Django:防止编辑/删除对象的更干的方法?

时间:2014-03-04 17:32:42

标签: python django django-views tastypie

在阅读Django文档的许可后,我仍然感到困惑。 我想阻止用户访问他们编辑或删除他们没有拥有的对象。 我这样点对,它有效:

在views.py中:

def deleteReward(request, reward_id):
    reward = get_object_or_404(Reward, pk=reward_id)
    if reward.owner.user != request.user: # if the user linked to the reward is not the current one
        raise Exception("This reward is not yours, you can't delete it !")
    #...

但我认为这不是干净和干燥有两个原因:

  1. 在每个editStuff和deleteStuff视图中,我都必须编写相同的代码部分。

  2. 我目前正在使用Tastypie编写API,如果权限逻辑在视图中,我将无法重复使用它。处理的最佳方式似乎是使用Django权限映射API权限(但我在视图中编写的代码与权限无关)。

    3. 你能帮我找到合适的方法吗? 非常感谢。

2 个答案:

答案 0 :(得分:2)

这是我的工作示例。

1)QuerySet 

class PermissionQuerySet(models.query.QuerySet):
    def editable_by(self, user):
        return self.filter(user=user)

    def viewable_by(self, user):
        return self.filter(user=user)

2)经理

class PermissionManager(models.Manager):
    def get_query_set(self):
        return PermissionQuerySet(self.model)

    def editable_by(self, user, *args):
        return self.get_query_set().editable_by(user, *args)

    def viewable_by(self, user, *args):
        return self.get_query_set().viewable_by(user, *args)

3)模特

class MyModel(models.Model):
    ...
    objects = PermissionManager()

此方法与基于类的视图完美配合。我看到你使用TastyPie。我之前从未使用它,但它似乎也使用了基于类的视图。

这是工作样本:

class MyUpdateView(UpdateView):
    def post(self, request, *args, **kwargs):
        self.request = request
        super(MyUpdateView, self).post(request, *args, **kwargs)

    def get_query_set(self):
        queryset = super(MyUpdateView, self).get_query_set()
        queryset = queryset.editable_by(self.request.user)
        if not queryset.exists():
            raise Exception("This reward is not yours, you can't delete it !")
        return queryset

我认为你可以想象如何在CreateView,DeleteView中使用这种方法。我认为很容易在TastyPie中实现它。

答案 1 :(得分:1)

将其他参数传递给get_object_or_404

reward = get_object_or_404(Reward, pk=reward_id, owner=request.user)
相关问题
最新问题