Как правильно сделать переадресацию пользователя, если у него нет права доступа к вью?

Question

[nurzhannogerbek]

Здравствуйте! Помогите пожалуйста разобраться.

Есть Class Based View в котором указан permission_required. Вопрос у меня следующий. Как переадресовать пользователя на определенный, указанный url (к примеру reverse_lazy('dashboard')), если у пользователя нет прав на данную вью?

views.py:

from django.contrib.auth.mixins import PermissionRequiredMixin
from django.core.urlresolvers import reverse_lazy

class UserEditView(PermissionRequiredMixin, UpdateView):
    template_name = 'users/edit_user.html'
    form_class = UserEditForm
    model = User
    permission_required = ('auth.change_user')
    login_url = None
    redirect_field_name = reverse_lazy('dashboard')

В консоли выводятся следующие логи:

LevelName: WARNING | Message: Not Found: /accounts/login/
LevelName: WARNING | Message: "GET /accounts/login/?/=/user/50/edit/ HTTP/1.1" 404 2838

После этого я попробовал в settings.py добавить: LOGIN_URL = reverse_lazy('administration_login'). В таком случаи к консоле уже выводятся следующие логи (но при этом переадресация не произошла):

LevelName: INFO | Message: "POST /user/50/edit/ HTTP/1.1" 302 0
LevelName: INFO | Message: "GET /login/?/=/user/50/edit/ HTTP/1.1" 302 0
LevelName: INFO | Message: "GET / HTTP/1.1" 200 2427

JS:

$(function () {
    var loadForm = function () {
        var btn = $(this);
        $.ajax({
            url: btn.attr("data-url"),
            type: 'get',
            dataType: 'json',
            beforeSend: function () {
                $("#user-modal").modal("show");
            },
            success: function (data) {
                $("#user-modal .modal-content").html(data.html_form);
            }
        });
    };
    var saveForm = function () {
        var form = $(this);
        $.ajax({
            url: form.attr("action"),
            data: form.serialize(),
            type: form.attr("method"),
            dataType: 'json',
            success: function (data) {
                if (data.form_is_valid) {
                    $("#users").html(data.html_users);
                    $("#user-modal").modal("hide");
                }
                else {
                    $("#user-modal .modal-content").html(data.html_form);
                    $("#user-errors").fadeIn("slow");
                    var error_message = "</br>";
                    var json_string = JSON.stringify(data.form_errors);
                    var json_object = jQuery.parseJSON(json_string);
                    $.each(json_object, function(key, value){
                        for (var i = 0; i < value.length; i++) {
                            error_message += value[i] + "</br>";
                        }
                    });
                    $("#user-errors .error-description").html(error_message);
                    setTimeout(function() {$("#user-errors").fadeOut("slow");}, 10000);
                }
            },
            error: function (xhr, ajaxOptions, thrownError) {
                $("#user-errors").fadeIn("slow")
                $("#user-errors .error-description").html(thrownError);
                setTimeout(function() {$("#user-errors").fadeOut("slow");}, 10000);
            },
            cache: false,
            contentType: false,
            processData: false,
        });
        return false;
    };

    $("#users").on("click", ".user-edit-btn", loadForm);
    $("#user-modal").on("submit", ".user-edit-form", saveForm);
});

Comments

[Павел Аксенов]

Может стоит показывать сообщение при отсутствии прав, а не редиректить?

[Павел Аксенов]

Можно переопределить немного и получить, что-то такое.

from django.shortcuts import redirect


class RedirectPermissionRequiredMixin(PermissionRequiredMixin,):
    login_url = reverse_lazy('dashboard')

    def handle_no_permission(self):
        return redirect(self.get_login_url())

# и примешать вместо PermissionRequiredMixin
class UserEditView(RedirectPermissionRequiredMixin, UpdateView):
    template_name = 'users/edit_user.html'
    form_class = UserEditForm
    model = User
    permission_required = ('auth.change_user')

[Сергей Горностаев]

Павел Аксенов, почему не ответом?

