django - Django auth:self.request.user 在视图集中始终是匿名的
问题描述
我试图让服务器只返回由登录用户创建的文档。我正在关注这篇文章和这篇文章,但登录用户返回为“匿名”。
我正在使用带有 Django Rest Auth 的 Django Rest 框架和一个自定义用户,但没有其他自定义。
Django 2.0.10
这是我在 api.py 中的视图集:
from rest_framework import viewsets, permissions
from .models import List, Item
from .serializers import ListSerializer, ItemSerializer
class ListViewSet(viewsets.ModelViewSet):
# queryset = List.objects.all()
# permission_classes = [permissions.AllowAny, ]
model = List
serializer_class = ListSerializer
def get_queryset(self):
print(self.request.user)
return List.objects.filter(created_by=self.request.user)
def pre_save(self, obj):
obj.created_by = self.request.user
设置.py:
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': [
'rest_framework.authentication.TokenAuthentication',
],
}
AUTH_USER_MODEL = 'users.CustomUser'
# django rest auth
ACCOUNT_AUTHENTICATION_METHOD = 'email'
我已经阅读了关于这个问题的其他帖子,它们都在谈论自定义中间件,但我没有创建自定义中间件,除非 django-rest-framework 或 django-rest-auth 实际上是这样的东西?而且这些帖子似乎没有显示如何让用户进入视图。
这些帖子也很旧,所以 Django 可能已经改变了。
从这篇文章中,我尝试了以下方法,但没有成功:
class ListViewSet(viewsets.ModelViewSet):
# queryset = List.objects.all()
# permission_classes = [permissions.AllowAny, ]
model = List
serializer_class = ListSerializer
def get_queryset(self):
print(self.request.user)
self.request.custom_prop = SimpleLazyObject(lambda: get_actual_value(self.request))
print(self.request.custom_prop)
return List.objects.filter(created_by=self.request.user)
def pre_save(self, obj):
obj.created_by = self.request.user
我将非常感谢任何帮助。这是一个基本要求,应该很简单,但我完全被卡住了。
编辑:如果它对其他人有帮助,下面是我基于 Lucas Weyne 回答的工作代码。我扩展了逻辑,因此用户可以看到他们创建的所有列表,以及所有具有标志“is_public”的列表,但只能修改他们创建的列表。
我设置了 permissions.AllowAny 因为我希望未登录的用户查看公共列表。在客户端代码中,我检查用户是否登录,如果是,我在查询标头中发送令牌。
请注意使用 Q 对象,这是我能找到的返回满足两个条件之一的记录的最简单方法。我在Django rest framework docs中找不到任何提及 Q 对象的内容。我最终在主要的 Django 文档中找到了它。
这一切似乎都有效,但如果你发现我做错了什么,请发表评论!我不确定这是否是 Django 满足要求的方式,但我喜欢权限逻辑都在一个地方这一事实。
from rest_framework import viewsets, permissions
from .models import List
from .serializers import ListSerializer
from django.db.models import Q
class ListViewSet(viewsets.ModelViewSet):
"""
ViewSet for lists. Before allowing any operation, the user's status is checked.
Anybody can view a public list.
A logged-in user can create lists.
A logged-in user can view, edit and delete the lists they created.
"""
permission_classes = [permissions.AllowAny, ]
model = List
serializer_class = ListSerializer
def get_queryset(self):
# restrict any method that can alter a record
restricted_methods = ['POST', 'PUT', 'PATCH', 'DELETE']
if self.request.method in restricted_methods:
# if you are not logged in you cannot modify any list
if not self.request.user.is_authenticated:
return List.objects.none()
# you can only modify your own lists
# only a logged-in user can create a list and view the returned data
return List.objects.filter(created_by=self.request.user)
# GET method (view list) is available to owner and for public lists
if self.request.method == 'GET':
if not self.request.user.is_authenticated:
return List.objects.filter(is_public__exact=True)
return List.objects.filter(Q(created_by=self.request.user) | Q(is_public__exact=True))
# explicitly refuse any non-handled methods
return List.objects.none()
def pre_save(self, obj):
obj.created_by = self.request.user
解决方案
对于通过 进行身份验证TokenAuthentication的客户端,令牌密钥应包含在AuthorizationHTTP 标头中。Browseable API 只能通过 Basic 或 Session 身份验证传递用户凭据。要测试您的 API,您需要一个 HTTP 客户端,例如cURL
curl -H "Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b" <url>
List.objects.filter(created_by=self.request.user)相反,允许对您的视图进行任何访问将为未经授权的用户引发内部服务器错误401 Unauthorized。如果查询集依赖于用户,则应添加权限类以要求用户凭据。
class ListViewSet(viewsets.ModelViewSet):
permission_classes = [permissions.IsAuthenticated, ]
serializer_class = ListSerializer
def get_queryset(self):
return List.objects.filter(created_by=self.request.user)
def pre_save(self, obj):
obj.created_by = self.request.user
推荐阅读
- c# - c# LINQ 过滤器嵌套集合
- swift - 日期()之间有什么区别。和日期。在斯威夫特?
- azure - Azure Integration Account, use public and private certificate in agreement
- git - 修改后rebase分支?
- c# - Firebase unity authentication google signIn,下载包去掉Unity项目的UI
- java - 如何使用 presto-parser 获取 presto 查询中引用的所有数据库表
- jmeter - 为什么在“jp@gc - Active Threads Over Time”中显示的用户数量存在差异
- javascript - Netsuite 套件响应式 UI,站点构建器捆绑
- java - 使用 configMap 和 Volumes 从 kubernetes 读取配置文件
- php - PHP - MYSQL 连接问题