Django-rest-framework: 関連フィールドの権限とフィルタリングを処理する方法を文書化します。

コードを掘り下げてみましたが、簡単な方法が見つかりませんでした。 理想的には、関連するすべてのオブジェクトに対してパーミッションの「has_object_permission」を呼び出すことができるはずです。 現在、シリアライザーはアクセス許可オブジェクトにアクセスできません。

現在、シリアライザーはアクセス許可オブジェクトにアクセスできません。

これはそれほど単純ではないことを除いて。

_どの_許可オブジェクト？ これらは_other_オブジェクトとの関係であるため、現在のビューのパーミッションクラスとフィルタークラスは、オブジェクトの関係に適用したいルールと必ずしも同じではありません。

ハイパーリンクされた関係の場合、理論的には（+）を指すビューを決定し、それに基づいてフィルタリング/許可を決定できますが、それは確かに恐ろしい密結合の設計になります。 ハイパーリンクされていない関係の場合、それを行うことさえできません。 各モデルが単一の正規ビューで1回公開される保証はないため、ハイパーリンクされていない関係に使用する権限を自動的に決定することはできません。

（+）実際にはおそらく実際にはそれを_賢明な_方法で行うことは不可能ですが、とりあえずふりをしましょう。

たぶん「has__permission "？各パーミッションオブジェクトは、どの関連オブジェクトが表示可能かどうかを判断できます。

人々はどのようにフィルタリングを使用しますか？ ユーザーが権限を持たないオブジェクトを非表示にするためだけに使用していますか？ それがユースケースである場合、おそらくフィルターは必要ないからです。

参照されている問題の1つ＃1646は、関連フィールドの閲覧可能なAPIページに表示される選択肢を制限することを扱っています。

私は閲覧可能なAPIが大好きで、バックエンド開発者としてだけでなく、RESTAPIのフロントエンド開発者/ユーザーにとっても素晴らしいツールだと思います。 閲覧可能なAPIをオンにして製品を出荷したいと思います（つまり、サイトがDEBUGモードで孤立していない場合でも実行されます）。 それができるようにするために、閲覧可能なAPIページから情報漏えいを起こさせることはできません。 （もちろん、これは、これらのページが一般的に本番環境に対応していて安全であるという要件に加えて）。

つまり、関連するフィールドの存在に関する情報は、POSTで学習できる情報よりもHTMLページで学習できるはずがありません。

最終的に、関連フィールドのビューを使用してフィルタリングを提供するシリアライザーのミックスインクラスを作成しました。

class RelatedFieldPermissionsSerializerMixin(object):
    """
    Limit related fields based on the permissions in the related object's view.

    To use, mixin the class, and add a dictionary to the Serializer's Meta class
    named "related_queryset_filters" mapping the field name to the string name 
    of the appropriate view class.  Example:

    class MySerializer(serializers.ModelSerializer):
        class Meta:
            related_queryset_filters = {
                'user': 'UserViewSet',
            }

    """
    def __init__(self, *args, **kwargs):
        super(RelatedFieldPermissionsSerializerMixin, self).__init__(*args, **kwargs)
        self._filter_related_fields_for_html()

    def _filter_related_fields_for_html(self):
        """
        Ensure thatk related fields are ownership filtered for
        the browseable HTML views.
        """
        import views
        try:
            # related_queryset_filters is a map of the fieldname and the viewset name (str)
            related_queryset_filters = self.Meta.related_queryset_filters
        except AttributeError:
            related_queryset_filters = {}
        for field, viewset in related_queryset_filters.items():
            try:
                self.fields[field].queryset = self._filter_related_qs(self.context['request'], getattr(views, viewset))
            except KeyError:
                pass

    def _filter_related_qs(self, request, ViewSet):
        """
        Helper function to filter related fields using
        existing filtering logic in ViewSets.
        """
        view = ViewSet()
        view.request = request
        view.action = 'retrieve'
        queryset =  view.get_queryset()
        try:
            return view.queryset_ownership_filter(queryset)
        except AttributeError:
            return queryset

