Как ограничить, чтобы автор сообщения мог видеть и редактировать только свои сообщения

В этом коде только автор сообщения может редактировать свое сообщение, но как сделать так, чтобы автор сообщения мог видеть только свои сообщения?

from rest_framework import permissions


class IsAuthorOrReadOnly(permissions.BasePermission):
    def has_permission(self, request, view):
        if request.user.is_authenticated:
            return True
        return False

    def has_object_permission(self, request, view, obj):
        if request.method in permissions.SAFE_METHODS:
            return True
        return obj.author == request.user

Пожалуйста, добавьте ссылку на полезные материалы для чтения

Мой views.py:

class TaskList(generics.ListCreateAPIView):
# permission_classes = (IsAuthorOrReadOnly,)
queryset = Task.objects.all()
serializer_class = TaskSerializer

class TaskDetail(generics.RetrieveUpdateDestroyAPIView):
# permission_classes = (IsAuthorOrReadOnly,)
queryset = Task.objects.all()
serializer_class = TaskSerializer

Если вы хотите, чтобы автор видел свои сообщения, вы можете просто ограничить доступ к объекту всем пользователям. Например, так:

from rest_framework import permissions


class IsAuthorOrReadOnly(permissions.BasePermission):
    def has_permission(self, request, view):
        if request.user.is_authenticated:
            return True
        return False

    def has_object_permission(self, request, view, obj):
        return obj.author == request.user

Теперь, независимо от любых типов методов запроса, только автор может получить доступ к объекту.

Но если у вас есть представление списка, и вы не хотите, чтобы автор видел другие сообщения, вы можете попробовать вот так:

class TaskList(generics.ListCreateAPIView):
    queryset = Task.objects.all()
    serializer_class = TaskSerializer

    def get_queryset(self):
        return super().get_queryset().filter(author=self.request.user)

class TaskDetail(generics.RetrieveUpdateDestroyAPIView):
    queryset = Task.objects.all()
    serializer_class = TaskSerializer

    def get_queryset(self):
        return super().get_queryset().filter(author=self.request.user)

Или объединить их в viewset:

class TaskViewSet(viewsets.ModelViewSet):
    """
    A simple ViewSet for viewing and editing tasks.
    """
    permission_classes = [IsAuthenticated,]
    queryset = Task.objects.all()
    serializer_class = TaskSerializer

    def get_queryset(self):
        return super().get_queryset().filter(author=self.request.user)

Большую информацию можно найти в документации

Вернуться на верх

Последние вопросы и ответы

I want to link my subcategory to related category in forms.py. How to do that?

Django does not access PostgreSQL Database using Docker

Serialize a nested object with Django Rest Framework

i couldnt redirecting my django app from int to string in the url

djangos cmd like how do i make my C:\Users\user\Desktop\djangodemo> go into C:\Users\user\Desktop\DjangoCourse\djangodemo>

Filter a query set depending on state at a given date

getting django cors error for subdomain but is working on different domain

"applicant": [ "This field may not be null."]

What is the Bearer token set in Authorization header, why it is so important?

am getting this error django.views.static.serve

Как ограничить, чтобы автор сообщения мог видеть и редактировать только свои сообщения

Последние вопросы и ответы

Рекомендуемые записи по теме