Django Rest Framework - 当用户不是对象所有者时拒绝用户推送

2023-12-29

目前，我设置了权限，如果用户不是对象所有者，则可以阻止他们进行 GET、DELETE 和 PUT 操作Stock。但由于某种原因，当用户执行 PUSH 时，权限不起作用，即任何用户都可以 PUSHNote to a Stock即使他们不是Stock Owner.

为什么？我该如何正确检查User推 aNote，他们必须是所有者Stock?

这是通过以下方式发送的数据 PUSH 示例HTTPie:

http -a testuser:testpw POST http://127.0.0.1:8000/api/v1/notes/ note="Testing API" stock="36"

其中“36”是现有股票的 stock_id。

这里是stock_note/models.py:

from django.db import models
from django.utils import timezone
from django.contrib.auth.models import User
import uuid

class Stock(models.Model):
    '''
    Model representing the stock info.
    '''
    user = models.ForeignKey(User)
    book_code = models.CharField(max_length=14, null=True, blank=True)

    def __str__(self):
        return self.book_code

class Note(models.Model):
    '''
    Model representing the stock note.
    '''
    user = models.ForeignKey(User)
    note = models.TextField(max_length=560)
    stock = models.ForeignKey(Stock, related_name='notes')
    date_note_created = models.DateTimeField(default=timezone.now)

    def __str__(self):
        return self.note

这是api/serializers.py:

from stock_note.models import Stock, Note
from rest_framework import serializers

class StockSerializer(serializers.ModelSerializer):
    user = serializers.HiddenField(default=serializers.CurrentUserDefault())
    notes = serializers.PrimaryKeyRelatedField(read_only=True, many=True)

    class Meta:
        model = Stock
        fields = ('id', 'user', 'book_code', 'notes')

class NoteSerializer(serializers.ModelSerializer):
    user = serializers.HiddenField(default=serializers.CurrentUserDefault())

    class Meta:
        model = Note
        fields = ('user', 'note', 'stock')

这是api/views.py:

from rest_framework import generics
from stock_note.models import Stock, Note
from api.serializers import StockSerializer, NoteSerializer
from rest_framework.permissions import IsAuthenticated
from api.permissions import IsOwner

# Create your views here.

class StockList(generics.ListCreateAPIView):
    serializer_class = StockSerializer
    permission_classes = (IsAuthenticated, IsOwner)

    def get_queryset(self):
        user = self.request.user
        return Stock.objects.filter(user=user)

    def perform_create(self, serializer):
        serializer.save()

    def perform_update(self, serializer):
        serializer.save()

class NoteList(generics.ListCreateAPIView):
    serializer_class = NoteSerializer
    permission_classes = (IsAuthenticated, IsOwner)

    def get_queryset(self):
        user = self.request.user
        return Note.objects.filter(user=user)

    def perform_create(self, serializer):
        serializer.save()

    def perform_update(self, serializer):
        serializer.save()

class StockListDetail(generics.RetrieveUpdateDestroyAPIView):
    serializer_class = StockSerializer
    permission_classes = (IsAuthenticated, IsOwner)
    lookup_url_kwarg = 'stock_id'

    def get_queryset(self):
        stock = self.kwargs['stock_id']
        return Stock.objects.filter(id=stock)

class NoteListDetail(generics.RetrieveUpdateDestroyAPIView):
    serializer_class = NoteSerializer
    permission_classes = (IsAuthenticated, IsOwner)
    lookup_url_kwarg = 'note_id'

    def get_queryset(self):
        note = self.kwargs['note_id']
        return Note.objects.filter(id=note)

这是api/permissions.py:

from rest_framework import permissions

class IsOwner(permissions.BasePermission):
    def has_permission(self, request, view):
        return request.user and request.user.is_authenticated()

    def has_object_permission(self, request, view, obj):
        return obj.user == request.user

最后这是api/urls.py:

from django.conf.urls import url, include
from api import views

urlpatterns = [
    #Endpoint to allow GET and POST stocks.
    url(r'^v1/stocks/$', views.StockList.as_view()),
    #Endpoint to allow GET and POST a note to a stock.
    url(r'^v1/notes/$', views.NoteList.as_view()),
    #Endpoint to allow GET, POST, PUSH, DELETE a stocknote
    url(r'^v1/stocks/(?P<stock_id>[0-9]+)/$', views.StockListDetail.as_view()),
    #Endpoint to allow GET, POST, PUSH, DELETE a Note
    url(r'^v1/notes/(?P<note_id>[0-9]+)/$', views.NoteListDetail.as_view()),
]

