Django Update/Delete 视图。处理用户权限
Django Update/Delete view. Handling user permissions
models.py
class Punch(models.Model):
ro_number = models.IntegerField()
flag = models.FloatField(max_length=10)
actual = models.FloatField(max_length=10)
description = models.CharField(max_length=100, blank=True)
user = models.ForeignKey(User)
created_on = models.DateTimeField(auto_now_add=True)
def efficiency(self):
return '%.2f' % (float(self.flag)/float(self.actual)*100)
def __str__(self):
return str(self.ro_number)
urls.py
url(r'^flags/update/(?P<pk>[0-9]+)/$', views.PunchEdit.as_view(), name='update_flags'),
view.py
class PunchEdit(views.LoginRequiredMixin,
UpdateView,):
model = Punch
fields = ['ro_number', 'flag', 'actual', 'description']
template_name = 'free/home.html'
def get_success_url(self):
pass
我想弄清楚如何让用户只能编辑他们创建的打孔对象。每次创建 Punch 对象时,它都会保存哪个用户创建了带有外键关系的 punch。 (在未显示的视图中完成)
现在,如果您要输入类似 mywebsite.com/punch/update/(pk)/ 的内容,用户可以写入任何打孔对象的 pk 并更新它的信息。
所以我的问题是.. 在使用基于 class 的通用 update/delete 视图时,如何防止用户触摸他们自己未创建的打孔对象。
您可以在 .dispatch() method, or in a .process_request() 中间件中检查用户,或创建权限 class 以在您的视图中扩展。我会用第一个选项写一个简短的例子:
class PunchEdit(...):
def dispatch(self, request, *args, **kwargs):
# check for user logged in
...
# check for user permission:
# Take pk from kwargs
pk = kwargs.get('pk') # example
# Take user from request
user = request.user
# check permission
try:
Punch.objects.get(pk=pk, user=user)
return super(PunchEdit, self).dispatch(request, *args, **kwargs)
except Punch.DoesNotExist, e:
return HttpResponseForbidden()
models.py
class Punch(models.Model):
ro_number = models.IntegerField()
flag = models.FloatField(max_length=10)
actual = models.FloatField(max_length=10)
description = models.CharField(max_length=100, blank=True)
user = models.ForeignKey(User)
created_on = models.DateTimeField(auto_now_add=True)
def efficiency(self):
return '%.2f' % (float(self.flag)/float(self.actual)*100)
def __str__(self):
return str(self.ro_number)
urls.py
url(r'^flags/update/(?P<pk>[0-9]+)/$', views.PunchEdit.as_view(), name='update_flags'),
view.py
class PunchEdit(views.LoginRequiredMixin,
UpdateView,):
model = Punch
fields = ['ro_number', 'flag', 'actual', 'description']
template_name = 'free/home.html'
def get_success_url(self):
pass
我想弄清楚如何让用户只能编辑他们创建的打孔对象。每次创建 Punch 对象时,它都会保存哪个用户创建了带有外键关系的 punch。 (在未显示的视图中完成)
现在,如果您要输入类似 mywebsite.com/punch/update/(pk)/ 的内容,用户可以写入任何打孔对象的 pk 并更新它的信息。
所以我的问题是.. 在使用基于 class 的通用 update/delete 视图时,如何防止用户触摸他们自己未创建的打孔对象。
您可以在 .dispatch() method, or in a .process_request() 中间件中检查用户,或创建权限 class 以在您的视图中扩展。我会用第一个选项写一个简短的例子:
class PunchEdit(...):
def dispatch(self, request, *args, **kwargs):
# check for user logged in
...
# check for user permission:
# Take pk from kwargs
pk = kwargs.get('pk') # example
# Take user from request
user = request.user
# check permission
try:
Punch.objects.get(pk=pk, user=user)
return super(PunchEdit, self).dispatch(request, *args, **kwargs)
except Punch.DoesNotExist, e:
return HttpResponseForbidden()