Как разганичить доступ к записям, crud только своих записей пользователя?

Question

[Анна]

Смысл в том, что нужно использовать одну модель всем авторизованным пользователям. Они могут создавать объекты-записи, но читать. удалять и менять могут только те, которые принадлежат ему, то есть им созданны. Django 2.*

Права доступа хотелось бы задавать на уровне модели, так как фильтрация в представлении не подходит. Планируется большое количество представлений. для каждого писать фильтр неудобно

Answer 1

[Roman K]

Пытаешься QuerySet'ом получить объект(s), но чтобы создатель (поле модели) был равен request.user. То есть, вместо Model.objects.get(id=1234) пишешь Model.objects.get(id=1234, user=request.user). А вместо Model.objects.filter(some_field="some value") пишешь Model.objects.filter(some_field="some value", user=request.user). Ну, при условии, что у Model действительно есть поле user и оно заполняется правильно.

Можно это унифицировать миксином для вьюх — переопределением метода get_queryset, если используются CBV

Comments

[Анна]

Такое решение рассматривалось, но хотелось бы это разганичить на уровне модели

[Roman K]

Анна, рассмотрите ещё раз

Answer 2

[Александр]

Планируется большое количество представлений. для каждого писать фильтр неудобно

Почему не использовать каскомный manager?

Answer 3

[Дмитрий Сергеев]

Самый лучший вариант для вас django-rules. И как сказали выше, queryset с фильтром по user, если вы используете CBV, то вам нужно написать миксин с перезагрузкой метода get_queryset. Если Вы пишите представления функции, то предлагаю вам отказаться от них в пользу CBV.