Django rest 框架目前有IsAdminUser作为权限类,是否也有对应的IsOwnerOrAdminUser?有什么影响?如果当前用户是创建对象的人,似乎应该有一些东西只允许对象具有 CRUD 功能。我正在使用 DRF 和 djangorestframework-jwt
【问题讨论】:
IsOwnerOrAdminUser。哪家的???
标签: django django-rest-framework
from rest_framework import permissions
class IsOwnerOrAdminUser(permissions.BasePermission):
def has_object_permission(self, request, view, obj):
if request.method in permissions.SAFE_METHODS:
return True
return obj.owner == request.user or request.user.is_staff
from .permissions import IsOwnerOrAdminUser
class UserAPIView(APIView):
permission_classes = (IsOwnerOrAdminUser, )
【讨论】:
您可以在docs 中找到完整的 rest-framework 权限列表。 DjangoModelPermissionsOrAnonReadOnly 只允许对模型具有添加、更改和删除权限的用户使用非安全方法。
如果它不符合您的要求,您可以实现自己的权限类,如下所示:
class IsOwnerOrReadOnly(permissions.BasePermission):
def has_object_permission(self, request, view, obj):
if request.method in permissions.SAFE_METHODS:
return True
return obj.owner == request.user or request.user.is_superuser
此方法记录在here。
【讨论】: