我正在尝试为Django模型实现基于行的安全检查。我的想法是,当我访问模型管理器时,我指定了一些在数据库查询中使用的附加信息,以便只从数据库中提取允许的实例。
例如,我们可以有两个模型:用户,比如项目。每个项目属于一些用户,用户可能连接到许多项目。并且存在一些限制,根据这些限制,用户可能看到或看不到另一个用户的项目。我想将这些限制与其他查询元素分开,并编写如下内容:
items = Item.scoped.forceRule('user1').all() # all items visible for 'user1'
或
# show all items of 'user2' visible by 'user1'
items = Item.scoped.forceRule('user1').filter(author__username__exact = 'user2')
为了实现这一目标,我做了以下几点:
class SecurityManager(models.Manager):
def forceRule(self, onBehalf) :
modelSecurityScope = getattr(self.model, 'securityScope', None)
if modelSecurityScope :
return super(SecurityManager, self).get_query_set().filter(self.model.securityScope(onBehalf))
else :
return super(SecurityManager, self).get_query_set()
def get_query_set(self) :
#
# I need to know that 'onBehalf' parameter here
#
return super(SecurityManager, self).get_query_set()
class User(models.Model) :
username = models.CharField(max_length=32, unique=True)
class Item(models.Model) :
author = models.ForeignKey(User)
private = models.BooleanField()
name = models.CharField(max_length=32)
scoped = SecurityManager()
@staticmethod
def securityScope(onBehalf) :
return Q(author__username__exact = onBehalf) | Q(bookmark__private__exact = False)
对于显示的示例,它工作正常,但在以下情况下死亡:
items = Item.scoped.forceRule('user1').filter(author__username__exact = 'user2') # (*)
items2 = items[0].author.item_set.all() # (**)
当然,'{user}'的所有项目都会填充items2,而不仅仅是那些符合规则的项目。这是因为当执行all()时SecurityManager.get_query_set()没有关于限制集的信息。虽然可以。例如,在forceRule()中,我可以为每个实例添加一个字段,然后,如果我可以从manager访问该字段,则应用所需的规则。
所以,问题是 - 有没有办法将语句forceRule()中提供给(*)的参数传递给经理,在语句(**)中调用。
或者另一个问题 - 我做的是一件我不应该做的奇怪事情吗?
谢谢。
答案 0 :(得分:4)
从我对文档的阅读中我认为存在两个问题:
我建议创建一个接受QuerySet并应用所需过滤器的函数。然后,只要您到达物品的QS并希望进一步处理它们,就可以使用它。