@vbn22h

Как организовать права доступа к данным при использовании REST Api?

Есть родительская модель связанная с пользователем полем user.
Есть дочерняя модель в которой нет поля user, но она связана с родительской.

Мы авторизованы под user_1 и пытаемся получить дочернюю запись через GET /get_child/id_item_user_2

Как ограничить доступ к дочерней модели для user_1 от других дочерних данных user_2 ?

В этом конкретном случае можно обратится к родителю и посмотреть владельца записи, но модели могут быть связаны через одну или через две. Или user нужно определять и у родителя и у дочерней модели ?
Есть ли какая то лучшая практика или более практичный универсальный метод разграничения доступа.
  • Вопрос задан
  • 1041 просмотр
Пригласить эксперта
Ответы на вопрос 1
Если используете Django REST Framework в доках есть пример permission. Вам необходимо проверить условие
obj.parent.user == request.user
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы