Django：一种更干燥的方法来防止编辑/删除对象？

读完Django的权限文档后，我还是一头雾水。 我想阻止用户编辑或删除他们不拥有的对象。 我是这样写的并且有效：

在views.py中：

def deleteReward(request, reward_id):
    reward = get_object_or_404(Reward, pk=reward_id)
    if reward.owner.user != request.user: # if the user linked to the reward is not the current one
        raise Exception("This reward is not yours, you can't delete it !")
    #...

但我认为这不干净、不干燥，原因有两个：

1. 在每个 editStuff 和 deleteStuff 视图中，我必须编写相同的代码部分。

2. 我目前正在用 Tastypie 编写一个 API，如果权限逻辑在视图中，我将无法重复使用它。最好的处理方法似乎是将API权限与Django权限进行映射（但我认为我编写的代码与权限无关）。

你能帮我找到正确的方法吗？ 多谢。

这是我的工作示例。

1) 查询集

class PermissionQuerySet(models.query.QuerySet):
    def editable_by(self, user):
        return self.filter(user=user)

    def viewable_by(self, user):
        return self.filter(user=user)

2) 管理人员

class PermissionManager(models.Manager):
    def get_query_set(self):
        return PermissionQuerySet(self.model)

    def editable_by(self, user, *args):
        return self.get_query_set().editable_by(user, *args)

    def viewable_by(self, user, *args):
        return self.get_query_set().viewable_by(user, *args)

3) 型号

class MyModel(models.Model):
    ...
    objects = PermissionManager()

这种方法与基于类的视图完美配合。我看到你在使用 TastyPie。我以前从未使用过它，但它似乎也使用基于类的视图。

这是工作示例：

class MyUpdateView(UpdateView):
    def post(self, request, *args, **kwargs):
        self.request = request
        super(MyUpdateView, self).post(request, *args, **kwargs)

    def get_query_set(self):
        queryset = super(MyUpdateView, self).get_query_set()
        queryset = queryset.editable_by(self.request.user)
        if not queryset.exists():
            raise Exception("This reward is not yours, you can't delete it !")
        return queryset

我想你可以想象如何在CreateView、DeleteView中使用这种方式。我认为在 TastyPie 中实现这一点很容易。