如何根据用户权限和模型属性值限制对 DetailView 的访问？

2024-04-30

我想限制对某些具有属性的详细文章页面的访问is_private=True。可以在文章列表中显示，但仅限有权限的用户view_private_articles必须能够访问文章详细视图。

模型.py：

class Article(models.Model):
    title = models.CharField(
        max_length=150,
    )
    is_private = models.BooleanField(
    default=False,
    )

视图.py:

class ArticleListView(LoginRequiredMixin,ListView):
    model = Article
    template_name = 'article_list.html'
    context_object_name = 'article_objects_list'
    login_url = 'login'

    class Meta:
        permissions = [
            ("view_private_articles", "Can view private articles"),
        ]

    def __str__(self):
        return self.value


class  ArticleDetailView(
        LoginRequiredMixin,
        PermissionRequiredMixin,
        DetailView):
    model = Article
    context_object_name = 'article_object'
    template_name = 'detail/article_detail.html'
    login_url = 'login'
    permission_required = 'view_private_articles'

正如您所注意到的，问题是该方法所描述的here https://docs.djangoproject.com/en/2.2/topics/auth/customizing/#custom-permissions只能限制没有权限的用户view_private_articles查看所有文章的权限（不仅限于is_private=True属性）。

那么如何限制用户只能查看带有属性的文章is_private=True?

更新01 我尝试添加 UserPassesTestMixin 但没有结果：

class  ArticleDetailView(
        LoginRequiredMixin,
        PermissionRequiredMixin,
        UserPassesTestMixin,
        DetailView):
    model = Article
    context_object_name = 'article_object'
    template_name = 'detail/article_detail.html'
    login_url = 'login'
    permission_required = 'view_private_articles'

        def test_func(self):
        article_obj = self.get_object()
        user_obj = self.request.user
        if article_obj.is_private is True and user_obj.has_perms("view_private_articles"):
            return True
        else:
            return False

如果我的用户没有这样做，我仍然会收到 403 禁止view_private_articles权限无论是否有属性is_private或者不是因为 PermissionRequiredMixin。但是如果我删除 PermissionRequiredMixin，我的用户就没有view_private_articles权限可以访问详细文章。显然我写的方法很糟糕，但是如何正确呢？

UPDATE02 它的工作原理如下：

class  ArticleDetailView(
        LoginRequiredMixin,
        UserPassesTestMixin,
        DetailView):
    model = Article
    context_object_name = 'article_object'
    template_name = 'detail/article_detail.html'
    login_url = 'login'
    permission_required = 'view_private_articles'

        def test_func(self):
        article_obj = self.get_object()
        user_obj = self.request.user
        if article_obj.is_private is True and user_obj.has_perm("blog.view_private_articles"):
            return True
        return False

其中 blog-包含 model 的应用程序的名称。感谢@dirkgroten！

UPDATE03 也可以通过视图方法完成dispatch重写：

from django.core.exceptions import PermissionDenied

class  ArticleDetailView(
        LoginRequiredMixin,
        DetailView):
    model = Article
    context_object_name = 'article_object'
    template_name = 'detail/article_detail.html'
    login_url = 'login'

    def dispatch(self, request, *args, **kwargs):
        user_obj = self.request.user
        if not user_obj.has_perm("blog.view_private_articles"):
            raise PermissionDenied
        return super().dispatch(request,*args,**kwargs)

您可能也不想显示您的文章中的所有文章ListView。所以有两种不同的方法ListView和DetailView.

For the ListView你应该覆盖get_queryset()。在这里您可以根据用户发回不同的列表：

def get_queryset(self, **kwargs):
    qs = super().get_queryset(**kwargs)
    if self.request.user.is_staff:
        return qs
    if self.request.user.has_perm("view_private_articles"):
        return qs.filter(is_private=True)
    return qs.none()

For the DetailView, add a UserPassesTestMixin供您查看和使用get_object()验证用户是否允许查看特定对象：

 def test_func(self):
     return self.request.user.may_view(self.get_object())  # assuming you write a `may_view(article)` method on a `User` model.

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

django

djangoviews

如何根据用户权限和模型属性值限制对 DetailView 的访问？的相关文章

如何使用 django 过滤器 icontains 获取多个字段

我正在尝试将查询搜索与所有模型字段进行比较但我不知道如何在多个字段中执行此操作这是我的代码 expense Expense objects filter user request user id order by date q requ
solr + haystack + django 我在哪里放置 schema.xml？

我刚刚安装Solr and Haystack for a Django我正在做的项目下列的this http docs haystacksearch org dev tutorial html Haystack教程我创建了一个 sche
我可以在pycharm中的断点处进入交互模式吗

我是一个相当新的 Pycharm 3 用户正在从事 django 项目我可以在 pycharm3 中的断点处进入交互模式吗这可能吗当程序在断点处停止时我尝试过工具 gt 打开调试命令行但我没有看到控制台打开我怎样才能让它发挥作
Django Channels Postgres InterfaceError：连接已关闭

