Права доступа | Forum | Django на русском

7 Nov. 2013, 22:58

Georgiy

Posts: 383
Location: Волгоград

7 Nov. 2013, 22:58

Georgiy

Posts: 383
Location: Волгоград

Здравствуйте уважаемые форумчане! По изучения джанги постоянно возникают все новые и новые вопросы. На данный момент меня заинтересовал такой момент, допустим залогиненый пользователь(в дальнейшем user) создает запись. К этой записи в последствии user может обращаться по различным урлам (/task/view/1, /task/edit/1, /task/delete/1). Проблема в том, что не особо хитрый пользователь догадается вбить этот урл в адресной стоке браузера и получить доступ к записи, которая принадлежит принадлежит user'у и по-идее доступ к ней должен иметь именно он. Как решить данную задачу расскажите ребята в кратце и где можно про это почитать? в доках я что то не нашел нужного.

Answer | 0

7 Nov. 2013, 23:17 RaD Posts: 2844 Location: Снегири, МО	7 Nov. 2013, 23:17 RaD Posts: 2844 Location: Снегири, МО http://djbook.ru/rel1.5/topics/auth/index.html Если ничего не помогает, прочтите документацию, наконец!
	Answer \| 0

7 Nov. 2013, 23:26

Georgiy

Posts: 383
Location: Волгоград

7 Nov. 2013, 23:26

Georgiy

Posts: 383
Location: Волгоград

http://djbook.ru/rel1.5/topics/auth/index.html

Я читал. Насколько я понял, там про права пользователей в целом сказано. к примеру на проверку has_perm('can_vote'),но так у меня может быть целая орда пользователей,который имеют 'can_vote'. Создавать для каждого пользователя perm?

Answer | 0

8 Nov. 2013, 1:48

RaD

Posts: 2844
Location: Снегири, МО

8 Nov. 2013, 1:48

RaD

Posts: 2844
Location: Снегири, МО

Там ещё пишут про то, что можно проверить, аутентифицирован пользователь или нет, входит ли в группу имеющих доступ в админку или нет, является ли суперадмином или нет, входит ли в определённую группу или нет, ну и ещё масса вариантов из этого вытекает.

Если ничего не помогает, прочтите документацию, наконец!

Answer | 0

8 Nov. 2013, 12:22 ASPAnt8 Posts: 28 Location: Питер	8 Nov. 2013, 12:22 ASPAnt8 Posts: 28 Location: Питер Добавьте к записи поле user и сравнивайте с request.user, это если у Вас только автор может редактировать запись
	Answer \| 0

8 Nov. 2013, 12:43 wdstrm Posts: 834	8 Nov. 2013, 12:43 wdstrm Posts: 834 я хз, мож и не правильно но обычно проверяю на has_perms а потом на `if request.user == task.user` или чото такое 71% добра
	Answer \| 0

10 Nov. 2013, 18:51

Georgiy

Posts: 383
Location: Волгоград

10 Nov. 2013, 18:51

Georgiy

Posts: 383
Location: Волгоград

Парни, посмотрите пожалуйста реализацию, годно или нет.

class UpdateTask(DecoratorChainingMixin, UpdateView):
    template_name = 'task_form.html'
    model = Task
    form_class = TaskForm
    success_url = reverse_lazy('main')
    decorators = [login_required, ]

    def get_object(self, queryset=None):
        task = super(UpdateTask, self).get_object()
        if not task.can_edit(self.request.user):
            raise PermissionDenied
        return task

Вот эта хрень DecoratorChainingMixin принимает декоратор login_required, и в случае, если имеем дело с анонимным пользователем, то происходит редирект на login. В случае, если пользователь залогиненый, но не является создателем записи(проверка идет в task.can_edit), то выдаем 403.

Answer | 0

11 Nov. 2013, 1:50

baloon

Posts: 323
Location: Odesa

11 Nov. 2013, 1:50

baloon

Posts: 323
Location: Odesa

http://habrahabr.ru/post/137960/ вот цикл статей с хабра про CBV --мне они помогли разобраться. В частности:

from django.contrib.auth.decorators import login_required
from django.utils.decorators import method_decorator
from django.views.generic import ListView

class PostList(ListView):

    model = Post

    @method_decorator(login_required())
    def dispatch(self, request, *args, **kwargs):
        return super(PostList, self).dispatch(request, *args, **kwargs)

декорируем метод dispatch, чтоб только авторизованный пользователь имел доступ к списку статей ( это 2 статья из цикла)

вот так тоже можно попробывать

Добавьте к записи поле user и сравнивайте с request.user, это если у Вас только автор может редактировать запись

Answer | 0

11 Nov. 2013, 11:12 alerion Posts: 5750 Location: Львов	11 Nov. 2013, 11:12 alerion Posts: 5750 Location: Львов Или сделать через старые добрые функции и ничего не читать :) Они там обдолбились, когда это все делали. Фиксю баги по трейсбеку.
	Answer \| 0

11 Nov. 2013, 13:15

Georgiy

Posts: 383
Location: Волгоград

11 Nov. 2013, 13:15

Georgiy

Posts: 383
Location: Волгоград

декорируем метод dispatch, чтоб только авторизованный пользователь имел доступ к списку статей

Все, что вы перечислили, делается в DecoratorChainingMixin. Только согласитесь, что все имеющиеся декораторы проще писать в decorators = [login_required, ], чем отдельно в каждой вьюхе переопределять метод dispatch.

Answer | 0

11 Nov. 2013, 13:32

Georgiy

Posts: 383
Location: Волгоград

11 Nov. 2013, 13:32

Georgiy

Posts: 383
Location: Волгоград

Или сделать через старые добрые функции и ничего не читать :) Они там обдолбились, когда это все делали.

Это конечно путь наименьшего сопротивления, но мне более ближе ооп подход. Хотя для понимания принципы работы CBV очень не просты,что конечно же явный минус.

Answer | 0

11 Nov. 2013, 13:58 alerion Posts: 5750 Location: Львов	11 Nov. 2013, 13:58 alerion Posts: 5750 Location: Львов Ну весь подход Python описан в Дзен Python. Пишете тогда на Java :) Фиксю баги по трейсбеку.
	Answer \| 0