需要 Django 权限

Question

我正在尝试检查某些 API 请求的权限。 我已经设置了 auth users 和 auth_user_user_permissions 和 auth_permissions 表，例如 view_company add_company bla bla，但问题不在于。问题是当我尝试使用装饰器时

@permission_required('API.view_company', raise_exception=True)

它对我说

AttributeError: 'CompanyDetailView' object has no attribute 'user'

很可能它正在寻找用户，因为它会检查 user_permission 是否可用于查看公司，但我在 urls.py (path('companies//', CompanyDetailView.as_view()),) 中声明的视图没有用户对象，这就是错误消息返回属性错误的原因，我该如何解决这个问题，非常感谢

我试图在视图类中设置示例用户，一开始，它起作用是因为视图正在寻找用户对象，我不能使用这种方式，因为每个请求都有不同的用户

import rest_framework
from rest_framework import status
from django.contrib.auth.models import User
from rest_framework.views import APIView
from rest_framework.response import Response
from django.contrib.auth.decorators import permission_required

class CompanyDetailView(APIView):
    @permission_required('api.view_company', raise_exception=True)
    def get(self, request, id):
        try:
            request_data = {}
            request_data['request_method'] = request.method
            request_data['id'] = id
            companies = Company.objects.get(id=id)
            status = rest_framework.status.HTTP_200_OK
            return Response(companies, status)

呜呜呜

url 行是 =

path('companies/<int:id>/', CompanyDetailView.as_view()),

我的错误信息是：AttributeError: 'CompanyDetailView' object has no attribute 'user'

当我调试时，我看到 request.user.has_perm('view_company')returned false 但仍然 api 给出响应，它假设说你不允许查看公司

Answer 1

Django Views 和 Django Rest Framework Views 的机制有点不同，这就是你收到错误消息的原因。 permission_required 将尝试访问您视图的user 字段以使用has_perm 方法检查用户权限。但是 APIView 里面没有 user 字段。

要摆脱这种情况，您可能需要使用 Django Rest Framework 提供的permissions 来限制访问。

但是如果您仍然想使用 Django 的内置权限来限制对您的视图的访问，您可以创建一个 Permission 类，该类将使用has_perm 来检查用户权限。像这样：

from rest_framework import permissions
from rest_framework import exceptions

class ViewCompanyPermission(permissions.BasePermission):
    def has_permission(self, request, view):
        if not request.user.has_perm('api.view_company'):
            raise exceptions.PermissionDenied("Don't have permission")
        return True

并通过permission_classes 字段在您的视图中使用它：

class CompanyDetailView(APIView):
    permission_classes = (ViewCompanyPermission, )
    def get(self, request, id):
        try:
            request_data = {}
            request_data['request_method'] = request.method
            request_data['id'] = id
            companies = Company.objects.get(id=id)
            status = rest_framework.status.HTTP_200_OK
            return Response(companies, status)

---

如果您想复制 permission_required 行为，您可以执行以下操作：

from rest_framework import permissions
from rest_framework import exceptions

def permission_required(permission_name, raise_exception=False):
    class PermissionRequired(permissions.BasePermission):
        def has_permission(self, request, view):
            if not request.user.has_perm(permission_name):
                if raise_exception:
                    raise exceptions.PermissionDenied("Don't have permission")
                return False
            return True
    return PermissionRequired

然后你可以像这样使用它：

class CompanyDetailView(APIView):
    permission_classes = (permission_required("api.view_company", raise_exception=True), )
    # ...

Answer 2

你不能轻易地将 django 权限与 django rest 框架一起使用。

有一个关于 django-rest-framework 权限的教程：

https://www.django-rest-framework.org/api-guide/permissions/

Answer 3

根据permission_required 的描述，此装饰器应用于函数视图，其中第一个参数是request，您尝试将其应用于第一个参数为self 的类方法，在您的例子中CompanyDetailView 所以你得到了错误。您应该使用另一种方式来检查权限。

您可以在此处阅读一些示例：decorators-on-django-class-based-views