Как вывести пост, если пользователь отправивший запрос его владелец и 403 в противном случае django rest framework?

Question

[bQ1]

Как вывести пост, если пользователь отправивший запрос его владелец и 403 в противном случае django rest framework?
Написал такой код, но он выводит ошибку в сериализаторе AttributeError: 'Response' object has no attribute 'user'

class PostDetailView(RetrieveAPIView):
    serializer_class = serializers.PostSerializer
    lookup_field = 'id'

    def get_object(self):
        django_user = self.request.user
        post_id = self.kwargs['id']
        obj = models.Post.objects.get(id=post_id)
        if not obj.user == django_user.user:
            return Response(status=HTTP_403_FORBIDDEN)
        return Response(data=obj, status=HTTP_200_OK)

Answer 1

[Anton Kuzmichev]

После просмотра вашего кода смутило, что вы из django_user пытаетесь ещё обратиться к user. Так что чисто навскидку может помочь:

if not obj.user == django_user:
    return Response(status=HTTP_403_FORBIDDEN)

Но вообще в DRF есть permissions, и вот как раз второй пример из документации о владельце запрашиваемого объекта

UPD: ой ёй, только щас увидел, какое у вас странное условие, вот так как-то правильнее будет

if obj.user != django_user:
        return Response(status=HTTP_403_FORBIDDEN)

Comments

[bQ1]

После просмотра вашего кода смутило, что вы из django_user пытаетесь ещё обратиться к user

Просто у меня к джанго юзеру привязан кастомный аккаунт с остальной инфой (город, номер, адрес и т.д.)

Вчера пока ждал ответа написал такое:

def get_object(self):
        django_user = self.request.user
        post_id = self.kwargs['id']
        return get_object_or_404(
            models.Post, id=post_id, user=django_user.user)

Насколько правильно так делать?

По поводу примера в документации написал такое:

class IsOwner(permissions.BasePermission):
    def has_object_permission(self, request, view, obj):
        return obj.owner == request.user

но не особо понятно как это использовать в вьюхе

[bQ1]

Так правильно?

class PostDetailView(RetrieveAPIView):
    permission_classes = [permissions.IsOwner]
    queryset = models.Post.objects.all()
    serializer_class = serializers.PostSerializer
    lookup_field = 'id'

[Anton Kuzmichev]

bQ1, последнее похоже на правду, а тестировали?

[bQ1]

Anton Kuzmichev, да, вроде работает, спасибо).
И ещё такой вопрос по пути:
Вьюха для обновления:

class PostUpdateView(UpdateAPIView):
    permission_classes = [permissions.IsOwnerPost]
    queryset = models.Post.objects.all()
    serializer_class = serializers.PostSerializer
    lookup_field = 'id'

И в сериализаторе функция update:

def update(self, instance, validated_data):
        return instance

Что нужно сделать чтоб сохранялось? Снова копипастить всё из функции create и вставлять сюда но уже как update?

[bQ1]

В документации вообще инфы нет как это использоваться должно: https://www.django-rest-framework.org/api-guide/ge...

[Anton Kuzmichev]

bQ1, точно не скажу, но видимо вам надо посмотреть уже в сериализаторы: https://www.django-rest-framework.org/api-guide/se...
В UpdateAPIView, а точнее в UpdateModelMixin, используется именно он для сохранения объектов: https://github.com/encode/django-rest-framework/bl...