使用用户作为FK TastyPie API的模型资源

时间:2013-10-23 11:18:29

标签: python django django-models tastypie

使用TastyPie我有一个拥有FK用户的模型资源。当我对API发布POST时,我必须包含这样的用户ID:

 data : JSON.stringify({ name : 'value a', user : '12' }),

我的用户必须通过登录或使用API​​密钥以及用户名和密码进行身份验证。在这两种情况下我已经知道用户是谁

1)如何确保 user1 无法为 user2 创建资源?

2)或者完全发送用户ID是违反直觉的?我应该以某种方式从授权细节中获取用户,如果是这样的话?

1 个答案:

答案 0 :(得分:3)

回答问题#1:Tastypie文档描述了how to create per-user resources。假设用户已经是请求的一部分:

class MyResource(ModelResource):
    class Meta:
        queryset = MyModel.objects.all()
        resource_name = 'environment'
        list_allowed_methods = ['get', 'post']
        authentication = ApiKeyAuthentication()
        authorization = Authorization()

    # Only allow creation of objects belonging to the user
    def obj_create(self, bundle, **kwargs):
        return super(EnvironmentResource, self).obj_create(bundle, user=bundle.request.user)

    # Only allow accessing resources for this user
    def apply_authorization_limits(self, request, object_list):
        return object_list.filter(user=request.user)

要回答问题#2,您应该让用户成为会话的一部分。

相关问题
最新问题