UPDATE:

根据 Tom 的回答，NoteSerializer 现在看起来像这样，这意味着用户现在只能在是 Stock 所有者的情况下推送注释（新添加的是 validate_stock 函数）。请注意，汤姆的答案和这段代码之间有一个区别：而不是仅仅检查value，我正在检查value.id。 validate_stock 函数的注释对此进行了进一步解释：

class NoteSerializer(serializers.ModelSerializer):
    user = serializers.HiddenField(default=serializers.CurrentUserDefault())

    class Meta:
        model = Note
        fields = ('user', 'note', 'stock')

    def validate_stock(self, value):
        '''
        This function checks if the User is the owner of Stock
        before allowing the User to PUSH a Note to the Stock.
        '''

        # You have to get the object ID because otherwise you get following error when
        # you try to perform Stock.object.get(...):
        #TypeError: int() argument must be a string, a bytes-like object or a number, not 'Stock'
        value_id = value.id

        stock_obj = Stock.objects.get(pk=value_id)
        user = self.context['request'].user

        if not stock_obj.user == user:
            raise serializers.ValidationError("You do not have permission to perform this action.")
        return value

当你POST to v1/notes/将运行的唯一权限检查是has_permission。 URL 中没有引用任何现有实例，因此get_object没有在视图上调用，并且has_object_permissioncheck 未被调用（没有实例可以调用它。）

在这种情况下，您需要对序列化器类强制进行验证，以确保股票值必须与用户拥有的 Stock 实例相对应。

沿着这些思路的东西......

def validate_stock(self, value):
    stock = Stock.objects.get(pk=value)
    user = self.context['request'].user
    if not stock.user == user:
        raise serializers.ValidationError(...)
    return value

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

python3x

djangorestframework

Django Rest Framework - 当用户不是对象所有者时拒绝用户推送的相关文章

使用正则表达式标记化进行 NLP 词干提取和词形还原

定义一个函数名为performStemAndLemma 它需要一个参数第一个参数 textcontent 是一个字符串编辑器中给出了函数定义代码存根执行以下指定任务 1 对给出的所有单词进行分词textcontent 该单词应包含字
使用 django Rest 框架 ModelViewSet 类而不是 APIView 渲染表单

我想使用其余框架为我的 django 模型创建样板表单文档显示它使用 APIView http www django rest framework org topics html and forms rendering forms htt
在 python 中读取具有恶意字节 0xc0 的文件，导致 utf-8 和 ascii 出错

尝试将制表符分隔的文件读入 pandas 数据帧 gt gt gt df pd read table fn na filter False error bad lines False 它会出错如下所示 b Skipping line 58
将画布的鼠标坐标转换为地理坐标

我正在尝试使用 Python Tkinter 创建包含意大利所有城市的地图Canvas 我在网上找到了一张意大利地图的图片其中突出显示了一些城市并将其插入到我的Canvas 之后我使用一个函数来确定 2 个突出显示的城市的画布坐标 i
Python IF 语句到单行

是否可以将这段代码放在一行中 if x 0 a j sum elif x 1 b j sum e e D 这不是一个仅用于演示目的的工作示例 a j sum if x 0 else b j sum 如果您有 Python 3 8 或更高版本
Pandas - 按每个可能的键组合聚合

我有一个 DataFrame Pandas 我想通过 A B C 和 D 列的组合尽可能按数据进行分组假设它具有以下形式 A B C D E F G 0 Y X Y Z 1 2 7 1 Y X Y Z 3 4 8 2 X Y U V 1
如何在python中合并具有相同键的嵌套字典

我有一个这样的数据结构 SNAPSHOT SnapshotVersion 304 SNAPSHOT SnapshotCreationDate 2015 06 21 17 33 41 CafeData CafeVersion 2807 Caf
如何更改 PyGame 中声音或音乐的音量？

如何更改 PyGame 中的音量例如通过设置更改音量我制作了 UI 元素只需要知道如何更改音量即可我知道我说不清楚但你可以理解我请帮忙更改音量取决于您是否正在播放pygame mixer Sound https www pyg
多行 x 刻度标签

我正在尝试制作类似于此 Excel 示例的图我想知道 x 刻度标签上是否有第二层例如 5 年统计摘要我知道我可以使用制作多行刻度标签 n但我希望能够独立地转换这两个级别这很接近 fig plt figure figsize 8 4
Python 小数.InvalidOperation 错误

