Django-rest-framework: 관련 필드에 대한 권한 및 필터링을 처리하는 방법을 문서화합니다.

코드를 파헤쳐 보았지만 쉽게 할 수 있는 방법을 찾지 못했습니다. 이상적으로는 모든 관련 개체에 대해 권한의 "has_object_permission"을 호출할 수 있어야 합니다. 현재 직렬 변환기는 권한 개체에 액세스할 수 없습니다.

현재 직렬 변환기는 권한 개체에 액세스할 수 없습니다.

이것이 그렇게 간단하지 않다는 것을 제외하고.

_어떤_ 권한 개체? 이는 _other_ 개체에 대한 관계이므로 현재 보기의 권한 및 필터 클래스가 개체 관계에 적용하려는 규칙과 반드시 ​​동일하지는 않습니다.

하이퍼링크된 관계의 경우 이론적으로 그들이 (+)를 가리키는 보기를 결정하고 이를 기반으로 필터링/권한을 결정할 수 있지만 확실히 끔찍하게 밀접하게 연결된 디자인으로 끝날 것입니다. 하이퍼링크되지 않은 관계의 경우에는 그렇게 할 수도 없습니다. 각 모델이 단일 표준 보기에 한 번 노출된다는 보장은 없으므로 하이퍼링크되지 않은 관계에 사용할 권한을 자동으로 결정하려고 시도할 수 없습니다.

(+) 실제로는 _합리적인_ 방식으로 그렇게 하는 것이 실제로 가능하지 않을 수 있지만, 잠시 동안 가정해 보겠습니다.

아마도 "has__permission"? 그러면 각 권한 개체가 관련 개체를 볼 수 있는지 여부를 알 수 있습니다.

사람들은 필터링을 어떻게 사용합니까? 사용자에게 권한이 없는 개체를 숨기는 용도로만 사용하고 있습니까? 그것이 유스 케이스라면 필터가 필요하지 않을 수 있기 때문입니다.

참조된 문제 #1646 중 하나는 관련 필드에 대해 탐색 가능한 API 페이지에 표시되는 선택을 제한하는 것입니다.

저는 탐색 가능한 API를 좋아하고 백엔드 개발자인 저뿐만 아니라 REST API의 프런트 엔드 개발자/사용자에게도 훌륭한 도구라고 생각합니다. 탐색 가능한 API가 켜진 상태로 제품을 배송하고 싶습니다(즉, DEBUG 모드에서 사이트가 외롭지 않은 경우에도 실행됨). 그렇게 하려면 탐색 가능한 API 페이지를 통해 정보가 누출될 수 없습니다. (물론 해당 페이지가 일반적으로 프로덕션 준비가 되어 있고 안전해야 한다는 요구 사항에 추가).

이것이 의미하는 바는 관련 필드의 존재에 대한 정보가 POST를 통해 배울 수 있는 것보다 HTML 페이지를 통해 더 이상 배울 수 없어야 한다는 것입니다.

결국 관련 필드의 View를 사용하여 필터링을 제공하는 직렬 변환기용 믹스인 클래스를 만들었습니다.

class RelatedFieldPermissionsSerializerMixin(object):
    """
    Limit related fields based on the permissions in the related object's view.

    To use, mixin the class, and add a dictionary to the Serializer's Meta class
    named "related_queryset_filters" mapping the field name to the string name 
    of the appropriate view class.  Example:

    class MySerializer(serializers.ModelSerializer):
        class Meta:
            related_queryset_filters = {
                'user': 'UserViewSet',
            }

    """
    def __init__(self, *args, **kwargs):
        super(RelatedFieldPermissionsSerializerMixin, self).__init__(*args, **kwargs)
        self._filter_related_fields_for_html()

    def _filter_related_fields_for_html(self):
        """
        Ensure thatk related fields are ownership filtered for
        the browseable HTML views.
        """
        import views
        try:
            # related_queryset_filters is a map of the fieldname and the viewset name (str)
            related_queryset_filters = self.Meta.related_queryset_filters
        except AttributeError:
            related_queryset_filters = {}
        for field, viewset in related_queryset_filters.items():
            try:
                self.fields[field].queryset = self._filter_related_qs(self.context['request'], getattr(views, viewset))
            except KeyError:
                pass

    def _filter_related_qs(self, request, ViewSet):
        """
        Helper function to filter related fields using
        existing filtering logic in ViewSets.
        """
        view = ViewSet()
        view.request = request
        view.action = 'retrieve'
        queryset =  view.get_queryset()
        try:
            return view.queryset_ownership_filter(queryset)
        except AttributeError:
            return queryset

Serializer와 View를 혼합하는 대신 View mixin: #1935를 사용하여 이 문제를 해결했습니다. 사전이 필요하지 않고 View에서 secured_fields 목록을 사용했습니다.

