我努力在Django REST框架上的对象创建上实施安全性。
基本上,我可以使用'has_object_permission'在对象级别实施安全性:登录的用户必须是该对象的所有者才能对其进行操作。 实际上,正如文档中所述,我缩小了查询集中的对象检索范围,因此得到了404而不是403。我认为这不是问题(甚至更好,因为它隐藏了对象的存在)
但是我不能成功地不允许另一个用户创建相关对象。
我使用ModelSerializer和ModelViewSet。
这是一些天真的片段:
models.py:
class Daddy(models.Model):
id = models.UUIDField(primary_key=True, default=uuid.uuid4, editable=False)
name = models.CharField(max_length=20)
owner = models.ForeignKey(settings.AUTH_USER_MODEL, on_delete=models.CASCADE)
class Kiddy(models.Model):
title = models.CharField(max_length=12)
daddy = models.foreignKey(Daddy, on_delete=models.CASCADE)
serializers.py:
class KiddySerializer(serializers.ModelSerializer):
class Meta:
model = Kiddy
fields = '__all__'
viewsets.py:
class KiddyViewSet(viewsets.ModelViewSet):
serializer_class = KiddySerializer
queryset = User.objects.none()
permission_classes = (IsAuthenticated, IsOwner, )
def get_queryset(self):
dad_uuid = self.kwargs['dad']
return Kiddy.objects.filter(daddy__pk=dad_uuid).filter(daddy__owner=self.request.user)
router.py:
router = routers.DefaultRouter()
router.register(r'dad', KiddyViewSet, base_name='kid')
urls.py:
path('api/<uuid:cv>/', include(router.urls))
使用这些网址访问对象: http://..../api/4ecddcdd-1c0a-4d0b-8254-b0c0d2607e6d/-- >列出所有孩子
http://..../api/4ecddcdd-1c0a-4d0b-8254-b0c0d2607e6d/1 --->对象小子
实际上,由于使用uuid,我得到了一些安全保障,这很难猜到...
Permissions.py:
class IsOwner(permissions.BasePermission):
"""
Object-level permission to only allow owners of an object to edit it.
Assumes the model instance has an `owner` attribute.
"""
def has_object_permission(self, request, view, obj):
if request.user != obj.daddy.owner:
return False
else:
return True
如果使用错误的所有者登录,则可以创建相关的Kiddy对象!
我想,我必须以“ has_permission”类型实现此权限。 但是我不知道如何访问那里的对象,因为参数是请求和查看...
在这里,他找到了解决方案。 但这根本不是通用的,因为我将需要对每个相关对象的自定义权限...我得到了很多! 在Django REST Framework中检查相关对象的权限
任何想法?
