Ошибка 403 Forbidden для Django View, несмотря на разрешения на пользовательскую модель пользователя (в приложении userauths)

Я работаю над проектом Django, в котором реализована пользовательская модель пользователя (CustomUser) в приложении userauths. Пользовательская модель использует электронную почту в качестве уникального идентификатора вместо имени пользователя. Моя цель - разрешить определенным пользователям с определенными правами (change_product или delete_product) редактировать или удалять продукт. Однако даже после назначения пользователю соответствующих прав он все равно получает ошибку 403 Forbidden.

Я следовал документации Django по созданию пользовательской модели, но подозреваю, что есть неправильная настройка или шаг, который я пропустил. Вот подробная настройка:


Пользовательская модель и менеджер (в приложении userauths):

Ниже приведен код для моей пользовательской модели пользователя и ее менеджера:

# userauths/models.py
from django.contrib.auth.models import AbstractUser, BaseUserManager
from django.db import models
from django.utils.translation import gettext_lazy as _

class CustomUserManager(BaseUserManager):
    def _create_user(self, email, password=None, **extra_fields):
        if not email:
            raise ValueError('The given email must be set')
        email = self.normalize_email(email)
        user = self.model(email=email, **extra_fields)
        user.set_password(password)
        user.save(using=self._db)
        return user

    def create_user(self, email, password=None, **extra_fields):
        extra_fields.setdefault('is_staff', False)
        extra_fields.setdefault('is_superuser', False)
        return self._create_user(email, password, **extra_fields)

    def create_superuser(self, email, password=None, **extra_fields):
        extra_fields.setdefault('is_staff', True)
        extra_fields.setdefault('is_superuser', True)

        if not extra_fields.get('is_staff'):
            raise ValueError('Superuser must have is_staff=True.')
        if not extra_fields.get('is_superuser'):
            raise ValueError('Superuser must have is_superuser=True.')

        return self._create_user(email, password, **extra_fields)


class CustomUser(AbstractUser):
    username = None
    email = models.EmailField(_('email address'), unique=True)

    USERNAME_FIELD = 'email'
    REQUIRED_FIELDS = []

    objects = CustomUserManager()

Я заменил стандартное поле username на email и убедился, что необходимые поля, такие как is_staff и is_superuser, включены.

В моем settings.py есть следующая строка для указания пользовательской модели пользователя:

AUTH_USER_MODEL = 'userauths.CustomUser'

Модель продукта (в core приложении):

Вот модель Product, расположенная в приложении core:

# core/models.py
from django.db import models
from shortuuidfield import ShortUUIDField
from django.utils.safestring import mark_safe
from ckeditor_uploader.fields import RichTextUploadingField
from taggit.managers import TaggableManager
from userauths.models import CustomUser  # Importing the custom user model

class Product(models.Model):
    pid = ShortUUIDField(length=10, max_length=100, prefix="prd", alphabet="abcdef")
    user = models.ForeignKey(CustomUser, on_delete=models.SET_NULL, null=True)
    title = models.CharField(max_length=100, default="Apple")
    image = models.ImageField(upload_to="uploads/", default="product.jpg")
    description = RichTextUploadingField(null=True, blank=True, default="This is a product")
    price = models.DecimalField(max_digits=10, decimal_places=2, default=1.99)
    old_price = models.DecimalField(max_digits=10, decimal_places=2, default=2.99)
    status = models.BooleanField(default=True)
    date = models.DateTimeField(auto_now_add=True)

    def __str__(self):
        return self.title

Виды для редактирования и удаления продуктов:

Вот соответствующая логика представления для редактирования и удаления продукта:

# useradmin/views.py
from django.shortcuts import get_object_or_404, redirect, render
from django.contrib.auth.decorators import login_required, user_passes_test
from core.models import Product

@login_required
@user_passes_test(lambda user: user.is_staff)
def edit_product(request, pid):
    product = get_object_or_404(Product, pid=pid)
    if request.method == "POST":
        form = AddProductForm(request.POST, request.FILES, instance=product)
        if form.is_valid():
            form.save()
            return redirect("useradmin:vendordashboard")
    else:
        form = AddProductForm(instance=product)

    context = {"form": form, "product": product}
    return render(request, "useradmin/edit-product.html", context)


@login_required
@user_passes_test(lambda user: user.is_staff)
def delete_product(request, pid):
    product = get_object_or_404(Product, pid=pid)
    product.delete()
    return redirect("useradmin:vendordashboard")

Проблема:

  1. Я назначил пользователю разрешения change_product и delete_product через панель администратора Django.
  2. Пользователь отмечен как is_staff=True.
  3. Несмотря на это, пользователь получает ошибку 403 Forbidden при попытке доступа к edit_product или delete_product представлениям.

Что я пробовал:

  1. Убедитесь, что разрешения назначены правильно, используя:

    user.get_all_permissions()
    

    В выводе появились правильные разрешения (например, core.change_product, core.delete_product).

  2. Убедитесь, что используется пользовательская модель пользователя, проверив:

    from django.contrib.auth import get_user_model
    print(get_user_model())
    

    Это выводит userauths.models.CustomUser.

  3. Проверено, что в поле is_staff установлено значение True.

  4. Попробовал заменить @user_passes_test на @permission_required:

    from django.contrib.auth.decorators import permission_required
    
    @login_required
    @permission_required('core.change_product', raise_exception=True)
    def edit_product(request, pid):
        ...
    

    Это также привело к ошибке 403 Forbidden.


Ожидаемое поведение:

Если пользователь имеет соответствующее разрешение change_product или delete_product, он должен иметь доступ к соответствующим представлениям.


Фактическое поведение:

Даже после назначения правильных прав доступа представления возвращают ошибку 403 Forbidden.


Окружение:

  • Django версия: 5.1.3
  • Python версия: 3.12.5
  • База данных: SQLite
  • Приложения:
    • userauths для пользовательской модели пользователя
    • core для модели продукта

Вопрос:

Что может вызвать эту ошибку 403 Forbidden, даже если у пользователя есть необходимые права? Есть ли дополнительный шаг, который необходимо выполнить при использовании пользовательской модели пользователя с правами доступа?


Вернуться на верх