我有一个带有自定义操作的视图,该视图应具有一个自定义权限“ IsRightUser”。但是,即使我尝试使用视图中的has_object_permission访问对象,也永远不会调用它的self.get_object()。
class MyView(mixins.ListModelMixin, viewsets.GenericViewSet):
serializer_class = MySerializer
lookup_field = 'uuid'
queryset = MyObject.objects.all()
@action(methods=['get'], detail=True)
@permission_classes([IsRightUser])
def groups(self, request, uuid=None):
# prints [<class 'rest_framework.permissions.IsAuthenticated'>]
print(self.permission_classes)
my_object = self.get_object()
groups = Group.objects.filter(my_object=my_object)
serializer = MySerializer(groups, many=True)
return Response(serializer.data)
在这里,您可以看到从未调用过的我的自定义权限。
class IsRightUser(BasePermission):
def has_object_permission(self, request, view, obj):
# never called
return True
当我在视图中使用
permission_classes = [IsRightUser]时(即在lookup_field的正下方),它可以工作(不幸的是,这对我来说不可行)。很感谢任何形式的帮助。
最佳答案
您应该直接将权限类作为action参数传递:
@action(methods=['get'], detail=True, permission_classes=[IsRightUser])
def groups(self, request, uuid=None):
# prints [<class 'rest_framework.permissions.IsAuthenticated'>]
print(self.permission_classes)
my_object = self.get_object()
groups = Group.objects.filter(my_object=my_object)
serializer = MySerializer(groups, many=True)
return Response(serializer.data)
关于python - Django DRF:@permission_classes不起作用,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/60114466/