이 간단한 직렬 변환기 믹스인을 사용하여 관련 필드의 쿼리 세트를 필터링했습니다.

class FilterRelatedMixin(object):
    def __init__(self, *args, **kwargs):
        super(FilterRelatedMixin, self).__init__(*args, **kwargs)
        for name, field in self.fields.iteritems():
            if isinstance(field, serializers.RelatedField):
                method_name = 'filter_%s' % name
                try:
                    func = getattr(self, method_name)
                except AttributeError:
                    pass
                else:
                    field.queryset = func(field.queryset)

사용법도 간단합니다.

class SocialPageSerializer(FilterRelatedMixin, serializers.ModelSerializer):
    account = serializers.PrimaryKeyRelatedField()

    class Meta:
        model = models.SocialPage

    def filter_account(self, queryset):
        request = self.context['request']
        return queryset.filter(user=request.user)

어때요? 문제가 있다고 보십니까?

저에게는 사용자 및 요청에 대한 논리를 Serializer 외부로 유지하고 View에 남겨두는 것을 좋아합니다.

문제는 관련 분야입니다. 사용자는 보기에 액세스할 수 있지만
모든 관련 개체가 아닙니다.

2014년 11월 5일 수요일 오후 6시 16분, Alex Rothberg [email protected]
썼다:

저에게는 사용자와 요청에 대한 논리를
Serializer를 사용하고 View에 그대로 둡니다.

—
이 이메일에 직접 답장하거나 GitHub에서 확인하세요.
https://github.com/tomchristie/django-rest-framework/issues/1985#issuecomment -61873766
.

관련 주제인 것 같으니 읽어주세요. OPTIONS 메서드와 POST 또는 PUT 메서드에 대해 Meta(ModelSerializer)의 필터링 관련 필드 개체를 어떻게 분리할 수 있습니까?

https://groups.google.com/forum/#!topic/django -rest-framework/jMePw1vS66A

model = serializers.PrimaryKeyRelatedField(queryset=Model.objects.none())로 설정하면 sealizer PrimaryKeyRelatedField "필드 입력을 확인할 때 모델 인스턴스 조회에 사용되는 쿼리 집합"이기 때문에 현재 개체를 관련 모델 인스턴스와 함께 저장할 수 없습니다.

model = serializers.PrimaryKeyRelatedField(queryset=Model.objects.all())(ModelSerializer의 기본값으로 주석을 추가할 수 있음), 모든 "관련" 개체(OPTIONS가 작업(POST, PUT)을 표시하기 때문에 실제로 관련이 없습니다. "모델" 필드(OPTIONS 메서드)에 대한 선택 항목에 표시되는 기본 모델 클래스의 속성(관련 개체가 있는 인스턴스가 아님).

업데이트. @cancan101 +1 . 그러나 "사용자"만이 아닙니다. 직렬 변환기에서 쿼리 집합을 볼 수 있듯이 이것은 논리와 직렬 변환기를 혼합하는 것이 좋지 않다고 생각합니다. "serializers.PrimaryKeyRelatedField(queryset=".

물론 좋습니다.

클래스 ModelSerializer:
클래스 메타:
모델=모델

Serializer는 Model에서 자동으로 생성되는 필드와 방법을 알아야 하기 때문입니다.

그럼에도 불구하고 내가 틀릴 수 있습니다.

이것은 작동하는 것 같습니다 :

class BlogSerializer(serializers.ModelSerializer):

    entries = serializers.SerializerMethodField()

    class Meta:
        model = Blog

    def get_entries(self, obj):
        queryset = obj.entries.all()
        if 'request' in self.context:
            queryset = queryset.filter(author=self.context['request'].user)
        serializer = EntrySerializer(queryset, many=True, context=self.context)
        return serializer.data

@dustinfarris 그것은 그것을 읽기 전용 필드로 만들지만 ... 작동합니다.

