Как в Django ограничить доступ пользователя только к своим объектам?

Question

[PreFireSkills]

Добрый вечер!
У меня ситуация в который любой авторизованный пользователь может удалять и редактировать посты созданным любым другим пользователем,если он знает id этого поста. Как в Django создать ограничения, которое бы создавало условие при котором пользователь может редактировать и удалять только посты,которые он создал сам.?

Answer 1

[deepblack]

Добавь в модель поле owner или created_by например,
при сохранении обьекта, заполняй это поле ссылкой(ForeignKey) на текущего юзера.

При редактировании проверяй во вьюхе что текущий пользователь является владельцем (создателем) данного обьекта. Если не является, то опционально выводи предупреждение\ошибку доступа и\или переадресуй его на другую страницу (на главную, например).

Ну и логично в дополнение к вышеперечисленному сделать страницу со списком созданных постов, и только на них выводить ссылку на редактирование.

План действий я обрисовал, конкретную реализацию делай сам (гугли примеры)

Comments

[zyivan356]

А можете, пожалуйста, расписать код, у меня не получается

def courses_detail_update(request, id):
    course = get_object_or_404(Course, id=id)
    user = request.user
    author = course.author.all()
    lessons = course.lessons.order_by('number')
    if user in author:
        return render(request, 'courses/courses_detail_update.html', {'course': course,
                                                                      'lessons': lessons,
                                                                      })
    else:
        return redirect('/')

Answer 2

[Антон Коновалов]

Если бы вы использовали Django Rest Framework (aka "DRF"), то там есть "из коробки" права и роли.
Но если вам вдруг почему-то не подходит DRF, настоятельно рекомендую ознакомиться с идеологией RBAC