シリアライザーとビューを混在させるのではなく、ビューミックスインを使用してこれを解決しました：＃1935。 辞書を必要とするのではなく、ビューでsecured_fieldsリストを使用しました。

この単純なSerializerミックスインを使用して、関連フィールドのクエリセットをフィルタリングしました。

class FilterRelatedMixin(object):
    def __init__(self, *args, **kwargs):
        super(FilterRelatedMixin, self).__init__(*args, **kwargs)
        for name, field in self.fields.iteritems():
            if isinstance(field, serializers.RelatedField):
                method_name = 'filter_%s' % name
                try:
                    func = getattr(self, method_name)
                except AttributeError:
                    pass
                else:
                    field.queryset = func(field.queryset)

使い方も簡単です：

class SocialPageSerializer(FilterRelatedMixin, serializers.ModelSerializer):
    account = serializers.PrimaryKeyRelatedField()

    class Meta:
        model = models.SocialPage

    def filter_account(self, queryset):
        request = self.context['request']
        return queryset.filter(user=request.user)

どうですか？ 何か問題がありますか？

私にとっては、ユーザーとリクエストに関するロジックをシリアライザーから除外し、ビューに残しておくのが好きです。

問題は関連するフィールドにあります。 ユーザーはビューにアクセスできますが
すべての関連オブジェクトではありません。

18:16の水曜日、2014年11月5日には、アレックスRothberg [email protected]
書きました：

私にとっては、ユーザーとリクエストに関するロジックを除外するのが好きです。
シリアライザーとそれをビューに残します。

—
このメールに直接返信するか、GitHubで表示してください
https://github.com/tomchristie/django-rest-framework/issues/1985#issuecomment -61873766
。

どうぞ、これを読んでください、それは関連したトピックのようです。 OPTIONSメソッドとPOSTまたはPUTメソッドのメタ（ModelSerializer）のフィルタリング関連フィールドオブジェクトをどのように分離できますか？

https://groups.google.com/forum/#!topic/django -rest-framework / jMePw1vS66A

model = serializers.PrimaryKeyRelatedField（queryset = Model.objects.none（））を設定した場合、sealizer PrimaryKeyRelatedField "クエリセットはフィールド入力の検証時にモデルインスタンスのルックアップに使用される"ため、関連するモデルインスタンスとともに現在のオブジェクトを保存できません。

model = serializers.PrimaryKeyRelatedField（queryset = Model.objects.all（））（ModelSerializerのデフォルトとして、これにコメントできます）の場合、すべての「関連する」オブジェクト（OPTIONSはアクション（POST、PUT）を表示するため、実際には関連していません） 「モデル」フィールド（OPTIONSメソッド）の選択肢に表示されるメインのModelクラスのプロパティ（関連オブジェクトのインスタンスではありません）。

アップデート。 @ cancan101 + 1。 しかし、「ユーザー」だけではありません。 シリアライザーのクエリセット「serializers.PrimaryKeyRelatedField（queryset = "」を見ると、これはロジックとシリアライザーを組み合わせるのは悪い考えだと思います。

もちろん、それは良いことです：

クラスModelSerializer：
クラスメタ：
model =モデル

シリアライザーは、モデルから自動的に作成するフィールドの方法と方法を知る必要があるためです。

それにもかかわらず、私は間違っている可能性があります。

これはうまくいくようです：

class BlogSerializer(serializers.ModelSerializer):

    entries = serializers.SerializerMethodField()

    class Meta:
        model = Blog

    def get_entries(self, obj):
        queryset = obj.entries.all()
        if 'request' in self.context:
            queryset = queryset.filter(author=self.context['request'].user)
        serializer = EntrySerializer(queryset, many=True, context=self.context)
        return serializer.data

