如何通过 ForeignKey 检查 django-guardian get_objects_for_user 权限

【问题标题】:How to check django-guardian get_objects_for_user permissions via ForeignKey如何通过 ForeignKey 检查 django-guardian get_objects_for_user 权限
【发布时间】:2020-07-01 14:55:57
【问题描述】:

我有两个 Django Models 的形式:

from django.db import models


class Car(models.Model):
    pass

class Wheel(models.Model):
    car = models.ForeignKey(Car, related_name='wheels', on_delete=models.CASCADE)

我正在使用django-guardian 来强制执行对象级权限。实际应用中有大量嵌套对象,发现为每个嵌套对象创建所有权限对象的写入性能非常慢。因此,Users 被授予顶级对象的权限(在此玩具示例中为 Car)。

在访问 Wheel 的 REST 端点上,通过向上移动外键(在本例中为 Wheel.car)来检查 Django REST Framework 权限,以验证 User 是否应该有权访问特定的 Wheel

如何使用get_objects_for_user 来获取User 对其父Car 具有适当权限的所有Wheels?

专门尝试覆盖django-rest-framework-guardianObjectPermissionsFilter.filter_queryset 以支持根据ForeignKeys 之一的权限过滤对象。

【问题讨论】:

    标签: python django django-rest-framework permissions django-guardian


    【解决方案1】:

    我可以通过定义此 Filter 以与 Wheel ViewSet filter_backends 一起使用来实现此功能:

    from rest_framework.filters import BaseFilterBackend


class CarObjectPermissionsFilter(BaseFilterBackend):
    perm_format = '%(app_label)s.view_%(model_name)s'

    def filter_queryset(self, request, queryset, view):
        permission = cls.perm_format % {
            'app_label': Car._meta.app_label,
            'model_name': Car._meta.model_name,
        }
        car_ids = get_objects_for_user(user, permission, Car.objects.values_list('pk', flat=True))
        return queryset.filter(car__in=car_ids)

    【讨论】:

      猜你喜欢
      • 2020-07-27
      • 1970-01-01
      • 1970-01-01
      • 2014-01-10
      • 2023-03-29
      • 2011-05-09
      • 2021-09-07
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode