9

我正在尝试使用 DjangoModelPermissions,但它似乎无法正常工作。

这是代码:

class TestViewSet(viewsets.ModelViewSet):
    model = Test
    serializer_class = serializers.TestSerializer
    permission_classes = (permissions.DjangoModelPermissions,)

    def create(self, request):
        response_data = {}
        response_data['type'] = 'error'
        data=json.loads(request.raw_post_data)

        test = Test.objects.create(name=data['name'],\
                                            description=data['description'],\
                                            start_date=data['start_date'],\
                                            end_date=data['end_date'])          

        #save changes
        test.save()
        return Response({'status': 'ok', "result": test.id})

我认为在这种情况下没有任何区别,但我使用的是 django_mongodb_engine。

我有一个没有权限的用户,它能够创建测试实例。另一方面,我怎样才能阻止 GET 以便只有具有正确权限的用户才能执行该操作?

谢谢

4

3 回答 3

1

DRF 文档中清楚地解释了 DjangoModelPermissions 在这里不起作用的原因

“此权限只能应用于具有 .queryset 属性或 get_queryset() 方法的视图。”

在此处查看文档

解决方案是:

将查询集添加到您的模型

class TestViewSet(viewsets.ModelViewSet):
   serializer_class = serializers.TestSerializer
   permission_classes = (permissions.DjangoModelPermissions,)
   queryset = Test.objects.all()

或者如果您想覆盖默认的查询集方法,请随意使用此方法

 def get_queryset(self):
    return super().get_queryset()

另外,我注意到您不必在 ModelViewSet 中指定模型。如果您在 TestSerializer 中指定您的测试模型,您只需在 ModelViewSet 中指定序列化程序,这就是 DRF 的工作方式

于 2021-07-19T12:32:22.957 回答
0

我的问题是一样的。尽管有权限类,用户仍可以在数据库中创建新实例。我查看了 django-guardian,发现这个后端应该是默认的:

AUTHENTICATION_BACKENDS = (
    'django.contrib.auth.backends.ModelBackend',
)

所以我将它添加到我的 settings.py 文件中,现在它可以工作了,没有权限的用户无法创建新实例。我希望它有所帮助。

于 2018-10-29T17:55:36.980 回答
-2

您需要 django-guardian 和 DRF 才能使 DjangoModelPermissions 正常工作。在 DjangoModelPermissions 段落下的原始文档http://www.django-rest-framework.org/api-guide/permissions中也提到了它

如果它仍然无法正常工作,请告诉我们

于 2014-09-03T12:00:49.787 回答