当我运行这样的东西时我总是收到此错误 from decimal import getcontext prec 30 b 2 3 Decimal b Error Traceback most recent call last File Te
理解@property装饰器和继承[重复]

这个问题在这里已经有答案了这里是 Python 3 以防万一它很重要我试图正确理解如何实现继承 property使用我已经搜索了 StackOverflow 并阅读了大约 20 个类似的问题但无济于事因为他们试图解决的问题略有不同
如何使用python读取最后一行的特定位置

我有一个太大的 txt 文件并且有几行类似的行如下所示字1 字2 字3 字4 553 75 我对位置 4 值感兴趣即最后一行 553 75 我的文件文本 word1 word2 word3 word4 553 20 word1 w
模块“tensorflow”没有属性“random_uniform”

我尝试执行一些深度学习应用程序并收到模块 tensorflow 没有属性 random uniform 错误在 CPU 上代码运行良好但速度非常慢为了在 GPU 上运行代码我需要更改一些定义下面是我的代码有任何想法吗 def
如何向类添加对十六进制函数的支持

我写了一个类来实现 int 方法以便实例可以表现得像整数 class MyClass def init self value self value value def int self return self value 使用int实例上
在 .vscode 中调试时遇到问题

我最近在 VSCODE 中调试时遇到了一个大问题我尝试通过搜索网站并重新安装一些扩展来自行修复它而不是在中显示我的结果调试控制台它将以下输出写入我的terminal cd Users AVFL Documents Programming
如何将one-hot向量转换为多标签？

我有一项多分类任务并且我得到了像这样的单热类型预测 0 1 1 0 1 0 1 0 1 我希望将这个单热向量转换为标签例如 1 2 1 0 2 我已经尝试过 tf argmax 但它不起作用那么我该如何处理呢使用列表理解 oheLi
Django - 缺少 1 个必需的位置参数：'request'

我收到错误 get indiceComercioVarejista 缺少 1 个必需的位置参数要求当尝试访问 get indiceComercioVarejista 方法时我不知道这是怎么回事 views from django ht
SQLite 在使用之间不保存数据

我制作了一个包含以下内容的模块 import sqlite3 as sq connection sq connect test db cursor connection cursor cursor execute DROP TABLE IF
Python3 类型错误：replace() 参数 1 必须是 str，而不是 int

我已经尝试了几天让这段代码在 MacOS 上运行但没有成功你能看一下我错过了什么吗运行 python 3 6 我已经上传了整个代码多谢 usr bin env python3 from future import print fun
ValueError：维度 (-1) 必须在 [0, 2) 范围内

我的python版本是3 5 2 我已经安装了keras和tensorflow 并尝试了官方的一些示例示例链接示例标题用于多类 softmax 分类的多层感知器 MLP https keras io getting started s

随机推荐

是否可以使用 Convert-sass 转换整个文件夹？（scss 到 sass）

我在一堆 SCSS 格式的文件夹中有一堆文件我需要将其全部转换为 SASS 格式并且我知道 sass 有一个特定的命令来转换 sass 但是我不确定是否可以转换整个文件夹其中包含文件夹如果可能的话那么如何convert sass
yii2 时区格式化程序中的问题

php ini 中的时区是 UTC 系统时区为UTC yii 默认时区是 UTC 但在保存到数据库之前我的日期时间属性会转换为我的时区亚洲加尔各答例如 UTC 时间 12 00 小时我的输入 17 30hrs 我在 db 中期望的
如何以编程方式关闭 Android 手机？

是否可以通过编程方式关闭移动设备那是不使用 su 命令这是可能的但你需要一个RootedAndroid 设备Superuser使用权除非您的应用程序已使用 Root 签名否则您无法在没有 Root 的情况下执行此操作System
模板专业化是否扩展或覆盖通用模板？

template
让 Android 应用程序监听共享链接

当用户共享来自其他应用程序如浏览器的 URL 时我希望我的 Android 应用程序显示为选项我如何注册我的应用程序来做到这一点我该如何对链接共享做出反应多谢 Edit 我尝试过像这样使用 IntentFilter 但没有成功
如何使用audio_service和just_audio在Flutter中查找当前歌曲时长

当您设置MediaItem in 音频服务 https pub dev packages audio service你还不知道歌曲时长因为只是音频 https pub dev packages just audio目前还没有任何更改可以告
jQuery 与 ExtJS 兼容吗？

