在使用Django REST獲取對象之前檢查權限

Question

使用Django REST框架，我使用此視圖和權限來僅允許項目所有者獲取他們的項目。

view.py

class ProjectViewSet(viewsets.ModelViewSet): 
    permission_classes = (
     IsProjectOwner, 
     permissions.IsAuthenticated, 
     ) 

    def get_queryset(self): 
     return Project.objects.filter(owner=self.request.user) 

permissions.py

class IsProjectOwner(permissions.BasePermission): 
    def has_object_permission(self, request, view, obj): 
     return obj.owner == request.user 

當用戶試圖獲取不屬於他一個項目，一個HTTP 404出現。但是，我想獲得HTTP 403_Forbidden。下面是測試我使用

def test_auth_get(self): 
     self.client.credentials(
      HTTP_AUTHORIZATION=self.authenticated_user_token 
      ) 

     response = self.client.get(
      '/-/projects/%s/' % self.project_owner_project_id 
      ) 

     self.assertEqual(response.status_code, status.HTTP_403_FORBIDDEN) 

我試圖解決使用像在REST實況http://www.django-rest-framework.org/api-guide/permissions/#object-level-permissions一個的get_object（）方法的問題。但我不知道如何在知道實際對象之前檢查權限。

Answer 1

這裏你需要覆蓋你的get_queryset方法; 實際上，您可以查看您從get_queryset方法傳遞的查詢集的查找對象。

def get_queryset(self): 
    if self.action == 'update': 
     return Project.objects.filter(owner=self.request.user) 
    else: 
     return Project.objects.all() 

Answer 2

get_queryset方法已經將項目列表限制爲所有者是當前用戶的項目列表。這將工作列表，但也檢索或更新項目。

最重要的是你不需要權限。