Fatal编程技术网
  • python/
  • Python Django:自定义权限无效,在视图内检查返回错误

Python Django:自定义权限无效,在视图内检查返回错误

python django permissions

Python Django:自定义权限无效,在视图内检查返回错误,python,django,permissions,Python,Django,Permissions,我有一个通用视图(CreateAPIView),带有自定义权限类TransactionCreatorsSenderOradmin),但它对视图没有任何影响,即使权限类只包含return False。我认为文件中说明了原因: 还请注意,常规视图将仅检查对象级别 检索单个模型实例的视图的权限。如果你 如果需要对列表视图进行对象级筛选,则需要进行筛选 查询分别设置。有关更多信息,请参阅筛选文档 细节 由于我正在检索多个模型实例,因此我的方法是在视图本身内部执行检查,在perform_create内部执

我有一个通用视图(
CreateAPIView
),带有自定义权限类
TransactionCreatorsSenderOradmin
),但它对视图没有任何影响,即使权限类只包含
return False
。我认为文件中说明了原因:

还请注意,常规视图将仅检查对象级别 检索单个模型实例的视图的权限。如果你 如果需要对列表视图进行对象级筛选,则需要进行筛选 查询分别设置。有关更多信息,请参阅筛选文档 细节

由于我正在检索多个模型实例,因此我的方法是在视图本身内部执行检查,在perform_create内部执行检查,但我得到一个错误,我不确定原因,因为它在没有权限检查的情况下工作。以下是错误:

Exception Type: AttributeError
Exception Value: 'collections.OrderedDict' object has no attribute 'date'
Exception Location: .../transactions/api/serializers.py in get_date, line 17
以下是我的看法:

class TransactionCreateAPIView(generics.CreateAPIView):
    queryset = Transaction.objects.all()
    serializer_class = TransactionSerializer
    permission_classes = [IsAuthenticated, TransactionCreatorIsSenderOrAdmin]

    def perform_create(self, serializer):
        amount = self.request.data['amount']
        message = self.request.data['message']
        from_account_iban = self.request.data['from_account']
        from_account_obj = BankAccount.objects.get(iban=from_account_iban)
        to_account_iban = self.request.data['to_account']
        to_account_obj = BankAccount.objects.get(iban=to_account_iban)        
        if from_account_obj.user == self.request.user or self.request.user.is_staff == True:
            serializer.save(amount=Decimal(amount), 
                        from_account=from_account_obj, 
                        to_account=to_account_obj,
                        message=message)
        else:
            return Response(serializer.errors, status=403)
下面是序列化程序:

class TransactionSerializer(serializers.ModelSerializer):
    date = serializers.SerializerMethodField(read_only=True)
    from_account = serializers.SerializerMethodField()
    to_account = serializers.SerializerMethodField()
    slug = serializers.SlugField(read_only=True)

    class Meta:
        model = Transaction
        fields = '__all__'

    def get_date(self, instance):
        return instance.date.strftime("%B %d %Y")

    def get_from_account(self, instance):
        return instance.from_account.iban

    def get_to_account(self, instance):
        return instance.to_account.iban
解决方案不是使用以下else语句:

return Response(serializer.errors, status=403)
使用这个:

raise PermissionDenied(detail=None, code=status.HTTP_403_FORBIDDEN)

perform\u create
方法不应返回任何内容。您的逻辑应该在视图的
create()。