стандартные формы Django

0

1

Существует ли инструмент в стандартных формах редактирования и удаления для запрешения их использования не залогинеными пользователями и «чужими» пользователями? Или лучше все-таки самому представления с формами писать?

Нужно: если зашел пользователь c auth_user.id = 12, то он может выполнить правку только той записи из таблицы myapp1_exuserprofile, для которой поле user_id=12.

Табличка с профилем так выглядит:


mysql> show fields from  myapp1_exuserprofile;
+-------------------+--------------+------+-----+---------+----------------+
| Field             | Type         | Null | Key | Default | Extra          |
+-------------------+--------------+------+-----+---------+----------------+
| id                | int(11)      | NO   | PRI | NULL    | auto_increment |
| user_id           | int(11)      | NO   | UNI | NULL    |                |
| first_name        | varchar(100) | NO   |     | NULL    |                |
...


А проблема, вот она. Например, возьмем стандартную форму изменения таблицы:

class ExUserProfileFormUpdate(generic.UpdateView):
    model = ExUserProfile
    fields = '__all__'

С этой формой, пользователь может изменить данные у всех пользователей. А мне нужно, чтобы пользователь менял только свои данные.

Ссылка

←	Вопрос по семафорам

Шаблонный класс из шаблонной функции

→

Если я тебя правильно понял, то ты про row level permissions - т.е. разрешения на уровне полей таблицы, а не на уровне таблицы целиком?

Если да - то, ЕМНИП, из коробки ничего такого нет. Есть какие-то батарейки, но я выпилил свой велосипед.

~~CaveRat~~ ★★
(24.04.14 16:58:10 MSK)

Ответ на: комментарий от CaveRat 24.04.14 16:58:10 MSK

Мне не нужны разрешения. Мне нужно в стандартной форме на базе generic.UpdateView организовать обращение к записи таблицы myapp1_exuserprofile (модель ExUserProfile) с user_id = auth_user.id залогиненого пользователя.

auth_user.id залогиненного пользователя получить как понятно:

User.objects.get( username = self.request.user.get_username() ).id

Но, как в стандартных формах, например, на базе UpdateView выполнять выборку и обновлять именно для залогиненного пользователя - не понятно.

iiivanov314
(24.04.14 23:18:56 MSK) автор топика

Ответ на: комментарий от iiivanov314 24.04.14 23:18:56 MSK

вот так работает:

class ExUserProfileFormUpdate(generic.UpdateView):
    model = ExUserProfile
    fields = '__all__'
    def get_object(self, queryset=None):
             au =  User.objects.get( username = self.request.user.get_username() )
             return ExUserProfile.objects.get( user_id = au.id )

вроде не залогиненый юсер не сможет вообще что-то подправить, как и залогиненый у другого ) ?

iiivanov314
(24.04.14 23:33:24 MSK) автор топика

Ссылка

Ответ на: комментарий от iiivanov314 24.04.14 23:18:56 MSK

В методе осуществить проверку типа

if self.request.is_authenticated(): blah-blah-blah?

~~CaveRat~~ ★★
(25.04.14 10:10:16 MSK)

Ответ на: комментарий от CaveRat 25.04.14 10:10:16 MSK

А, что можно по else вернуть, чтобы потом можно было в шаблоне распознать?

class ExUserProfileFormUpdate(generic.UpdateView):
    model = ExUserProfile
    fields = '__all__'
    def get_object(self, queryset=None):
        if self.request.is_authenticated():
             au =  User.objects.get( username = self.request.user.get_username() )
             return ExUserProfile.objects.get( user_id = au.id )
        else:
             return А_что_здесь_вернуть???

шаблон:

<form action="." method="post">{% csrf_token %}
    <table>
    {{ form }}
    <tr>
        <td colspan="2"><input type="submit" value="Готово" /></td>
    </tr>
    </table>
</form>

iiivanov314
(25.04.14 10:22:33 MSK) автор топика

Ответ на: комментарий от iiivanov314 25.04.14 10:22:33 MSK

Сделай редирект на http 401

~~CaveRat~~ ★★
(25.04.14 10:54:25 MSK)

Ответ на: комментарий от CaveRat 25.04.14 10:54:25 MSK

так это же метод get_object.

'HttpResponse' object has no attribute '_meta'

class ExUserProfileFormUpdate(generic.UpdateView):
    model = ExUserProfile
    fields = '__all__'
    def get_object(self, queryset=None):
        if self.request.is_authenticated():
             au =  User.objects.get( username = self.request.user.get_username() )
             return ExUserProfile.objects.get( user_id = au.id )
        else:
             return HttpResponse(u'Пожалуйста, авторизуйтесь.', status=401)

а например

else:
      redirect('127.0.0.1')

для анонимуса выкидывает пустую форму для заполения, а не перекидывает его на 127.0.0.1 (в идеале сделаю на страницу login)

iiivanov314
(25.04.14 12:09:56 MSK) автор топика

Ответ на: комментарий от iiivanov314 25.04.14 12:09:56 MSK

get_object должен возвращать объект, а не ответ. Лучше всего воспользоваться вот этой штукой.

heilkitty ★★
(26.04.14 13:49:02 MSK)

Ответ на: комментарий от heilkitty 26.04.14 13:49:02 MSK

то что нужно!!!

iiivanov314
(26.04.14 17:16:31 MSK) автор топика

Ссылка

Ответ на: комментарий от heilkitty 26.04.14 13:49:02 MSK

а в случае отсутствия записи в таблице как лучше поступить?


class ExUserProfileForm(LoginRequiredMixin, TemplateView):
...
            context['ex_profile_for_user'] = ExUserProfile.objects.get( ...)
...

iiivanov314
(27.04.14 00:24:09 MSK) автор топика

Ответ на: комментарий от iiivanov314 27.04.14 00:24:09 MSK

Не знаю, что именно нужно, но, по идее, имеет смысл выкинуть Http404, чтобы отобразилась 404 страница.

heilkitty ★★
(27.04.14 06:15:17 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Вопрос по семафорам

Development

Шаблонный класс из шаблонной функции

→

Похожие темы