[Павел Аксенов]

Сергей Горностаев, так как не уверен, что это правильное решение.

[Сергей Горностаев]

Павел Аксенов, я тоже не проверял, но выглядит как рабочее решение.

[Павел Аксенов]

Сергей Горностаев, в таком случае вынесу в ответ.

[nurzhannogerbek]

Сергей Горностаев, вообщем бывает следующий случай. К примеру пользователь работает с модулем редактирования пользовательских данных. Работает он без перезагрузки страницы, через AJAX. В то время, когда он работал с вышеупомянутым модулем, администратор ему отключил доступ к этому модулю. Чтобы увидеть сообщение о том что у пользователя отныне нет прав на работу с этим модулем ему нужно перезагрузится. Я же хочу переадресовать пользователя на другой url, там то он и увидит сообщение о том что у него отныне нет прав.

[Сергей Горностаев]

NogerbekNurzhan, очень часто встречаю этот вид непонимания проблемы. На этой неделе уже второй раз. Редиректы обрабатывает браузер - он делает http-запрос к серверу, получает http-ответ, если статус ответа 200, то отображается html-код, который в ответе пришёл, а если статус 301 или 302, то браузер из ответа достаёт url и открывает его вместо текущего. JavaScript этого не делает. Если вы отправили ajax-запрос, вы должны самостоятельно проверять статус ответа и, в случае 301 и 302, доставать из ответа url и менять страницу. А ещё лучше и правильнее -
не отвечать на ajax-запросы редиректами. Конкретно в вашем случае правильно будет отправить в ответе статус 401 или 403, а ajax-код на клиенте должен в ответ на эти статусы отобразить пользователю сообщение "Доступ запрещён".

[nurzhannogerbek]

Сергей Горностаев, Cпасибо за детальное пояснение! :)

Answer 1

[Павел Аксенов]

Можно переопределить немного и получить, что-то такое.

from django.shortcuts import redirect


class RedirectPermissionRequiredMixin(PermissionRequiredMixin,):
    login_url = reverse_lazy('dashboard')

    def handle_no_permission(self):
        return redirect(self.get_login_url())

# и примешать вместо PermissionRequiredMixin
class UserEditView(RedirectPermissionRequiredMixin, UpdateView):
    template_name = 'users/edit_user.html'
    form_class = UserEditForm
    model = User
    permission_required = ('auth.change_user')

Comments

[nurzhannogerbek]

Я протестировал ваш код и заметил странное поведение.

В логах пишет следующее:

LevelName: INFO | Message: "GET /user/45/edit/ HTTP/1.1" 302 0
LevelName: INFO | Message: "GET / HTTP/1.1" 200 2419

По логам видно, что когда я пытаюсь достучаться по GET запросу на url /user/45/edit/, Джанго перебрасывает меня на / (это и есть адрес reverse_lazy('dashboard')). Вроде как перебрасывает, но по факту переадресация не происходит. Пользователь остается на той же странице. Не могу отследить причину. Я вывожу ошибку в template и выводится следующее:

SyntaxError: JSON.parse: unexpected character at line 2 column 1 of the JSON data

Добавил JS код в пост, может проблема из-за нее, хотя сомневаюсь... Можете пожалуйста взглянуть. Ошибка кстати выводится в шаблон при POST запросе. Логи для POST запроса схожи с GET.

[Павел Аксенов]

NogerbekNurzhan, в таком случае проблема больше в javascript, а не а django. Редирект на бекенде надо обрабатывать на фронтенде.