@dustinfarrisそれは読み取り専用フィールドになります...しかしそれは機能します。

このスレッドに関連していると思われる問題が発生しました。 フィルタリングバックエンド（私の場合はDjango Filter）が有効になっている場合、閲覧可能なAPIはインターフェイスにFiltersボタンを追加し、ドロップダウンがフィールドに設定されたクエリセットを尊重しないことがわかります。 私にはそうあるべきだと思います。

例：

class Item(models.Model):
    project = models.ForeignKey(Project)

class ItemSerializer(serializers.ModelSerializer):
    def __init__(self, *args, **kwargs):
        request = kwargs.get('context', {}).get('request')
        self.fields['project'].queryset = request.user.project_set.all()
        super(ItemSerializer, self).__init__(*args, **kwargs)

上記の例では、アイテムの追加/編集フォームのプロジェクトドロップダウンが正しいプロジェクトに制限されていますが、すべてがFiltersドロップダウンに表示されます。

ネイルガンのアプローチは私にとってはかなりうまくいきましたが、1対多の関係に対してのみです。 これで、関係がManyToManyFieldであるモデルが1つあります。 この場合、Mixinアプローチは機能しません。 これらのためにそれを解決する方法はありますか？

@fibbsは、以下を追加することでネイルガンのアプローチを変更します。

            if isinstance(field, serializers.ManyRelatedField):
                method_name = 'filter_%s' % name
                try:
                    func = getattr(self, method_name)
                except AttributeError:
                    pass
                else:
                    field.child_relation.queryset = func(field.child_relation.queryset) 

どうやら誰かがこれにクリーンなソリューションを提供し、initメソッドをハッキングすることなく可能になりました： https ：

このスレッドが更新/閉じられていないのはなぜですか？

その誰かが私です;）
良い点です。＃3605がすでにドキュメントにそれについて何かを追加しているので、これを閉じます。
誰かが何かを持って来ることができれば、私たちはまだその部分のさらなる改善を検討しています。

RelatedFieldsにget_queryset()メソッドが存在するのは素晴らしいことです。 ネストされたシリアライザーにもそれがあると素晴らしいでしょう！

多分。 それを進めたいですか？ :)

うわー...すごい、これが文書化されている場合、正しい方向に私を向けていただけますか？ これを理解するのに長い時間がかかりました！

これが私の啓蒙問題の要約です：

この例では、モデル名は「deployedEnvs」と「Host」です。
deployedEnvsには、ホストモデルへの外部キーが含まれています（つまり、多くのdeployedEnvsが同じホストを指すことができます）。 ホストのPKではなくHOSTのfqdnフィールドを表示するためにシリアライザーが必要でした（非常に単純なものにはスラグ関連のフィールドを使用しました）。 また、deployedEnvエントリ（POST）を作成するときに、関連するHOST byFQDNフィールドのFK値を検索してホストを指定できるようにする必要がありました。 例：一致するhost.fqdnフィールドを使用してHostオブジェクトのPKを検索することにより、フィールドhost（関連するホストオブジェクトの一致するfqdnに設定）を使用してdeployedEnvを作成します。

残念ながら、ドロップダウンバーに返される結果を、現在のユーザーが所有するホストオブジェクトの選択肢だけに制限することはできませんでした。

これがslugRelatedFieldを使用するように適合された私の修正コードです

class UserHostsOnly(serializers.SlugRelatedField):
    def get_queryset(self):
        user = self.context['request'].user
        queryset = Host.objects.filter(owner=user)
        return queryset

class deployEnvSerializer(serializers.ModelSerializer):
    host = UserHostsOnly(slug_field='fqdn')

私はDjangoに約5冊の本を持っています（必要に応じてそれらすべてをリストできます）。また、フレームワークのこの特定の領域/機能を操作する方法を示すリファレンステキストはありません。 最初は何かおかしいと思ったんですよね？ 私がやろうとしていることをするためのより良い方法はありますか？ この問題についてのコメントを混乱させないように、OOBまでお気軽にご連絡ください。 私のコメントを読むために時間を割いてくれたすべての人に感謝します（django初心者として、これは本当に理解するのが困難でした）。

