Django API 权限装饰器

时间:2021-05-02 19:00:06

标签: django rest django-rest-framework permissions

目标: 我想只允许具有特定权限的用户使用某些端点。

例如调用允许创建用户的端点,您需要权限“user.create”

问题:

我尝试创建一个中间件来与 decorator_from_middleware_with_args 一起使用

class PermissionMiddleware:

def __init__(self, view,permission):
    self.permission = permission

def process_request(self, request):
    if not request.user.has_perm(permission_name):
        if raise_exception:
            raise exceptions.PermissionDenied("Don't have permission")
        return False
    return True

然后在我的视图中我使用 decorator_from_middleware_with_args

class UtilisateurViewSet(viewsets.ViewSet):
permission = decorator_from_middleware_with_args(PermissionMiddleware)

@permission('view_utilisateur')
def list(self, request):
    queryset = Utilisateur.objects.all()
    serializer = UtilisateurSerializer(queryset, many=True)
    return Response(serializer.data)

但是当我调用端点时出现错误:

AttributeError: 'UtilisateurViewSet' 对象没有属性 'user'

我认为这是因为 django.contrib.sessions.middleware.SessionMiddleware 尚未执行。

有没有办法定义中间件的顺序,或者有其他方法来实现你想要的?

1 个答案:

答案 0 :(得分:0)

我没有找到完全按照我想要的方式去做,但我确实以另一种方式实现了它。

我使用了 permission_classes 并在类中定义了所需的权限,我将为我将添加的每个视图集执行此操作。

class UtilisateurPermission(permissions.BasePermission):
def has_permission(self, request, view):
    if view.action == "create":
        return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_create")))
    elif view.action == "retrieve":
        return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_retrieve")))
    elif view.action == "list":
        return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_list")))
    elif view.action == "destroy":
        return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_destroy")))
    elif view.action == "archive":
        return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_archive")))
    elif view.action in ['update', 'partial_update']:
        return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_update")))
    else:
        return False
相关问题
最新问题