【发布时间】:2019-06-07 21:00:56
【问题描述】:
我试图让服务器只返回由登录用户创建的文档。我正在关注this post 和this one,但登录用户返回为“匿名”。
我正在使用带有 Django Rest Auth 和自定义用户的 Django Rest Framework,但没有其他自定义。
Django 2.0.10
这是我在 api.py 中的视图集:
from rest_framework import viewsets, permissions
from .models import List, Item
from .serializers import ListSerializer, ItemSerializer
class ListViewSet(viewsets.ModelViewSet):
# queryset = List.objects.all()
# permission_classes = [permissions.AllowAny, ]
model = List
serializer_class = ListSerializer
def get_queryset(self):
print(self.request.user)
return List.objects.filter(created_by=self.request.user)
def pre_save(self, obj):
obj.created_by = self.request.user
Settings.py:
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': [
'rest_framework.authentication.TokenAuthentication',
],
}
AUTH_USER_MODEL = 'users.CustomUser'
# django rest auth
ACCOUNT_AUTHENTICATION_METHOD = 'email'
我读过关于这个问题的其他帖子,它们都在谈论自定义中间件,但我没有创建自定义中间件,除非 django-rest-framework 或 django-rest-auth 实际上是这样的东西?而且这些帖子似乎没有显示如何让用户进入视图。
而且这些帖子很旧,所以 Django 可能已经改变了。
来自this post 我尝试了以下方法,但没有成功:
class ListViewSet(viewsets.ModelViewSet):
# queryset = List.objects.all()
# permission_classes = [permissions.AllowAny, ]
model = List
serializer_class = ListSerializer
def get_queryset(self):
print(self.request.user)
self.request.custom_prop = SimpleLazyObject(lambda: get_actual_value(self.request))
print(self.request.custom_prop)
return List.objects.filter(created_by=self.request.user)
def pre_save(self, obj):
obj.created_by = self.request.user
如果能提供任何帮助,我将不胜感激。这是一个基本要求,应该很简单,但我完全卡住了。
编辑:如果它对其他人有帮助,下面是我基于 Lucas Weyne 回答的工作代码。我扩展了逻辑,因此用户可以看到他们创建的所有列表,以及所有带有“is_public”标志的列表,但只能修改他们创建的列表。
我设置了权限。AllowAny 因为我希望未登录的用户查看公共列表。在客户端代码中,我检查用户是否已登录,如果是,我在查询标头中发送令牌。
注意使用 Q 对象,这是我能找到的返回满足两个条件之一的记录的最简单方法。我在Django rest framework docs 中找不到任何提及 Q 对象的内容。我最终在main Django docs 中找到了它。
这一切似乎都有效,但如果您发现我做错了什么,请发表评论!我不确定这是否是 Django 满足要求的方式,但我喜欢权限逻辑都在一个地方这一事实。
from rest_framework import viewsets, permissions
from .models import List
from .serializers import ListSerializer
from django.db.models import Q
class ListViewSet(viewsets.ModelViewSet):
"""
ViewSet for lists. Before allowing any operation, the user's status is checked.
Anybody can view a public list.
A logged-in user can create lists.
A logged-in user can view, edit and delete the lists they created.
"""
permission_classes = [permissions.AllowAny, ]
model = List
serializer_class = ListSerializer
def get_queryset(self):
# restrict any method that can alter a record
restricted_methods = ['POST', 'PUT', 'PATCH', 'DELETE']
if self.request.method in restricted_methods:
# if you are not logged in you cannot modify any list
if not self.request.user.is_authenticated:
return List.objects.none()
# you can only modify your own lists
# only a logged-in user can create a list and view the returned data
return List.objects.filter(created_by=self.request.user)
# GET method (view list) is available to owner and for public lists
if self.request.method == 'GET':
if not self.request.user.is_authenticated:
return List.objects.filter(is_public__exact=True)
return List.objects.filter(Q(created_by=self.request.user) | Q(is_public__exact=True))
# explicitly refuse any non-handled methods
return List.objects.none()
def pre_save(self, obj):
obj.created_by = self.request.user
【问题讨论】:
-
是否用户实际登录?如果是这样,那是怎么做的?
-
谢谢!事实证明,你的问题是问题的根源。用户已使用 django-rest-auth 成功登录,但我忘记将授权令牌与请求一起发送。我仍然习惯于令牌身份验证,忘记了没有它,用户没有经过身份验证。
标签: django authentication filter django-rest-framework django-rest-auth