comment": "Something random",
    "src_lang": {"pk": "20"},
    "dst_lang": "/api/v2/languages/72/"
});

$.ajax({
    type: 'POST',
    url: '/api/v2/orders/',
    data: data,
    dataType: "json",
    contentType: "application/json"
});

不是将pk:20设置为src_lang_id字段,而是为Language创建一个包含空字段的新src_lang,并为dst_lang设置正确的值。但是使用Language模型定义限制空字段。如何保存它?

这也很奇怪,因为我直接指定了语言模型的只读访问权限,并且只有get方法来访问支持的语言列表。

如果我将OrderResource类的语言字段声明为:src_lang = fields.ForeignKey(LanguageResource, 'src_lang', null=True, full=True, readonly=True),则它不会创建任何内容,但也不会为外键设置任何值。

所以,我只需要指定一种语言,我不需要创建它。

更新

ResourceAuthorization

class ResourceAuthorization(Authorization):
    def is_authorized(self, request, object=None):
        user = getattr(request, 'user', None)
        if not user:
            return False

        return user.is_authenticated()

    def apply_limits(self, request, object_list):
        if request and hasattr(request, 'user'):
            if request.user.is_superuser:
                return object_list

            return object_list.filter(user=request.user)

        return object_list.none()

更新2

我发现没有更聪明的制作字段只读并覆盖obj_create方法:

class OrderResource(ModelResource):
    user = fields.ForeignKey(UserResource, 'user', null=True, full=True)
    src_lang = fields.ForeignKey(LanguageResource, 'src_lang', null=True, full=True, blank=True, readonly=True)
    dst_lang = fields.ForeignKey(LanguageResource, 'dst_lang', null=True, full=True, blank=True, readonly=True)

    def obj_create(self, bundle, request=None, **kwargs):
        src_lang_id, dst_lang_id = bundle.data.get('src_lang', None), bundle.data.get('dst_lang', None)

        if not all([src_lang_id, dst_lang_id]):
            raise BadRequest('You should specify both source and destination language codes')

        src_lang, dst_lang = Language.objects.guess(src_lang_id), Language.objects.guess(dst_lang_id)
        if not all([src_lang, dst_lang]):
            raise BadRequest('You should specify both source and destination language codes')

        return super(OrderResource, self).obj_create(
            bundle, request, user=request.user, src_lang=src_lang, dst_lang=dst_lang
        )

    class Meta:
        resource_name = 'orders'
        queryset = Order.objects.all()
        serializer = Serializer(['json'])

        authentication = MultiAuthentication(SessionAuthentication(), ApiKeyAuthentication())
        authorization = ResourceAuthorization()

2 个答案:

答案 0 :(得分:2)

正如this对您的问题的回答所述,src_lang应该与资源相对应,而不是与其他某些值相对应。我怀疑当发生POST并且找不到资源pk=20时,它会创建一个新的Language对象并在没有Django模型验证的情况下调用save,允许存在空白字段创建的Language

强制只读类型资源的一种方法是创建一个不允许obj_create的资源。

class ReadOnlyLanguageResource(ModelResource):
    # All the meta stuff here.
    def obj_create(self):
        # This should probably raise some kind of http error exception relating
        # to permission denied rather than Exception.
        raise Exception("Permission denied, cannot create new language resource")

然后从Order资源引用此资源,仅覆盖src_lang字段以指向您的只读资源。

class OrderResource(ModelResource):
    user = fields.ForeignKey(UserResource, 'user', null=True, full=True)
    src_lang = fields.ForeignKey(ReadOnlyLanguageResource, 'src_lang')
    dst_lang = fields.ForeignKey(ReadOnlyLanguageResource, 'dst_lang')

任何引用现有资源的请求都将按照正常情况完成(但您需要正确引用资源,而不是使用pk=20)。

,无法创建新的Language对象,因此任何请求引用未知语言的请求都将失败。

答案 1 :(得分:1)

您应该使用与src_lang对应的/api/v2/languages/72/格式指定pk=20

其次究竟是什么ResourceAuthorizationdocumentation列出ReadOnlyAuthorization可能对您有用。

此外,授权也适用资源,而不是基础模型。为fk创建新对象时,它不使用REST Api,而是使用django.db.models及其权限。因此授权可能不适用于外键约束。

相关问题
最新问题