【发布时间】:2012-04-21 03:23:34
【问题描述】:
我有一个基本权限系统,其中我几乎是基于user.profile.user_type 对权限进行硬编码,其中user.profile 相当于user.get_profile()。
例如,如果user_type 是1(物业经理),则该用户可以查看所有工作订单。 2 的 user_type(租户)表示用户只能查看他创建的工单。
我目前只是像这样在urls.py 中使用基于类的通用视图
url(
r'^orders/$',
ListView.as_view(
model = Order,
template_name = 'doors/orders/list.html'
),
name = 'orders_list'
),
因此我根本没有权限控制。
那么要添加权限系统,我应该在模板中这样控制吗?
{% for order in order_list %}
{% if request.user.profile.user_type == 1 %}
# Show every order
{{ order.pk }}
{% else %}
# Show only work orders created by that user
{% if order.creator == request.user.pk %}
{{ order.pk }}
{% endif %}
{% endif %}
{% endfor %}
我有一种感觉,尝试在模板内部进行 filter 是在浪费大量的 SQL 命中,因为无论 user_type 是什么,模板仍然会强制 Django 调用每个工作指示。这是真的吗?
或者我应该像这样在视图中控制它?
def orders_list( request ) :
if request.user.user_type == 1 :
order_list = Order.objects.all()
else :
order_list = Order.objects.filter( creator = request.user.pk )
dictionary = {
'order_list' : order_list,
}
return render( request, 'doors/orders/list.html', dictionary )
显然,如果我尝试在 views.py 内控制它,那么我将无法再使用通用视图。
最后,我的第三个选择是(以某种方式)在基于类的通用视图中控制它。我什至不知道这是否可能。也许不知何故与get_context_data?我真的很喜欢通用视图的简单性,但我对更高级的 OO 概念不太熟悉。
你们有什么建议?
【问题讨论】:
-
为什么不扩展通用视图类并添加自己的逻辑?
标签: python django permissions django-templates django-views