我努力在Django REST框架上的对象创建上实施安全性。

基本上，我可以使用'has_object_permission'在对象级别实施安全性：登录的用户必须是该对象的所有者才能对其进行操作。 实际上，正如文档中所述，我缩小了查询集中的对象检索范围，因此得到了404而不是403。我认为这不是问题（甚至更好，因为它隐藏了对象的存在）

但是我不能成功地不允许另一个用户创建相关对象。

我使用ModelSerializer和ModelViewSet。

这是一些天真的片段：

models.py：

class Daddy(models.Model):
    id = models.UUIDField(primary_key=True, default=uuid.uuid4, editable=False)
    name = models.CharField(max_length=20)
    owner = models.ForeignKey(settings.AUTH_USER_MODEL, on_delete=models.CASCADE)

class Kiddy(models.Model):
    title = models.CharField(max_length=12)
    daddy = models.foreignKey(Daddy, on_delete=models.CASCADE)

serializers.py：

class KiddySerializer(serializers.ModelSerializer):
    class Meta:
        model = Kiddy
        fields = '__all__'

viewsets.py：

class KiddyViewSet(viewsets.ModelViewSet):
    serializer_class = KiddySerializer
    queryset = User.objects.none()

    permission_classes = (IsAuthenticated, IsOwner, )

    def get_queryset(self):
        dad_uuid = self.kwargs['dad']
        return Kiddy.objects.filter(daddy__pk=dad_uuid).filter(daddy__owner=self.request.user)

router.py：

router = routers.DefaultRouter()
router.register(r'dad', KiddyViewSet, base_name='kid')

urls.py：

path('api/<uuid:cv>/', include(router.urls))

使用这些网址访问对象： http：//..../api/4ecddcdd-1c0a-4d0b-8254-b0c0d2607e6d/-- >列出所有孩子

http：//..../api/4ecddcdd-1c0a-4d0b-8254-b0c0d2607e6d/1 --->对象小子

实际上，由于使用uuid，我得到了一些安全保障，这很难猜到...

Permissions.py：

class IsOwner(permissions.BasePermission):
"""
Object-level permission to only allow owners of an object to edit it.
Assumes the model instance has an `owner` attribute.
"""

def has_object_permission(self, request, view, obj):
    if request.user != obj.daddy.owner:
        return False
    else:
        return True

如果使用错误的所有者登录，则可以创建相关的Kiddy对象！

我想，我必须以“ has_permission”类型实现此权限。 但是我不知道如何访问那里的对象，因为参数是请求和查看...

在这里，他找到了解决方案。 但这根本不是通用的，因为我将需要对每个相关对象的自定义权限...我得到了很多！ 在Django REST Framework中检查相关对象的权限

任何想法？

好的，我解决了这个问题:-)

正如我怀疑的那样，在Permissions.py中，我添加了以下“ has_permission”：

class IsOwnerParent(permissions.BasePermission):
    def has_permission(self, request, view):
        daddy = Daddy.objects.get(pk=view.kwargs['dad'])
        return daddy.owner == request.user

并将其添加到我的ModelViewSet类中：

class KiddyViewSet(viewsets.ModelViewSet):
    serializer_class = KiddySerializer
    queryset = User.objects.none()

    permission_classes = (IsAuthenticated, IsOwner, IsOwnerParent)

    def get_queryset(self):
        dad_uuid = self.kwargs['dad']
        return Kiddy.objects.filter(daddy__pk=dad_uuid).filter(daddy__owner=self.request.user)

因此，实际上，此处提供的解决方案在Django REST Framework中检查相关对象的权限确实有效。 实际上，它非常通用，因为我的许多对象都与“爸爸”对象有关。

实际上，现在检索对象列表的行为看起来更“正常”：我收到403错误而不是404错误。

我认为这种用例非常普遍：用户只能创建与其拥有的对象相关的对象，并且也只能更新和删除其拥有的对象。

但是也许可以做一个更好的方法？