堆栈内存溢出
  繁体   English   中英

Django:自定义权限无效,视图内检查返回错误

[英]Django: Custom permission has no effect and check within view returns error

 原文  2019-12-24 15:02:38       python/ django/ permissions

问题描述

我有一个具有自定义权限类TransactionCreatorIsSenderOrAdmin的通用视图( CreateAPIView ),但它对视图根本没有影响,即使权限类只包含return False 我认为原因在文档中说明:

另请注意,通用视图只会检查检索单个模型实例的视图的对象级权限。 如果您需要对列表视图进行对象级过滤,则需要单独过滤查询集。 有关更多详细信息,请参阅过滤文档。

由于我正在检索多个模型实例,因此我的方法是在视图本身的 perform_create 中进行检查,但我收到一个错误,我不确定为什么,因为它在没有权限检查的情况下工作。 这是错误:

Exception Type: AttributeError
Exception Value: 'collections.OrderedDict' object has no attribute 'date'
Exception Location: .../transactions/api/serializers.py in get_date, line 17

这是我的观点:

class TransactionCreateAPIView(generics.CreateAPIView):
    queryset = Transaction.objects.all()
    serializer_class = TransactionSerializer
    permission_classes = [IsAuthenticated, TransactionCreatorIsSenderOrAdmin]

    def perform_create(self, serializer):
        amount = self.request.data['amount']
        message = self.request.data['message']
        from_account_iban = self.request.data['from_account']
        from_account_obj = BankAccount.objects.get(iban=from_account_iban)
        to_account_iban = self.request.data['to_account']
        to_account_obj = BankAccount.objects.get(iban=to_account_iban)        
        if from_account_obj.user == self.request.user or self.request.user.is_staff == True:
            serializer.save(amount=Decimal(amount), 
                        from_account=from_account_obj, 
                        to_account=to_account_obj,
                        message=message)
        else:
            return Response(serializer.errors, status=403)

这是序列化程序:

class TransactionSerializer(serializers.ModelSerializer):
    date = serializers.SerializerMethodField(read_only=True)
    from_account = serializers.SerializerMethodField()
    to_account = serializers.SerializerMethodField()
    slug = serializers.SlugField(read_only=True)

    class Meta:
        model = Transaction
        fields = '__all__'

    def get_date(self, instance):
        return instance.date.strftime("%B %d %Y")

    def get_from_account(self, instance):
        return instance.from_account.iban

    def get_to_account(self, instance):
        return instance.to_account.iban

1 个解决方案

解决方案1
 0 已采纳  2019-12-24 16:00:52

解决方案是而不是使用以下 else 语句:

return Response(serializer.errors, status=403)

使用这个:

raise PermissionDenied(detail=None, code=status.HTTP_403_FORBIDDEN)

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Django - 自定义 Object 权限视图 在视图def上使用Django自定义权限 在 Django 中为 api 视图创建自定义权限 自定义Django模型,可将数据返回查看 如何检查对象是否在 Django 中具有属性? 如果用户具有删除权限,如何签入 Django 模板? 向 Django Rest Framework 基于函数的视图添加自定义权限 检查django权限或运营商? 允许查看,但不能更改! - 姜戈 Django:表单检查字段是否没有错误
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM