0

我正在使用带有 ModelViewSets 的 drf-nested-routers。一切正常,但是,没有执行对资源/对象的权限检查。

处理单个资源/非嵌套 url 时,会执行权限检查。

有什么我想念的吗?

class CommentViewSet(viewsets.ModelViewSet):
    permission_classes = [IsAuthenticated,
                      permissions.CanCreateEditViewDeleteComment]

    def get_serializer_class(self, *args, **kwargs):
        return CommentSerializer

    def list(self, request, article_pk=None):
        queryset = Comment.objects.select_related('article','user').filter(article=article_pk).prefetch_related('likes')

        page = self.paginate_queryset(queryset)
        if page is not None:
            serializer = self.get_serializer(page, many=True)
            return self.get_paginated_response(serializer.data)

        serializer = self.get_serializer(queryset, many=True)
        return Response(serializer.data)

     def retrieve(self, request, pk=None, article_pk=None):
         queryset = Comment.objects.select_related('article', 'user').filter(pk=pk, article=article_pk).prefetch_related(
        'likes')
         comment = get_object_or_404(queryset, pk=pk)
         serializer = self.get_serializer(comment)
         return Response(serializer.data)
4

1 回答 1

0

好的,所以在浏览了文档之后,有一种方法可以手动调用权限检查。

在此处输入链接描述

如果您正在编写自己的视图并希望强制执行对象级别权限,或者如果您在通用视图上覆盖 get_object 方法,那么您需要在视图上显式调用 .check_object_permissions(request, obj) 方法检索对象的点。

这是一个代码示例:

def get_object(self):
    obj = get_object_or_404(self.get_queryset())
    self.check_object_permissions(self.request, obj)
    return obj
于 2016-04-03T06:30:56.013 回答