如何解决如果用户无权查看实例,则以“未找到”回应
我该如何仅针对 some 模型修改Django行为,以掩盖该模型中除用户有权查看的对象之外的任何对象?
默认情况下,Django将使用404 Not Found
响应对不存在对象的查询,并响应不允许用户访问的现有对象403 Forbidden
。
这适用于典型的Django视图和专用视图(例如Django REST框架)。默认情况下,这都是正确的。
我想做的是为每个用户提供一些特定的模型,因为它们仅包含用户可以查看的记录,而其中没有其他要查询的内容。如果他们有权查看该实例,则会显示该实例;如果存在,但未经授权,则Django即使该实例是否存在也不应透露,并且仅应使用404 Not Found
进行响应。
仅对于数据库中的某些模型,此要求是。例如,机密文件:访客应该不能四处寻找,发现哪些文件存在,哪些不存在。他们要么有权查看该文档,要么不应该告诉他们那里有任何东西,就像他们在查询不存在的文档一样。
对于其他型号,正常行为是正确的(如果未找到,则为404;如果存在,但未授权当前用户,则为403)。
因此,在全局范围内覆盖异常行为的解决方案对于此问题是不正确的。
我如何说服Django将特定模型视为“未经授权的访问看起来像不存在的实例”?
解决方法
Django的权限系统包括PermissionRequiredMixin
,这是一个用于视图的混合类,它将检查用户是否具有指定的权限,并处理用户没有的权限。
由于PermissionRequiredMixin
是AccessMixin
的子类,也许可以制作一个新的特定混合类来覆盖AccessMixin.handle_no_permission
:
from django.contrib.auth.mixins import PermissionRequiredMixin
class PermissionRequiredOrDoesNotExistMixin(PermissionRequiredMixin):
""" A mix-in class that handles “not permitted” as though it were “not found”. """
def handle_no_permission(self):
...
,
第三方库django-guardian为视图实现了自定义的PermissionRequiredMixin
(该类是django.contrib.auth.mixins.PermissionRequiredMixin
的子类)。
该自定义类具有return_403
和return_404
属性,当用户没有该自定义类时,该视图应返回这些HTTP响应之一(而不是默认行为以重定向到登录页面)所需的权限。
是,或者:
from django.views import View
from django.contrib.auth.mixins import UserPassesTestMixin
from django.http import Http404
class StaffRequired(UserPassesTestMixin):
def test_func(self):
return self.request.user.is_staff
def handle_no_permission(self):
raise Http404
class HiddenView(StaffRequired,View):
pass
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。