Django-rest-framework: 사용자 정의 보기 세트 경로에서 개체 권한이 확인되지 않습니다.

get_object 를 호출하는 경우에만 has_object_permission 호출된다는 사실을 문서화해야 합니다.

이것은 직관적이지 않은 것 같습니다. /api/object/123/method/와 같은 호출은 일반적으로 ID가 123인 개체 인스턴스의 일부 메서드를 호출하는 데 사용되며 개체 권한을 확인하는 것이 예상되는 동작인 것 같습니다. 그렇지 않으면 누군가 사용자 지정 세부 경로를 만들 때마다 개체를 검색하고 수동으로 권한을 확인하고 계속 진행해야 합니다. 그 시점에서 has_object_permission()을 호출하는 것은 어쨌든 의미가 없습니다. 따라서 개체 수준 권한이 사용되는 모든 시나리오에서 이와 같은 상용구를 사용해야 합니다.

class CustomPermission(BasePermission):
    def has_permission(self, request, view):
        """we need to do all permission checking here, since has_object_permission() is not guaranteed to be called"""
        if 'pk' in view.kwargs and view.kwargs['pk']:
            obj = view.get_queryset()[0]
            # check object permissions here
        else:
            # check model permissions here

    def has_object_permission(self, request, view, obj):
        """ nothing to do here, we already checked everything, so ignore """
        return True

이제 알 것 같아요. 내 사용자 지정 경로에서 get_object()를 호출하면 has_object_permission()이 호출됩니다. 여전히 직관적이지 않은 것처럼 보이지만 적어도 명확한 해결책이 있습니다.

나는 문서화에 대한 구체적인 풀 요청을 고려하게 되어 기쁩니다 . #객체 수준 권한

이것을 닫지만 언급된 대로 특정 표현/추가를 _할 수 있습니다_.