이 스레드와 관련된 것으로 보이는 문제가 발생했습니다. 필터링 백엔드(제 경우 Django Filter)가 활성화되면 탐색 가능한 API가 인터페이스에 Filters 버튼을 추가하고 드롭다운이 필드에 설정된 쿼리 세트를 존중하지 않는다는 것을 알 수 있습니다. 그래야 할 것 같습니다.

예시:

class Item(models.Model):
    project = models.ForeignKey(Project)

class ItemSerializer(serializers.ModelSerializer):
    def __init__(self, *args, **kwargs):
        request = kwargs.get('context', {}).get('request')
        self.fields['project'].queryset = request.user.project_set.all()
        super(ItemSerializer, self).__init__(*args, **kwargs)

위의 예는 항목 추가/편집 양식의 프로젝트 드롭다운을 올바른 프로젝트로 제한하지만 모든 항목은 여전히 Filters 드롭다운에 표시됩니다.

nailgun의 접근 방식은 저에게 꽤 효과가 있었지만 일대다 관계에서만 작동했습니다. 이제 내 관계가 ManyToManyField인 모델이 하나 있습니다. 이 경우 Mixin 방식은 작동하지 않습니다. 이러한 문제를 해결하는 방법에 대한 아이디어가 있습니까?

@fibbs는 다음을 추가하여 nailgun의 접근 방식을 변경합니다.

            if isinstance(field, serializers.ManyRelatedField):
                method_name = 'filter_%s' % name
                try:
                    func = getattr(self, method_name)
                except AttributeError:
                    pass
                else:
                    field.child_relation.queryset = func(field.child_relation.queryset) 

분명히 누군가가 이에 대한 깨끗한 솔루션을 제공했으며 이제 초기화 방법을 해킹하지 않고도 가능합니다. https://medium.com/django-rest-framework/limit-related-data-choices-with-django-rest-framework-c54e96f5815e

이 스레드가 업데이트/닫히지 않은 이유가 궁금합니다.

누군가가 나라는 것을 ;)
좋은 지적입니다. #3605가 이미 문서에 이에 대한 내용을 추가하고 있으므로 이 글을 닫겠습니다.
누군가가 뭔가를 가지고 올 수 있다면 우리는 여전히 그 부분에 대한 추가 개선을 고려할 것입니다.

이제 get_queryset() 메소드가 RelatedFields에 대해 존재한다는 사실이 좋습니다. 중첩된 직렬 변환기에도 사용할 수 있다면 정말 좋을 것입니다!

아마. 계속 하시겠습니까? :)

와... 굉장합니다. 이것이 문서화되어 있다면 올바른 방향으로 안내해 주시겠습니까? 이거 알아내는데 오래걸렸어요!

다음은 교화를 위한 내 문제의 요약입니다.

이 예에서 내 모델 이름은 "deployedEnvs" 및 "Host"입니다.
deployEnvs에는 호스트 모델에 대한 외래 키가 포함되어 있습니다(즉, 여러 deployEnvs가 동일한 호스트를 가리킬 수 있음). 호스트에 대한 PK가 아닌 HOST의 fqdn 필드를 표시하기 위해 직렬 변환기가 필요했습니다(매우 간단한 슬러그 관련 필드를 사용했습니다). 또한 FQDN 필드로 관련 HOST에 대한 FK 값을 조회하여 호스트를 지정할 수 있도록 하기 위해 deployEnv 항목(POST)을 생성할 때 필요했습니다. 예: 일치하는 host.fqdn 필드가 있는 호스트 개체의 PK를 조회하여 필드 호스트(관련 호스트 개체의 일치하는 fqdn으로 설정)와 함께 deployEnv를 만듭니다.

불행히도 현재 사용자가 소유한 호스트 개체에 대한 선택 항목으로만 드롭다운 표시줄에 반환된 결과를 제한할 수 없습니다.

slugRelatedField를 사용하도록 조정된 수정 코드는 다음과 같습니다.

class UserHostsOnly(serializers.SlugRelatedField):
    def get_queryset(self):
        user = self.context['request'].user
        queryset = Host.objects.filter(owner=user)
        return queryset

class deployEnvSerializer(serializers.ModelSerializer):
    host = UserHostsOnly(slug_field='fqdn')

저는 Django에 대해 약 5권의 책을 가지고 있으며(원하는 경우 모두 나열할 수 있습니다) 참조 텍스트 중 프레임워크의 이 특정 영역/기능으로 작업하는 방법을 보여 주는 문서는 없습니다. 처음에는 제가 뭔가 잘못하고 있는 줄 알았어요, 그렇죠? 내가 하려는 일을 하는 더 좋은 방법이 있습니까? 이 문제에 대한 의견을 날조하지 않도록 OOB에 언제든지 연락해 주십시오. 시간을 내어 내 의견을 읽어주신 모든 분들께 감사드립니다(django 초보자로서 이것은 이해하기가 정말 어려웠습니다).

@Lcstyle

DRF의 각 Field ( Serializers 자체 포함)에는 데이터를 안팎으로 직렬화하기 위한 2가지 핵심 메서드가 있습니다(예: JSON과 Python 유형 간).

1. to_representation - 데이터가 "나가기"
2. to_internal_value - "들어오는" 데이터

귀하가 제공한 모델의 대략적인 개요를 벗어나면 아래는 RelatedFields가 작동하는 방식에 대한 개요이며 SlugRelatedField는 특수 버전입니다.

class UserHostsRelatedField(serializers.RelatedField):
    def get_queryset(self):
        # do any permission checks and filtering here
        return Host.objects.filter(user=self.context['request'].user)

    def to_representation(self, obj):
        # this is the data that "goes out"
        # convert a Python ORM object into a string value, that will in turn be shown in the JSON
        return str(obj.fqdn)

    def to_internal_value(self, data):
        # turn an INCOMING JSON value into a Python value, in this case a Django ORM object
        # lets say the value 'ADSF-1234'  comes into the serializer, you want to grab it from the ORM
        return self.get_queryset().get(fqdn=data)

실제로는 일반적으로 보안과 같은 것을 위해 get_queryset 또는 to_internal_value 메서드에 많은 수표를 넣고 싶습니다( django-guardian 또는 rules 와 같은 것을 사용하는 경우

더 완전한 예는 다음과 같습니다.

from rest_framework.exceptions import (
    ValidationError,
    PermissionError,
)
class UserHostsRelatedField(serializers.RelatedField):
    def get_queryset(self):
        return Host.objects.filter(user=self.context['request'].user)

    def to_representation(self, obj):
        return str(obj.fqdn)

    def to_internal_value(self, data):
        if not isinstance(data, str):
            raise ValidationError({'error': 'Host fields must be strings, you passed in type %s' % type(data)})
        try:
            return self.get_queryset().get(fqdn=data)
        except Host.DoesNotExist:
            raise PermissionError({'error': 'You do not have access to this resource'})

@cancan101 이 얼마 전에 쓴 내용과 관련하여:

이 스레드와 관련된 것으로 보이는 문제가 발생했습니다. 필터링 백엔드(제 경우 Django Filter)가 활성화되면 탐색 가능한 API가 인터페이스에 필터 버튼을 추가하고 드롭다운이 필드에 설정된 쿼리 세트를 존중하지 않는다는 것을 알 수 있습니다. 그래야 할 것 같습니다.

내가 볼 수있는 한 이것은 여전히 ​​사실입니다. 이것은 데이터가 누출되는 foreignkey 필드에 대한 사용자 정의 Filterset 필드를 통해 해결할 수 있지만 @tomchristie 저는 이것이 여전히 '자동으로' 해결되어야 하고 필터 modelchoice는 get_queryset 방법을 준수해야 한다고 생각합니다 직렬 변환기의 사용자 정의 필드 선언.

어쨌든 추가 문서가 필요합니다.

사용자 정의 필터 세트를 통해 이 문제를 해결하는 방법을 아래에 문서화하고 있습니다.

샘플 작업자 모델:

class WorkEntry(models.Model):
   date = models.DateField(blank=False, null=True, default=date.today)
   who = models.ForeignKey(User, on_delete=models.CASCADE)
   ...

