Django限制对用户对象的访问

问题描述 投票:1回答:3

我有节点和用户模型,它们都属于组织。我想确保用户只能看到属于其组织的Node实例。

为此,我想用一个返回用户拥有的过滤结果的query_set的节点对象管理器覆盖它。

基于https://docs.djangoproject.com/en/2.1/topics/db/managers/#modifying-a-manager-s-initial-queryset我的相关models.py代码如下:

class Organisation(models.Model):
    users = models.ManyToManyField(User, related_name='organisation')
    ...

class UserNodeManager(models.Manager):
    def get_queryset(self, request):
        return super().get_queryset().filter(organisation=self.request.user.organisation.first())


class Node(models.Model):
    organisation = models.ForeignKey(
        Organisation, related_name='nodes', on_delete=models.CASCADE)

    uuid = models.UUIDField(primary_key=True, verbose_name="UUID")
    ...

    objects = UserNodeManager

views.朋友

class NodeListView(LoginRequiredMixin, generic.ListView):
    model = Node

编辑我可以将自定义query_set添加到各个视图,这确实如下工作:

views.朋友

class NodeListView(LoginRequiredMixin, generic.ListView):
    model = Node

    def get_queryset(self):
        return Node.objects.filter(organisation__users__id=self.request.user.pk)

但是,我的意图是DRY并在单个点覆盖“主”query_set方法,以便任何视图(例如表单下拉列表,API端点)将执行用户受限查询而无需其他代码。

例如,我正在使用django的通用列表视图,其中包含一个用于添加Scan对象的表单,该表单要求用户选择Scan所属的Node。表单当前显示来自其他组织的节点,这违反了我需要的权限逻辑。

不幸的是,重写的Node.objects属性似乎没有任何影响,任何用户都可以看到所有节点。我采取了正确的方法吗?

django user-permissions
3个回答
1
投票

我认为问题在于:

objects = UserNodeManager

你需要像这样启动UserNodeManager实例:

objects = UserNodeManager()

此外,当你调用YourModel.objects.all()方法(在视图中从get_queryset方法调用)时它应该抛出错误,因为当它调用get_queryset()方法时,它不会传递request。所以我认为这将是一个更好的方法:

class UserNodeManager(models.Manager):
    def all(self, request=None):
       qs = super(UserNodeManager, self).all()
       if request:
          return qs.filter(...)
       return qs

或者你可以像这样创建一个新的管理器方法(可选):

class UserNodeManager(models.Manager):
    def user_specific_nodes(self, request):
       return self.get_queryset().filter(...)

还在视图中更新:

class NodeListView(LoginRequiredMixin, generic.ListView):
    model = Node

    def get_queryset(self):
        return Node.objects.all(self.request)  # where you can obviously use filter(...) or Model.objects.user_specific_nodes(self.request)

Update

来自评论

事情就是这样,你需要通过requestfilter()传递all()。在通用视图中,get_queryset方法不会将该信息传递给all()。所以你需要通过这两种方式。还有另一种方法,使用像这样的django-crequest中间件。你可以像这样使用它:

from crequest.middleware import CrequestMiddleware

class UserNodeManager(models.Manager):
    def all(self):
       qs = super(UserNodeManager, self).all()
       request = CrequestMiddleware.get_request()
       return qs.filter(...)
0
投票

实现此目标的最佳方法是使用组和自定义权限。您可以为每个组织添加一个组,并为您的节点上的这些组设置正确的权限。

看看这篇文章,它可能有所帮助:User Groups with Custom Permissions in Django

0
投票

@ruddra再次感谢您的指导。

虽然您的中间件示例对我没有影响(因为用户仍然可以看到其他人的对象),但我能够使用django文档来最终实现类似于以下的管理器:

class UserDeviceManager(models.Manager):
    def get_queryset(self):
        request = CrequestMiddleware.get_request()
        return super().get_queryset().filter(organisation=request.user.organisation)
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.