@Lcstyle

DRFの各Field （ Serializers自体を含む）には、データをシリアル化するための2つのコアメソッドがあります（つまり、JSONタイプとPythonタイプの間）。

1. to_representation -データが「アウト」になります
2. to_internal_value -「入ってくる」データ

提供したモデルの大まかな概要を以下に示します。以下は、RelatedFieldsがどのように機能するかの概要であり、SlugRelatedFieldは特殊なバージョンです。

class UserHostsRelatedField(serializers.RelatedField):
    def get_queryset(self):
        # do any permission checks and filtering here
        return Host.objects.filter(user=self.context['request'].user)

    def to_representation(self, obj):
        # this is the data that "goes out"
        # convert a Python ORM object into a string value, that will in turn be shown in the JSON
        return str(obj.fqdn)

    def to_internal_value(self, data):
        # turn an INCOMING JSON value into a Python value, in this case a Django ORM object
        # lets say the value 'ADSF-1234'  comes into the serializer, you want to grab it from the ORM
        return self.get_queryset().get(fqdn=data)

実際には、通常、セキュリティなど（ django-guardianやrulesなどを使用する場合）のために、 get_querysetまたはto_internal_valueメソッドのいずれかに一連のチェックを入れたいと考えています。 rules ）また、実際のORMオブジェクトが存在することを確認します。

より完全な例は次のようになります

from rest_framework.exceptions import (
    ValidationError,
    PermissionError,
)
class UserHostsRelatedField(serializers.RelatedField):
    def get_queryset(self):
        return Host.objects.filter(user=self.context['request'].user)

    def to_representation(self, obj):
        return str(obj.fqdn)

    def to_internal_value(self, data):
        if not isinstance(data, str):
            raise ValidationError({'error': 'Host fields must be strings, you passed in type %s' % type(data)})
        try:
            return self.get_queryset().get(fqdn=data)
        except Host.DoesNotExist:
            raise PermissionError({'error': 'You do not have access to this resource'})

@ cancan101が少し前に書いたことに関して：

このスレッドに関連していると思われる問題が発生しました。 フィルタリングバックエンド（私の場合はDjango Filter）が有効になっている場合、閲覧可能なAPIはインターフェイスに[Filters]ボタンを追加し、ドロップダウンがフィールドに設定されたクエリセットを尊重しないことがわかります。 私にはそうあるべきだと思います。

私が見る限り、これはまだ真実です。 これは、カスタムを経由して改善することができますFiltersetデータをリークしているのForeignKeyフィールドのフィールドが、私はまだこれが「自動」に解決されるべきだと思う@tomchristieとフィルタmodelchoiceは尊重すべきget_queryset方法をシリアライザーのカスタムフィールド宣言の

いずれにせよ、追加のドキュメントが必要になります。

カスタムフィルターセットを介してこれを解決する方法を以下に文書化しています。

サンプルワークエントリーモデル：

class WorkEntry(models.Model):
   date = models.DateField(blank=False, null=True, default=date.today)
   who = models.ForeignKey(User, on_delete=models.CASCADE)
   ...

基本モデルビューセット：

class WorkEntryViewSet(viewsets.ModelViewSet):
   queryset = WorkEntry.objects.all().order_by('-date')
   # only work entries that are owned by request.user are returned
   filter_backends = (OnlyShowWorkEntriesThatAreOwnedByRequestUserFilterBackend, ...)
   # 
   filter_fields = (
      # this shows a filter dropdown that contains User.objects.all() - data leakage!
      'who',
   )
   # Solution: this overrides filter_fields above
   filter_class = WorkentryFilter

