时间戳

首页 > 解决方案 > Django API 权限装饰器

django - Django API 权限装饰器

问题描述

目标: 我想只允许具有特定权限的用户使用某些端点。

例如调用允许创建用户的端点,您需要权限“user.create”

问题:

我尝试创建一个中间件以将其与decorator_from_middleware_with_args一起使用

class PermissionMiddleware:

def __init__(self, view,permission):
    self.permission = permission

def process_request(self, request):
    if not request.user.has_perm(permission_name):
        if raise_exception:
            raise exceptions.PermissionDenied("Don't have permission")
        return False
    return True

然后在我的视图中,我使用decorator_from_middleware_with_args

class UtilisateurViewSet(viewsets.ViewSet):
permission = decorator_from_middleware_with_args(PermissionMiddleware)

@permission('view_utilisateur')
def list(self, request):
    queryset = Utilisateur.objects.all()
    serializer = UtilisateurSerializer(queryset, many=True)
    return Response(serializer.data)

但是当我调用端点时出现错误:

AttributeError:“UtilisateurViewSet”对象没有属性“用户”

我认为这是因为django.contrib.sessions.middleware.SessionMiddleware尚未执行。

有没有办法定义中间件的顺序,或者其他方式来实现想要的?

标签: djangorestdjango-rest-frameworkpermissions

解决方案

我没有找到如何做我想要的,但我确实以另一种方式实现了它。

permission_classes在一个类中使用并定义了所需的权限,我将为我将添加的每个视图集执行此操作。

class UtilisateurPermission(permissions.BasePermission):
def has_permission(self, request, view):
    if view.action == "create":
        return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_create")))
    elif view.action == "retrieve":
        return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_retrieve")))
    elif view.action == "list":
        return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_list")))
    elif view.action == "destroy":
        return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_destroy")))
    elif view.action == "archive":
        return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_archive")))
    elif view.action in ['update', 'partial_update']:
        return bool(request.user.is_authenticated and (request.user.is_superuser or request.user.has_perm("utilisateur_update")))
    else:
        return False

推荐阅读