【发布时间】:2016-04-30 14:07:55
【问题描述】:
我正在使用 Django 1.9。当我尝试将 PermissionRequiredMixin 添加到我的基于类的视图中时,它似乎没有按预期工作。我在 auth_group 中创建了一个新用户。此 auth_group 对任何应用程序或模型没有任何权限。此新用户不是超级用户或管理员用户。但该应用程序不会阻止此用户访问需要权限的特定视图。
首先,我试图确保用户没有权限:
user.get_all_permissions() # return set() - empty permission, which is correct.
user.is_superuser # return false, which is correct.
user.has_perm('myapp.add_something or even any words that make no sense') # always return true, which is very weird.
该应用具有自定义用户模型,并且还使用 django-allauth 作为 AUTHENTICATION_BACKENDS。我不确定 PermissionRequiredMixin 是否会检查 user.has_perm() 并且它总是返回 true 所以这就是为什么检查权限不能按预期工作?
# views.py
class My_View(PermissionRequiredMixin, View):
permission_required = 'polls.can_vote'
def get(self, request, *args, **kwargs):
# do something...
return render(request, "template.html", {})
# models.py - Custom User Model
class CustomUser(AbstractBaseUser, PermissionsMixin):
email = models.EmailField(
verbose_name='email address',
max_length=255,
unique=True,
)
group = models.ManyToManyField(Group, through='UserGroupRelationship')
....
# models.py - many-to-many relationship between user and group
class UserGroupRelationship(models.Model):
user = models.ForeignKey("CustomUser")
user_group = models.ForeignKey(Group)
我还尝试了在 urls.py 中检查权限的旧方法。它也不会阻止用户访问,所以我认为这不是使用 PermissionRequiredMixin 的问题。
urlpatterns = patterns('',
(r'^vote/', permission_required('polls.can_vote')(VoteView.as_view())),
)
【问题讨论】:
标签: django permissions django-allauth manytomanyfield django-custom-user