Ошибка 403 Forbidden для Django View, несмотря на разрешения на пользовательскую модель пользователя (в приложении userauths)
Я работаю над проектом Django, в котором реализована пользовательская модель пользователя (CustomUser
) в приложении userauths
. Пользовательская модель использует электронную почту в качестве уникального идентификатора вместо имени пользователя. Моя цель - разрешить определенным пользователям с определенными правами (change_product
или delete_product
) редактировать или удалять продукт. Однако даже после назначения пользователю соответствующих прав он все равно получает ошибку 403 Forbidden.
Я следовал документации Django по созданию пользовательской модели, но подозреваю, что есть неправильная настройка или шаг, который я пропустил. Вот подробная настройка:
Пользовательская модель и менеджер (в приложении userauths
):
Ниже приведен код для моей пользовательской модели пользователя и ее менеджера:
# userauths/models.py
from django.contrib.auth.models import AbstractUser, BaseUserManager
from django.db import models
from django.utils.translation import gettext_lazy as _
class CustomUserManager(BaseUserManager):
def _create_user(self, email, password=None, **extra_fields):
if not email:
raise ValueError('The given email must be set')
email = self.normalize_email(email)
user = self.model(email=email, **extra_fields)
user.set_password(password)
user.save(using=self._db)
return user
def create_user(self, email, password=None, **extra_fields):
extra_fields.setdefault('is_staff', False)
extra_fields.setdefault('is_superuser', False)
return self._create_user(email, password, **extra_fields)
def create_superuser(self, email, password=None, **extra_fields):
extra_fields.setdefault('is_staff', True)
extra_fields.setdefault('is_superuser', True)
if not extra_fields.get('is_staff'):
raise ValueError('Superuser must have is_staff=True.')
if not extra_fields.get('is_superuser'):
raise ValueError('Superuser must have is_superuser=True.')
return self._create_user(email, password, **extra_fields)
class CustomUser(AbstractUser):
username = None
email = models.EmailField(_('email address'), unique=True)
USERNAME_FIELD = 'email'
REQUIRED_FIELDS = []
objects = CustomUserManager()
Я заменил стандартное поле username
на email
и убедился, что необходимые поля, такие как is_staff
и is_superuser
, включены.
В моем settings.py
есть следующая строка для указания пользовательской модели пользователя:
AUTH_USER_MODEL = 'userauths.CustomUser'
Модель продукта (в core
приложении):
Вот модель Product
, расположенная в приложении core
:
# core/models.py
from django.db import models
from shortuuidfield import ShortUUIDField
from django.utils.safestring import mark_safe
from ckeditor_uploader.fields import RichTextUploadingField
from taggit.managers import TaggableManager
from userauths.models import CustomUser # Importing the custom user model
class Product(models.Model):
pid = ShortUUIDField(length=10, max_length=100, prefix="prd", alphabet="abcdef")
user = models.ForeignKey(CustomUser, on_delete=models.SET_NULL, null=True)
title = models.CharField(max_length=100, default="Apple")
image = models.ImageField(upload_to="uploads/", default="product.jpg")
description = RichTextUploadingField(null=True, blank=True, default="This is a product")
price = models.DecimalField(max_digits=10, decimal_places=2, default=1.99)
old_price = models.DecimalField(max_digits=10, decimal_places=2, default=2.99)
status = models.BooleanField(default=True)
date = models.DateTimeField(auto_now_add=True)
def __str__(self):
return self.title
Виды для редактирования и удаления продуктов:
Вот соответствующая логика представления для редактирования и удаления продукта:
# useradmin/views.py
from django.shortcuts import get_object_or_404, redirect, render
from django.contrib.auth.decorators import login_required, user_passes_test
from core.models import Product
@login_required
@user_passes_test(lambda user: user.is_staff)
def edit_product(request, pid):
product = get_object_or_404(Product, pid=pid)
if request.method == "POST":
form = AddProductForm(request.POST, request.FILES, instance=product)
if form.is_valid():
form.save()
return redirect("useradmin:vendordashboard")
else:
form = AddProductForm(instance=product)
context = {"form": form, "product": product}
return render(request, "useradmin/edit-product.html", context)
@login_required
@user_passes_test(lambda user: user.is_staff)
def delete_product(request, pid):
product = get_object_or_404(Product, pid=pid)
product.delete()
return redirect("useradmin:vendordashboard")
Проблема:
- Я назначил пользователю разрешения
change_product
иdelete_product
через панель администратора Django. - Пользователь отмечен как
is_staff=True
. - Несмотря на это, пользователь получает ошибку 403 Forbidden при попытке доступа к
edit_product
илиdelete_product
представлениям.
Что я пробовал:
Убедитесь, что разрешения назначены правильно, используя:
user.get_all_permissions()
В выводе появились правильные разрешения (например,
core.change_product
,core.delete_product
).Убедитесь, что используется пользовательская модель пользователя, проверив:
from django.contrib.auth import get_user_model print(get_user_model())
Это выводит
userauths.models.CustomUser
.Проверено, что в поле
is_staff
установлено значениеTrue
.Попробовал заменить
@user_passes_test
на@permission_required
:from django.contrib.auth.decorators import permission_required @login_required @permission_required('core.change_product', raise_exception=True) def edit_product(request, pid): ...
Это также привело к ошибке 403 Forbidden.
Ожидаемое поведение:
Если пользователь имеет соответствующее разрешение change_product
или delete_product
, он должен иметь доступ к соответствующим представлениям.
Фактическое поведение:
Даже после назначения правильных прав доступа представления возвращают ошибку 403 Forbidden.
Окружение:
- Django версия: 5.1.3
- Python версия: 3.12.5
- База данных: SQLite
- Приложения:
userauths
для пользовательской модели пользователяcore
для модели продукта
Вопрос:
Что может вызвать эту ошибку 403 Forbidden, даже если у пользователя есть необходимые права? Есть ли дополнительный шаг, который необходимо выполнить при использовании пользовательской модели пользователя с правами доступа?