в колбэке success: надо обрабатывать статус ответа от сервера.
Должно быть что-то такое

success: function(data, textStatus, xhr) {
        if(xhr.status==302) {
            location.href = xhr.redirectUrl;
        } else {
            // тут код если ответ от сервера не редирект
       }
    },

Но если должно редиректиться в javascript...
Соответственно можно в django использовать просто PermissionRequiredMixin.

class UserEditView(PermissionRequiredMixin, UpdateView):
    template_name = 'users/edit_user.html'
    form_class = UserEditForm
    model = User
    permission_required = ('auth.change_user')
    raise_exception = True # этот атрибут означает, что будет исключение, а не редирект
                                        # статус ответа будет 403 (forbidden)

error: function(xhr, ajaxOptions, thrownError) {
        if(xhr.error==403) {
            location.href = 'урл_для_редиоекта_на_дашборд';
        } else {
            // тут обработка ошибки, если ответ от сервера не 403
       }
    },

[nurzhannogerbek]

Протестировал второй вариант, но редиректа не было =(

error: function(xhr, ajaxOptions, thrownError) {
        if(xhr.error==403) {
            location.href = '/';
        } else {
           $("#user-errors").fadeIn("slow")
           $("#user-errors .error-description").html(thrownError);
           setTimeout(function() {$("#user-errors").fadeOut("slow");}, 10000);
       }
},

При GET запросе в логах пишет:

LevelName: WARNING | Message: Forbidden (Permission denied): /user/50/edit/
LevelName: WARNING | Message: "GET /user/50/edit/ HTTP/1.1" 403 22

При POST запросе в логах пишет:

LevelName: WARNING | Message: Forbidden (Permission denied): /user/50/edit/
LevelName: WARNING | Message: "POST /user/50/edit/ HTTP/1.1" 403 22

После этого я поменял if(xhr.error==403) на if(xhr.warning==403), тогда при POST запросе в шаблон выводится сообщение Forbitten. При GET запросе вижу просто сообщение в логах:

LevelName: WARNING | Message: Forbidden (Permission denied): /user/edit/delete/
LevelName: WARNING | Message: "GET /user/131/edit/ HTTP/1.1" 403 22

Если же убрать raise_exception = True из вьюшки, то все возвращается на исходную. Я имею введу ранее описанное поведению в предыдущем комментарии.

[nurzhannogerbek]

Первый вариант тоже не дал результатов к сожалению =(

success: function (data, textStatus, xhr) {
                if(xhr.status==302) {
                    location.href = xhr.redirectUrl;
                } else {
                    if (data.form_is_valid) {
                       // Мой код из поста
                    }
                    else {
                        // Мой код из поста
                    }
                }
            },

По поведению идентичен с тем поведением, который описывал в предыдущем комментарии.
В логах пишет POST запросе:

LevelName: INFO | Message: "POST /user/50/edit/ HTTP/1.1" 302 0
LevelName: INFO | Message: "GET / HTTP/1.1" 200 3793

В шаблоне выводится ошибка:

SyntaxError: JSON.parse: unexpected character at line 2 column 1 of the JSON data

[Павел Аксенов]

Во втором варианте

if(xhr.error==403) {
// поменять на
if(xhr.status==403) {

[nurzhannogerbek]

Ради эксперимента в первом варианте добавил console.log(), чтобы проверить видит ли этот блок, но ничего не выводится. Почему-то JS игнорирует if(xhr.status==302). xhr.status ничего не возвращает =(

success: function (data, textStatus, xhr) {
    if(xhr.status==302) {
        console.log("TEST MESSAGE");
        window.location.href = xhr.redirectUrl;
    } else {
        $("#user-modal .modal-content").html(data.html_form);
        $("#user-modal").modal("show");
    }
}

[Павел Аксенов]

NogerbekNurzhan,
Во втором варианте

if(xhr.error==403) {
// поменять на
if(xhr.status==403) {

[nurzhannogerbek]

Павел Аксенов, Второй вариант сработал! Cпасибо вам огромное! :) А почему первый вариант не сработал? Ведь там изначально был написан xhr.status.

[Павел Аксенов]

NogerbekNurzhan, тут получается так.

1. при отсутствии прав делается редирект(status=302),
   
2. после чего отображается страница на которую произошел редирект(status=200)
   
3. в результате, в javascript попадает последний статус 200.
   

Первый вариант он всё равно не верный, как в комментариях написал Сергей Горностаев

не отвечать на ajax-запросы редиректами