我有节点和用户模型,它们都属于组织。我想确保用户只能看到属于其组织的Node实例。
为此,我想用一个返回用户拥有的过滤结果的query_set的节点对象管理器覆盖它。
基于https://docs.djangoproject.com/en/2.1/topics/db/managers/#modifying-a-manager-s-initial-queryset我的相关models.py代码如下:
class Organisation(models.Model):
users = models.ManyToManyField(User, related_name='organisation')
...
class UserNodeManager(models.Manager):
def get_queryset(self, request):
return super().get_queryset().filter(organisation=self.request.user.organisation.first())
class Node(models.Model):
organisation = models.ForeignKey(
Organisation, related_name='nodes', on_delete=models.CASCADE)
uuid = models.UUIDField(primary_key=True, verbose_name="UUID")
...
objects = UserNodeManager
views.朋友
class NodeListView(LoginRequiredMixin, generic.ListView):
model = Node
编辑我可以将自定义query_set添加到各个视图,这确实如下工作:
views.朋友
class NodeListView(LoginRequiredMixin, generic.ListView):
model = Node
def get_queryset(self):
return Node.objects.filter(organisation__users__id=self.request.user.pk)
但是,我的意图是DRY并在单个点覆盖“主”query_set方法,以便任何视图(例如表单下拉列表,API端点)将执行用户受限查询而无需其他代码。
例如,我正在使用django的通用列表视图,其中包含一个用于添加Scan对象的表单,该表单要求用户选择Scan所属的Node。表单当前显示来自其他组织的节点,这违反了我需要的权限逻辑。
不幸的是,重写的Node.objects属性似乎没有任何影响,任何用户都可以看到所有节点。我采取了正确的方法吗?
我认为问题在于:
objects = UserNodeManager
你需要像这样启动UserNodeManager
实例:
objects = UserNodeManager()
此外,当你调用YourModel.objects.all()
方法(在视图中从get_queryset
方法调用)时它应该抛出错误,因为当它调用get_queryset()
方法时,它不会传递request
。所以我认为这将是一个更好的方法:
class UserNodeManager(models.Manager):
def all(self, request=None):
qs = super(UserNodeManager, self).all()
if request:
return qs.filter(...)
return qs
或者你可以像这样创建一个新的管理器方法(可选):
class UserNodeManager(models.Manager):
def user_specific_nodes(self, request):
return self.get_queryset().filter(...)
还在视图中更新:
class NodeListView(LoginRequiredMixin, generic.ListView):
model = Node
def get_queryset(self):
return Node.objects.all(self.request) # where you can obviously use filter(...) or Model.objects.user_specific_nodes(self.request)
来自评论
事情就是这样,你需要通过request
和filter()
传递all()
。在通用视图中,get_queryset
方法不会将该信息传递给all()
。所以你需要通过这两种方式。还有另一种方法,使用像这样的django-crequest中间件。你可以像这样使用它:
from crequest.middleware import CrequestMiddleware
class UserNodeManager(models.Manager):
def all(self):
qs = super(UserNodeManager, self).all()
request = CrequestMiddleware.get_request()
return qs.filter(...)
实现此目标的最佳方法是使用组和自定义权限。您可以为每个组织添加一个组,并为您的节点上的这些组设置正确的权限。
看看这篇文章,它可能有所帮助:User Groups with Custom Permissions in Django
@ruddra再次感谢您的指导。
虽然您的中间件示例对我没有影响(因为用户仍然可以看到其他人的对象),但我能够使用django文档来最终实现类似于以下的管理器:
class UserDeviceManager(models.Manager):
def get_queryset(self):
request = CrequestMiddleware.get_request()
return super().get_queryset().filter(organisation=request.user.organisation)