Django DetailViewがM2Mフィールドのユーザーにアクセスしてアクセスを制限しますか？

master_j02

私は現在、で作業しておりDetailView、いくつかのビジネス詳細のJsonResponseを返します。私はとを使用してtest_func、これらの管理者専用ビューにアクセスできるUserPassesTestMixinユーザーのみを確認していis_admin=Trueます。

現在、私のBusinessDetailモデルにownerは、ビジネスの所有者であるユーザーにリンクされたM2Mフィールドであるというフィールドがあります。もちろん、それself.request.userがBusinessDetailモデルのownerフィールドにあることを確認するために、ビューを制限する必要があります。

私はこれを含むいくつかのことを試みました...

class BusinessDetailView(LoginRequiredMixin, UserPassesTestMixin, DetailView):
    model = BusinessDetail

    def test_func(self):
        return self.request.user.is_admin

    def get_object(self, queryset=None):
        business = get_object_or_404(BusinessDetail, pk=self.kwargs.get('pk'))
        serialized_obj = serializers.serialize('json', [business])
        return  serialized_obj

    def get(self, request, *args, **kwargs):
        try:
            business = self.get_object()
            logger.debug(business obj: {business}')
            if self.request.user not in business.owner.all():
                logger.debug('Error: Access not granted.')
                return JsonResponse({'Error': 'Access restricted.'})
            return JsonResponse(json.loads(business), status=200, safe=False)
        except Exception as e:
            logger.error(f'Error getting business detail with error: {e}')
            return JsonResponse({'Error': 'DB error, return to previous page'}, status=500)

私のロガーは次のように見えます...

==> /var/log/app/logger/debug.log <==
DEBUG 2020-12-08 21:35:19,935 /app_site/business_admin/views.py get 379 Business obj: [{"model": "authentication.business_detail", "pk": 3, "fields": {"name": "test name", "phone_no": "(111)-111-1111",  "street": "111 5th st, "city": "Fort Lauderdale", "state": "Florida", "zip": "33087", "primary_email": "[email protected]", "owner": [4], }}]
ERROR 2020-12-08 21:35:19,935 /app_site/business_admin/views.py get 379 Error getting business detail with error: 'str' object has no attribute 'owner'

ロガーに出力されたフィールドにownerアクセスするのにまだ問題があるため、これらのビューをフィールドにリンクされているユーザーに制限する別の/より良い方法はありownerますか？そのownerフィールドにアクセスするのに本当に問題があります。

助けてくれてありがとう！

ウィレムヴァンオンセム

これは次の方法で制限できます。

def get_object(self, queryset=None):
    business = get_object_or_404(
        BusinessDetail,
        pk=self.kwargs['pk'],
        owner=self.request.user
    )
    # …

ログインしたユーザーが所有者のメンバーでない場合、これはHTTP404応答を返します。

あなたは、test_funcしかし、唯一の観点から制限されます管理者ユーザーを、ひいては所有者である唯一の管理者ユーザーは、この表示されます。

この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。

侵害の場合は、連絡してください[email protected]

編集2021-01-26

コメントを追加

サインイン

前の投稿：APIの応答コードを編集します

TOP 一覧

記事

Django DetailViewがM2Mフィールドのユーザーにアクセスしてアクセスを制限しますか？

Django DetailViewがM2Mフィールドのユーザーにアクセスしてアクセスを制限しますか？

モーダルダイアログを自動的に閉じる-サーバーコードが完了したら、Googleスプレッドシートのダイアログを閉じます

セレンのモデルダイアログからテキストを抽出するにはどうすればよいですか？

CSSのみを使用して三角形のアニメーションを作成する方法

ドロップダウンリストで選択したアイテムのQComboBoxスタイル

ZScalerと証明書の問題により、Dockerを使用できません

PyCharmリモートインタープリターはプロジェクトタブにサイトパッケージのコンテンツを表示しません

Windows 10でのUSB入力デバイスの挿入/取り外しの検出

Excel - count multiple words per cell in a range of cells

PictureBoxで画像のブレンドを無効にする

Windows 10 Pro 1709を1803、1809、または1903に更新しますか？

スタート画面にシャットダウンタイルを追加するにはどうすればよいですか？

Python / SciPyのピーク検出アルゴリズム

Luaの文字列から特定の特殊文字を削除するにはどうすればよいですか？

Pythonを使用して、リストからデータを読み取り、特定の値をElasticsearchにインデックス付けするにはどうすればよいですか？

LinuxでPySide2（Qt for Python）をインストールするQt Designerはどこにありますか？

goormIDEは、ターミナルがロードするデフォルトプロジェクトを変更します

QGISとPostGIS（マップポイント（米国の地図上にraduisを使用した緯度と経度）

MLでのデータ前処理の背後にある直感

ターミナルから「入力ソースの変更」ショートカットを設定する

パンダは異なる名前の列に追加します

同じクラスの異なるバージョンを使用したクラスローディング：java.lang.LinkageError：名前の重複クラス定義を試行しました