【发布时间】:2021-02-02 02:11:58
【问题描述】:
我试图找出基于Users 权限限制QuerySets 的“最佳做法”。
例如,仪表板上有一张发票表。拥有Group 的User 调用Admin 可以看到所有发票,但拥有Broker 组的User 只能看到他们自己的发票。这意味着只有具有user = ... 的发票。
我的想法是创建两个权限can_see_all_invoices 和can_see_own_invoices。
现在,当我使用Django Rest Framework 调用QuerySet 时,我将检查权限并返回过滤后的QuerySet。
或者我应该在前端过滤QuerySet,如果Broker 要求提供所有发票,我会引发 PermissionError?
正在使用这些方法中的哪一种或有不同的方法?
【问题讨论】:
标签: python django django-rest-framework django-queryset django-permissions