기본 모델 보기 세트:

class WorkEntryViewSet(viewsets.ModelViewSet):
   queryset = WorkEntry.objects.all().order_by('-date')
   # only work entries that are owned by request.user are returned
   filter_backends = (OnlyShowWorkEntriesThatAreOwnedByRequestUserFilterBackend, ...)
   # 
   filter_fields = (
      # this shows a filter dropdown that contains User.objects.all() - data leakage!
      'who',
   )
   # Solution: this overrides filter_fields above
   filter_class = WorkentryFilter

Custom FilterSet(기본 모델의 뷰 세트에서 filter_class를 통해 filter_fields 재정의)

class WorkentryFilter(FilterSet):
    """
    This sets the available filters and filter types
    """
    # foreignkey fields need to be overridden otherwise the browseable API will show User.objects.all()
    # data leakage!
    who = ModelChoiceFilter(queryset=who_filter_function)

    class Meta:
        model = WorkEntry
        fields = {
            'who': ('exact',),
        }

여기에 문서화된 쿼리 세트 호출 가능: http://django-filter.readthedocs.io/en/latest/ref/filters.html#modelchoicefilter

def who_filter_function(request):
    if request is None:
        return User.objects.none()
   # this solves the data leakage via the filter dropdown
   return User.objects.filter(pk=request.user.pk)

@macolo

이 코드를 살펴보십시오.

이것은 당신이 말하는 데이터 유출 문제를 해결하지 않습니까? 내 검색 필드는 탐색 가능한 API에 있지만 결과는 여전히 소유자가 필터링한 쿼리 세트로 제한됩니다.

class HostsViewSet(DefaultsMixin, viewsets.ModelViewSet):
    search_fields = ('hostname','fqdn')
    def get_queryset(self):
        owner = self.request.user
        queryset = Host.objects.filter(owner=owner)
        return queryset

@Lcstyle 호스트를 필터링하려는 것이 아니라 관련 필드의 인스턴스를 필터링하려고 합니다(예: 호스트의 소유자)

REST에서 해결하고 싶은 이 특정 문제를 보고 있습니다. 일반적으로 예제는 request.user 기반입니다. 조금 더 복잡한 경우를 처리하고 싶습니다.

Company 를 가진 Employees 있고 Company 가 이 달의 직원 속성을 가지고 있다고 가정해 보겠습니다.

class Company(Model):
   employee_of_the_month = ForeignKey(Employee)
   ...

class Employee(Model):
    company = ForeignKey(Company)

나는 제한하기 위해 REST 인터페이스 싶습니다 employee_of_the_month 하여 Employee 와 같은 company.id 는 AS Company .

이것은 내가 지금까지 생각해 낸 것입니다.

class CompanySerializer(ModelSerializer):
   employee_of_the_month_id = PrimaryKeyRelatedField(
     source='employee_of_the_month',
     queryset=Employee.objects.all())

   def __init__(self, *args, **kwargs):                                        
        super(CompanySerializer, self).__init__(*args, **kwargs)              
        view = self.context.get('view', None)                                   
        company_id = None                                                     
        if view and isinstance(view, mixins.RetrieveModelMixin):                
            obj = view.get_object()                                             
            if isinstance(obj, Company):   #  We could get the model from the queryset.                                     
                company_id = obj.id                                           
        q = self.fields['employee_of_the_month_id'].queryset
        self.fields['employee_of_the_month_id'].queryset = q.filter(company_id=company_id)

...이 메서드가 추상화될 수 있습니까? @nailgun 의 https://github.com/encode/django-rest-framework/issues/1985#issuecomment -61871134를 기반으로 합니다.

나는 또한 생각하고 그 I 수도 validate() 것을 employee_of_the_month 만족의 검색어는 일을하려고 이상 내장 get() 와의 검색어에 대해 employee_of_the_month.id

#3605를 보면 필드에 대한 사용자 지정 직렬 변환기를 사용하여 이 작업을 수행할 수도 있음을 알 수 있습니다. 이 달의 직원 대신 CEO를 사용하겠습니다.

 class CEOField(serializers.PrimaryKeyRelatedField):                 

      def get_queryset(self):                                                     
          company_id = None                                                     
          view = self.context.get('view', None)                                   
          if view and isinstance(view, mixins.RetrieveModelMixin):                
              obj = view.get_object()                                             
              if isinstance(obj, Company):                                      
                  dashboard_id = obj.id                                           
          return Employee.objects.filter(company_id=company_id)           

이것은 우리가 특정 회사를 보고 있지 않는 한 선택할 개체를 반환하지 않도록 특별히 설계되었습니다. 즉, 새로운 회사에는 직원이 있기 전에는 CEO가 있을 수 없었고 회사가 만들어지기 전에는 CEO를 가질 수 없었습니다.

이 접근 방식에 대한 나의 유일한 후회는 이것이 DRYer/generic으로 만들어질 수 있는 것처럼 보인다는 것입니다.