Мое пользовательское разрешение не блокирует запросы put для редактирования объектов
У меня есть этот класс разрешения
class AuthorOrReadOnly(BasePermission):
def has_object_permission(self, request, view, obj):
if request.method in SAFE_METHODS:
return True
return obj.author == request.user
И этот набор видов
class PostViewSet(viewsets.ViewSet):
permission_classes = (AuthorOrReadOnly, )
queryset = Post.objects.all()
serializer_class = PostSerializer
def list(self, request):
serializer = self.serializer_class(self.queryset, many=True)
return Response(serializer.data)
def create(self, request):
serializer = self.serializer_class(data=request.data)
if serializer.is_valid():
serializer.validated_data['author'] = request.user
serializer.save()
return Response(serializer.data, status=201)
return Response(serializer.errors, status=400)
def retrieve(self, request, pk=None):
post = get_object_or_404(self.queryset, pk=pk)
serializer = self.serializer_class(post)
return Response(serializer.data)
def update(self, request, pk=None):
post = get_object_or_404(self.queryset, pk=pk)
serializer = self.serializer_class(post, data=request.data)
if serializer.is_valid():
serializer.save()
return Response(serializer.data)
return Response(serializer.errors, status=400)
def partial_update(self, request, pk=None):
post = get_object_or_404(self.queryset, pk=pk)
serializer = self.serializer_class(post, data=request.data, partial=True)
if serializer.is_valid():
serializer.save()
return Response(serializer.data)
return Response(serializer.errors, status=400)
def destroy(self, request, pk=None):
post = get_object_or_404(self.queryset, pk=pk)
post.delete()
return Response(status=204)
Когда я открываю свой view url route, он скрывает поля ввода для методов put patch... etc. Но когда я делаю запрос из оболочки, он просто редактирует любые объекты. Поэтому я думаю, что мое разрешение не работает.
Я уже пробовал поместить разрешение в список и кортеж, пробовал комбинировать с другими разрешениями, изменяя функцию has_permission, но похоже, что это вообще не работает.
Ваша реализация не проверяет .has_object_permission(…), что в данном случае не является большой проблемой, так как проверка не требуется, но если позже добавить другие разрешения, то могут возникнуть уязвимости безопасности.
Вы можете работать с ModelViewSet [drf-doc], который реализует всю шаблонную логику здесь:
class PostViewSet(viewsets.ModelViewSet):
permission_classes = (AuthorOrReadOnly,)
queryset = Post.objects.all()
serializer_class = PostSerializer
# no list()
# no create()
def perform_create(self, serializer):
serializer.validated_data['author'] = self.request.user
super().perform_create(serializer)
# no retrieve()
# no update()~
# no partial_update()
# no destroy()