我有以下代码:
class UsersViewSet(viewsets.ModelViewSet):
model = Users
permission_classes = (IsAuthenticated,)
def update(self, request, *args, **kwargs):
return super(UsersViewSet, self).update(request, *args, **kwargs)
问题是:
- 如何为更新方法添加额外的权限? (需要获得 isAuthenticated + Permission)
- 仅对更新方法覆盖权限? (只需要获得没有 isAuthenticated 的许可) View 集中的其他方法应具有 IsAuthenticated 权限
我可以用装饰器来做吗?或者其他什么?
想要得到这样的东西:
@permission_classes((IsAuthenticated, AdditionalPermission ))
def update:
pass
但是如果我写这段代码,则不会通过请求检查第二个权限
最佳答案
后期编辑
因为看起来 DRF 装饰器并没有真正起作用(至少对我来说不是),这是我能想到的最好的解决方案:
def get_permissions(self):
# Your logic should be all here
if self.request.method == 'GET':
self.permission_classes = [DummyPermission, ]
else:
self.permission_classes = [IsAuthenticated, ]
return super(UsersViewSet, self).get_permissions()
这实际上适用于您提出的两种情况,但需要做更多的工作。但是,我已经对其进行了测试并且它可以完成工作。
下面是原始答案
文档中有一个小错误,您应该向装饰器发送一个列表(而不是元组)。所以它应该是这样的:
@permission_classes([IsAuthenticated, AdditionalPermission, ])
def update:
pass
回答您的问题:
如何为更新方法添加额外的权限?
首先,您应该知道 DRF 首先检查全局权限(来自设置文件的权限),然后检查 View 权限(在 permission_classes 中声明——如果存在,它们将覆盖全局权限permissions),并且仅在此之后用于方法权限(使用装饰器 @permission_classes 声明)。所以另一种执行上述操作的方法是这样的:
@permission_classes([AdditionalPermission, ])
def update:
pass
由于 ISAuthenticated 已在整个 View 上设置,因此将始终在检查任何其他权限之前对其进行检查。
仅为更新方法覆盖权限?
好吧,这很难(呃),但并非不可能。您可以:
- 为每个方法设置权限并将其从类中删除
- 修改您的 AdditionalPermission 类,使其在方法未更新时也检查用户身份验证。
祝你好运。
关于python - django-rest-framework:在 ViewSet 更新方法中添加额外的权限,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25283797/