1

django-organizations我有一个用于支持共享帐户和rest_frameworkAPI的 Django 应用程序。我有一个用于身份验证的自定义模型,它将用户与特定于组织的 API 令牌相关联。

我有一个带有几个外键的模型、一个带有相关字段的序列化程序以及一个用于 API 视图的 ModelViewSet。我想确保用于创建或修改模型实例的任何 API 调用验证为相关字段指定的对象是否具有相同的所有者(组织)。

class Bar(models.Model):
    uuid = models.UUIDField(
        default=uuid.uuid4, editable=False, unique=True)
    organization = models.ForeignKey(
        Organization, on_delete=models.CASCADE)

class Foo(models.Model):
    uuid = models.UUIDField(
        default=uuid.uuid4, editable=False, unique=True)
    organization = models.ForeignKey(
        Organization, on_delete=models.CASCADE)
    bar = models.ForeignKey(
        Bar, on_delete=models.CASCADE)

class FooSerializer(serializers.ModelSerializer):
    class Meta:
        model = Foo
        fields = ('uuid', 'organization', 'bar')

    bar = serializers.SlugRelatedField(
        slug_field='uuid', queryset=Bar.objects.all())

如何验证相关对象是否属于同一个帐户?理想情况下,我可以覆盖为RelatedField序列化程序中的每个指定的查询集,但我认为这是不可能的。

4

1 回答 1

1

我想到了两种方法——你可以对 ModelSerializer 进行验证,但你必须将请求传递给序列化器。我的直觉说它在 Viewset 上可能更有意义。这样,如果它正在访问它不应该访问的东西,它会返回 404(更少的信息泄漏)。

要在视图集上有这个,定义 get_queryset w/

def get_queryset(self)
    qs = MODEL.objects.filter(relation__user=self.request.user)
    return qs

更多示例如下:

https://docs.djangoproject.com/en/2.1/ref/class-based-views/mixins-single-object/#django.views.generic.detail.SingleObjectMixin.get_queryset

于 2018-11-20T03:04:47.650 回答