パーミッションをシリアライザで確認する、Django rest framework、

Question

私はかなり新しくdjango restフレームワークです。

私は組織のメンバーであり、あるグループのメンバーであるユーザーを持っています。

class SomeModel: 
    organization = models.ForeignKey(Organization) 
    name = models.CharField() 

ユーザーのみcreate/updateSomeModel、自身の組織のために、彼はまたcreate/updateあらゆる組織にとって彼ができる「コーディネーター」のグループの場合は次のことができます。 は、私たちがモデルを考えてみましょう。

現在、私のアプローチは、データがすでに検証されているので、.create()と.update()方法で、シリアライザでこれらの条件をチェックすることですし、私はそこにPermissionDeniedエラーを上げています。しかし、これは「正しい方法」ではないと感じています。私はカスタムの権限クラスを作ろうとしましたが、データは検証されません。なぜなら、権限クラスはシリアライザの前にチェックされているからです。 これにどのようにアプローチすればよいですか？

ご迷惑をおかけして申し訳ございません。私の母国語ではありません。 ありがとう！

EDIT： 例： 要求データがあるようなもの：

payload = {'organization': 1, 'name': 'Name'} 

したがって、ユーザーは、組織1からであるか、彼は、コーディネータのアクセスが許可されるべきだとSomeModelが

Answer 1

を作成する必要がある場合カスタムアクセス許可クラスHasWritePermissionsを作成します。ユーザーが書き込み権限または更新権限を持っているかどうかを確認します。

custom permission classを作成するには、BasePermissionクラスをオーバーライドしてhas_permission()メソッドを実装する必要があります。このメソッドは、要求が許可アクセスの場合はTrue、そうでない場合はFalseを返します。

class HasWritePermissions(BasePermission): 

    def has_permission(self, request, view): 
     # grant access to non-create/update requests 
     if request.method not in ['POST', 'PUT', 'PATCH']: 
      return True 

     # grant access if user is a member of organization of the object 
     # to be modified or is a coordinator 
     if (organization in user.organizations) or (user_is_a_coordinator): 
      return True 

     # Otherwise don't grant access 
     return False