DRF中的has_object_permission和has_permission之間有什麼區別：權限？

Question

我對Django-rest-framework中的BasePermission感到困惑。

這裏我定義了一個類：IsAuthenticatedAndOwner。

class IsAuthenticatedAndOwner(BasePermission): 
    message = 'You must be the owner of this object.' 
    def has_permission(self, request, view): 
     print('called') 
     return False 
    def has_object_permission(self, request, view, obj): 
     # return obj.user == request.user 
     return False 

在views.py

class StudentUpdateAPIView(RetrieveUpdateAPIView): 
    serializer_class = StudentCreateUpdateSerializer 
    queryset = Student.objects.all() 
    lookup_field = 'pk' 
    permissions_classes = [IsAuthenticatedAndOwner] 

使用不過，這並不在all.Everyone工作可以通過許可和更新數據。 called未打印。

---

，我用定義這個類：IsNotAuthenticated

class IsNotAuthenticated(BasePermission): 
    message = 'You are already logged in.' 
    def has_permission(self, request, view): 
     return not request.user.is_authenticated() 

它運作良好，在功能

class UserCreateAPIView(CreateAPIView): 
    serializer_class = UserCreateSerializer 
    queryset = User.objects.all() 
    permission_classes = [IsNotAuthenticated] 

那麼，什麼是上面的例子之間的差異，以及功能has_object_permission & has_permission？

Answer 1

基本上，第一個代碼拒絕一切，因爲has_permission返回False。

has_permission是在致電has_object_permission之前進行的檢查。這意味着在您有機會檢查所有權測試之前，您需要需要才能被has_permission所允許。

你想要的是：

class IsAuthenticatedAndOwner(BasePermission): 
    message = 'You must be the owner of this object.' 
    def has_permission(self, request, view): 
     return request.user.is_authenticated() 
    def has_object_permission(self, request, view, obj): 
     return obj.user == request.user 

這也將讓通過驗證的用戶創建新的項目或列出。

Answer 2

permission_classes不permissions_classes

我笨。