カスタムFilterSet（基本モデルのビューセットのfilter_classを介してfilter_fieldsをオーバーライドします）

class WorkentryFilter(FilterSet):
    """
    This sets the available filters and filter types
    """
    # foreignkey fields need to be overridden otherwise the browseable API will show User.objects.all()
    # data leakage!
    who = ModelChoiceFilter(queryset=who_filter_function)

    class Meta:
        model = WorkEntry
        fields = {
            'who': ('exact',),
        }

ここに記載されているように呼び出し可能なクエリセット： http ：

def who_filter_function(request):
    if request is None:
        return User.objects.none()
   # this solves the data leakage via the filter dropdown
   return User.objects.filter(pk=request.user.pk)

@macolo

このコードを見てください：

これはあなたが言及しているデータ漏洩の問題を修正しませんか？ 私の検索フィールドは閲覧可能なAPIに存在しますが、それでも結果は所有者によってフィルタリングされたクエリセットに制限されます。

class HostsViewSet(DefaultsMixin, viewsets.ModelViewSet):
    search_fields = ('hostname','fqdn')
    def get_queryset(self):
        owner = self.request.user
        queryset = Host.objects.filter(owner=owner)
        return queryset

@Lcstyleホストをフィルタリングしようとはしていません。関連するフィールドのインスタンス（たとえば、ホストの所有者）をフィルタリングしようとしています。

私はRESTで解決したいこの特定の問題を見ています...通常、例はrequest.user基づいています。 もう少し複雑なケースを扱いたいのですが。

Companyを持つEmployeesあり、 Companyにその月の従業員の属性があるとします。

class Company(Model):
   employee_of_the_month = ForeignKey(Employee)
   ...

class Employee(Model):
    company = ForeignKey(Company)

私は制限するために、RESTインターフェースたいemployee_of_the_monthすることによってEmployeeと同じcompany.idのようにCompany 。

これは私がこれまでに思いついたものです、

class CompanySerializer(ModelSerializer):
   employee_of_the_month_id = PrimaryKeyRelatedField(
     source='employee_of_the_month',
     queryset=Employee.objects.all())

   def __init__(self, *args, **kwargs):                                        
        super(CompanySerializer, self).__init__(*args, **kwargs)              
        view = self.context.get('view', None)                                   
        company_id = None                                                     
        if view and isinstance(view, mixins.RetrieveModelMixin):                
            obj = view.get_object()                                             
            if isinstance(obj, Company):   #  We could get the model from the queryset.                                     
                company_id = obj.id                                           
        q = self.fields['employee_of_the_month_id'].queryset
        self.fields['employee_of_the_month_id'].queryset = q.filter(company_id=company_id)

...この方法は抽象化できるものですか？ @nailgunのhttps://github.com/encode/django-rest-framework/issues/1985#issuecomment-61871134に少し基づいてい

私はまた、私は可能性も考えていますvalidate()そのemployee_of_the_month満たしてやろうとすることにより、上記構築されたクエリセットget()でクエリセットに対してはemployee_of_the_month.id

＃3605を見ると、これはフィールドのカスタムシリアライザーでも実行できることがわかります。今月の従業員の代わりにCEOを使用しましょう。

 class CEOField(serializers.PrimaryKeyRelatedField):                 

      def get_queryset(self):                                                     
          company_id = None                                                     
          view = self.context.get('view', None)                                   
          if view and isinstance(view, mixins.RetrieveModelMixin):                
              obj = view.get_object()                                             
              if isinstance(obj, Company):                                      
                  dashboard_id = obj.id                                           
          return Employee.objects.filter(company_id=company_id)           

これは、特定の会社を調べている場合を除いて、選択対象のオブジェクトを返さないように特別に設計されています。 言い換えれば、新しい会社は、会社が設立されるまであなたが持つことができない従業員がいるまで、CEOを持つことができませんでした。

このアプローチでの私の唯一の後悔は、これをDRYer / genericにすることができたようだということです。