我似乎无法理解这里的问题我正在为我的渠道消费者编写测试文档中的描述 https channels readthedocs io en latest topics testing html 我通常会使用 Django 默认的单元测试但由于
在 Elastic Beanstalk SSH 上运行 Django 命令 -> 缺少环境变量

所以这对我来说是一个长期存在的问题我很想解决它我也认为这会帮助很多其他人我希望在 Elastic Beanstalk EC2 实例上进行 ssh 操作后运行 Django 命令例如 python manage py dumpdata
Django - 找不到静态文件

我看过有关此问题的几个帖子但没有找到我的解决方案我正在尝试在 Django 1 3 开发环境中提供静态文件这是我的设置 STATIC ROOT home glide Documents django cbox static STATI
Django excel save_book_to_database() 在使用 Django 1.8 的最新版本中损坏

我一直在使用 Django 1 8 浏览 django excel 文档但无法获得save book to database 上班它要么默默地失败要么给出以下错误 tuple object has no attribute meta
Git 子模块：[电子邮件受保护]：权限被拒绝（公钥）。致命：无法从远程存储库读取

我有一个问题git submodule update init remote 我收到错误权限被拒绝和克隆失败但我将 SSH 密钥添加到了我的 github 存储库中我可以拉推 git 克隆我拥有所有需要的访问权限我使用操作系统
django - 设置中带有数据库 url 的 MySQL 严格模式

我在设置中使用数据库 URL 字符串例如 DATABASES default mysql root localhost 3306 mydb 当我迁移时我收到此警告 MySQL Strict Mode is not set for dat
Django 是否使用一个线程来处理 WSGI 或 Gunicorn 中的多个请求？

根据标题我想知道 Django 在通过 WSGI 或 Gunicorn 运行时是否使用一个线程来处理多个请求我知道从不应该访问的地方访问请求是一种不好的做法但我仍然想这样做我认为有充分的理由例如在我的自定义模板加载器中访问当前用户
Django 和自定义表单验证

我正在尝试创建一个自定义表单字段并对其进行验证这是 Django 1 0 版本这是我的表单对象 class UsernameField forms CharField def clean self values print 我是这样称呼
Django 模型 - 外键作为主键

我有以下2张表在 models py 中 class Foo models Model uuid models CharField UUID primary key True default uuid4 and class FooExt
Django ManyToManyField 在数据库中的位置/如何表示？

UPDATE 刚刚发现当选择特定专辑时 ManyToManyField 会导致管理界面崩溃我将它们注释掉注释掉所有对其的引用重新运行makemigrations and migrate 现在管理界面又可以工作了这让我离让这个最喜
使用 Python 2.7 在 Django 1.6 中实现 Chartit - TypeError: 'NoneType' has no attribute __getitem__

我已经在 Django 中成功实现了一些应用程序目前我尝试根据教程实现图表 http chartit shutupandship com docs how to use http chartit shutupandship com doc
如何在 django 中验证给定的 URL 是否来自特定域

我有一个模型 class Profile models Model social github models URLField blank True null True social twitter models URLField blan
在 Google App Engine 上运行的最佳 Django 功能？

我正在 App Engine 上启动一个新项目并且布兰登的建议 https stackoverflow com questions 485178 architecture guidance for appengine websites 5
Django 中的 Rpy2 错误 - 未为“”类型的对象定义转换“py2rpy”

我以前从未使用过 R 并且正在尝试使用 rpy2 从 python 调用 R 函数它可以在独立的 python 终端上运行但不能在 Django 中运行但rpy2似乎无法将python字符串转换为r对象我正在使用同事提供的自定义库
通用详细视图 ProfileView 必须使用对象 pk 或 slug 调用

我是 Django 2 0 的新手在访问我的个人资料页面视图时收到此错误它适用于像这样的网址path users
Django 模型字段默认基于另一个模型字段

我使用 Django Admin 构建一个管理站点有两张表一张是ModelA其中有数据另一个是ModelB里面什么也没有如果一个模型字段b b in ModelB为None 可以显示在网页上值为ModelA的场a b 我不知道该怎
我们什么时候应该在 Django 中使用“db_index=True”？

当我们应该定义db index True在模型字段上我正在尝试优化应用程序并且我想了解更多信息db index 什么情况下我们应该使用它文档说使用db index True在模型字段上用于加速查找但在存储和内存方面略有缺点我们应该使

随机推荐

SignalR - HubContext 和 Hub.Context

我是 signalR 的新手正在阅读 API 并使用它对 Hub 及其上下文有点困惑那是 Hub Context is not HubContext HubContext我可以从GlobalHost ConnectionManager
向 IEnumerable 等接口添加通用扩展方法

我一直在努力让我的通用扩展方法发挥作用但他们只是拒绝我无法弄清楚why 该线程对我没有帮助尽管它应该 https stackoverflow com questions 2618271 why is it impossible to
如何避免软键盘显示自动正确建议？