我相信 Ext js 使用了 jQuery 但我不确定有谁知道是否与 jQuery 和 Ext js 完全兼容 Ext js 完全独立于 jQuery 因此不以任何方式依赖 jQuery 不知道完全兼容性是什么意思但您可以在同一页面
Xcode UI 测试允许系统警报系列

我有问题如果我尝试允许系列系统警报只工作一次而下一个警报不允许我在谷歌上搜索了更多时间并且知道了那个帖子 Xcode 7 UI 测试如何在代码中消除一系列系统警报 https stackoverflow com questio
我们可以在同一个 EAR 中跨 Web 应用程序共享 CDI @ApplicationScoped bean 实例吗？

我有一个 JavaEE 应用程序它有 2 个 Web 应用程序我还有另一个库 Web 模块其中包含 common bean 注释为 ApplicationScoped 我的问题是我可以在两个 Web 应用程序之间共享 common
浏览器如何判断是下载还是显示

我有一个 Web 资源它返回 json 内容Content Type application json 通常内容会直接显示在浏览器中但有时不会而是显示下载提示我知道有一个标题Content Disposition inline at
jQuery：如何在单击缩略图时显示图像弹出窗口？

在我的 aspx 页面中我有一个缩略图 img 当用户单击该图像时我希望显示一个弹出窗口用较大完整版本的图像遮挡 UI 的其余部分有没有任何插件可以做到这一点有很多 jQuery 插件可用于此 Thickbox http co
Google Play 商店是否支持华为 HMS？

我有一个带有常见谷歌广告和应用内支付功能的应用程序它已被 Play 商店接受现在我想让它同时支持GMS和HMS 根据适当服务的可用性应用程序可以决定使用哪个平台该应用程序内置了华为功能在我自己的设备上测试时运行良好然而一旦华为
@Inject 通过 URL 将参数传递给 CDI @Named bean

如果我无法将 ManagedProperty 注释与 Named 一起使用因为 ManagedProperty 在 CDI 中不起作用那么如何将 URL 中的参数传递给 Facelets 客户端在我的代码中我想通过后退和前进
使用 React.JS 导入 SVG 的最佳方法是什么

我和我的团队正在构建一个 React 应用程序我们希望导入 SVG 而不是作为字符串这样我们就能够将其用作组件由于我们使用 CRA 安装了该项目因此 SVGR 已安装并处于 webpack 配置中我们想知道是否有其他方法可以导入
utf-8 邮件 php 希腊字符

我在我的网站中创建一个表单我希望客户能够编写和发送希腊字符但在邮件中我收到类似这样的内容而不是希腊字符我尝试使用以下代码将编码更改为 UTF 8 mail recipient subject UTF 8 B base64 encod
有没有办法排除 docusaurus 中 docs 目录中的路径？

我想从其中排除子文件夹docs 生成文档页面的目录 customDocsPath https docusaurus io docs en site config customdocspath string是一个相关选项但它是一个字符串是
Three.js - 相机的良好 z 距离，可实现盒子的全视图

我使用 Three js 显示尺寸为 700x700 的场景在此场景中我生成了一个随机位置在 250 到 250 之间对于 x y z 的粒子系统因此盒子的大小为 500x500 为了计算相机的正确距离为了适应盒子的完整视图我尝
如何在 EditItemTemplate 字段中绑定 GridView 中的 DropDownList？

这是我在运行时绑定的 gridview 中的代码
我应该如何在 Visual Studio 中使用调试/发布模式？

我通常在工作机器上本地测试代码然后将其移至开发环境最后移至生产环境对于这种情况使用调试发布模式的最佳方法是什么我只需要关心我的机器中的调试模式吗我应该将调试模式还是发布模式发布到开发中我知道我可能应该使用发布模式发布到生产环
Django Rest Framework - 当用户不是对象所有者时拒绝用户推送

目前我设置了权限如果用户不是对象所有者则可以阻止他们进行 GET DELETE 和 PUT 操作Stock 但由于某种原因当用户执行 PUSH 时权限不起作用即任何用户都可以 PUSHNote to a Stock即使他们不是S

Django Rest Framework - 当用户不是对象所有者时拒绝用户推送

Django Rest Framework - 当用户不是对象所有者时拒绝用户推送 的相关文章

随机推荐

热门标签

Django Rest Framework - 当用户不是对象所有者时拒绝用户推送的相关文章