我不希望我的软键盘显示这些建议和任何符号例如要停止提供建议请将以下属性添加到 XML 中的 EditText android inputType textNoSuggestions 和或使用添加多种类型如下 android inp
使用 javascript 在网络浏览器中 Ungzip csv 文件

我想从网络服务器下载 gzip 压缩的 csv 文件然后在浏览器中解压到目前为止我已经尝试使用pako and zlib将文件压缩到我的服务器上但遇到了各种问题尝试解压缩 unix gzipped 文件时我不断收到错误的标头消息
RTL 语言的 Kendo PDF 导出问题

I want to export PDF from Kendo Grid Using ASP MVC that s work fine but when the texts are in RTL mode ex Arabic Persian
智能流体 JavaScript 导航助手

我正在尝试创建一个 javascript 算法ul伸出的菜单li元素使用可用宽度 100 我正在考虑一个具有以下流程的算法 1 calculate the entire available with 2 substract the tota
为什么 R 3.6.0 在计算表达式 ("Dogs" < "cats") 时返回 FALSE？

我有一些复杂的代码但我不会向您展示这些代码而是要提取问题的本质评价 dogs lt cats 这应该评估为FALSER 3 6 也是如此评价 Dogs lt cats 这应该评估为TRUE因为 D 的 ASCII 代码是 68 而
Async.TryCancelled 不适用于 Async.RunSynchronously

我尝试创建一个根据用户交互更新 UI 的代理如果用户单击按钮则应刷新 GUI 模型的准备需要很长时间因此希望如果用户单击其他按钮则取消准备并开始新的准备到目前为止我所拥有的 open System Threading type p
在 SharePoint Intranet 上处理跨域的最佳方法，无需服务器端、silverlight、DBC 等

我正在开发 Microsoft 内部 SharePoint 网站并且需要从跨域 SharePoint 网站提取列表数据由于各种原因我不想使用 Silverlight 并且目前无法实现业务数据连接有没有一种简单的方法可以使用 Java
如何向队列发送参数？

请考虑以下工作
在 Haskell 中编写 Web 应用程序的最简单方法是什么？ [关闭]

Closed 此问题正在寻求书籍工具软件库等的推荐不满足堆栈溢出指南 help closed questions 目前不接受答案我想在我的项目中更多地使用 Haskell 并且我认为如果我可以开始将它用于 Web 应用程序这将真正
在 DDD 中，表示层可以同时使用 Repository 和 Service 类吗？

如果表示层只应该使用服务那么服务类必须公开存储库已实现的相同方法以使它们可供表示层使用这似乎是错误的有人可以帮我澄清一下吗我敢打赌这似乎是错误的因为您实际上并不需要这种抽象级别应用服务有facades http en wik
使用 C++20 chrono，如何计算有关日期的各种事实

https www timeanddate com date weekday html https www timeanddate com date weekday html计算有关一年中某一天的各种事实例如给定任意日期如何使用以下方
如何在MVC中的JavaScript中的url.action中传递多个参数？

我的 MVC 应用程序中有以下 javascript 函数 function EditProducts productId orderId employeeId mode mode edit debugger var url Url Act
如何在 JQuery 中访问由 serializeArray 创建的值？

我有这个 HTML
使用 javascript 更改 onClick 属性

这是我的函数它应该更改 HTML 输入的 onClick 属性但是如果我使用 document getElementById buttonLED id onclick writeLED 1 1 它根本不起作用但如果我使用 docume
从另一个文件导入函数，在哪里导入其他库？

很简单的问题我搜了一下没有结果假设我有一个文件 funcs py 其中有一个我想调用当前脚本的函数该函数使用另一个库例如 pandas 我在哪里导入该库约定是什么我是否将它放在 funcs py 的函数内 funcs py de
是否可以使用 Unicode“argv”？

我正在为使用文件作为参数的应用程序编写一个小包装器包装器需要采用 Unicode 因此我使用 wchar t 来表示我拥有的字符和字符串现在我发现自己遇到了问题我需要将程序的参数放在 wchar t 数组和 wchar t 字符串中
WCF：找不到 web.config 中指定的自定义验证器 - customUserNamePasswordValidatorType - - 无法加载文件或程序集... - 帮助？

因此我基本上已经使用 wsHttpBindings 和我的 WCF 服务使用 HTTPS 上的自定义身份验证启动并运行了所有内容我遇到的问题是 customUserNamePasswordValidatorType
如何根据用户权限和模型属性值限制对 DetailView 的访问？

我想限制对某些具有属性的详细文章页面的访问is private True 可以在文章列表中显示但仅限有权限的用户view private articles必须能够访问文章详细视图模型 py class Article models Mo

如何根据用户权限和模型属性值限制对 DetailView 的访问？

如何根据用户权限和模型属性值限制对 DetailView 的访问？ 的相关文章

随机推荐

热门标签

如何根据用户权限和模型属性值限制对 DetailView 的访问？的相关文章