Django-Tastypie

Question

में POST का उपयोग कर विदेशीकी के साथ समस्याएं मैं django-tastypie का उपयोग कर एक साधारण एपीआई बना रहा हूं।

• एक नोट संसाधन एक नोट एक उपयोगकर्ता द्वारा छोड़ा का प्रतिनिधित्व: विचार मैं दो संसाधन है। केवल उपयोगकर्ता जिसने नोट बनाया है उसे संपादित कर सकते हैं।
• ए टिप्पणी संसाधन। टिप्पणियां किसी भी उपयोगकर्ता द्वारा किसी भी नोट पर छोड़ी जा सकती हैं।

टी एल; डॉ: मैं नोट एक नोट के निर्माता को संपादित करते समय अभी तक किसी भी उपयोगकर्ता एक नोट पर टिप्पणी करने के लिए अनुमति को सीमित करने में असमर्थ हूँ।

मैं प्रमाणीकरण के लिए निम्नलिखित सेटअप का उपयोग कर रहा हूँ:

class CreatedByEditAuthorization(Authorization): 
    def is_authorized(self, request, object=None, **kwargs): 
     return True 

    def apply_limits(self, request, object_list): 
     if request and request.method != 'GET' and hasattr(request, 'user'): 
      return object_list.filter(created_by=request.user) 
     return object_list 

संक्षेप में, एक उपयोगकर्ता केवल जिसके लिए वे created_by संपत्ति के बराबर हैं वस्तुओं संपादित करने के लिए अधिकृत किया गया है (वे केवल वस्तुओं वे बनाए संपादित कर सकते हैं) ।

class NoteResource(ModelResource): 
    comments = fields.ToManyField('myapp.api.resources.CommentResource', 'comments', null=True, blank=True) 
    created_by = fields.ToOneField('account.api.resources.UserResource', 'created_by') 

    def obj_create(self, bundle, request, **kwargs): 
     return super(HapResource, self).obj_create(bundle, request, created_by=request.user) 

    class Meta: 
     queryset = Note.objects.all() 
     allowed_methods = ['get', 'put', 'post'] 
     authorization = CreatedByEditAuthorization() 

इसलिए यहाँ, जब एक वस्तु बन जाता है, मैं अपने आप वर्तमान उपयोगकर्ता created_by विशेषता को देते हैं और उचित प्राधिकरण से लिंक:

यह इस प्रकार जुड़ा हुआ है।

ए Comment संसाधन सरल है और Note संसाधन पर ForeignKey है।

समस्या यह है: यदि उपयोगकर्ता ए नोट बनाता है और उपयोगकर्ता बी उस नोट पर टिप्पणी करने का प्रयास करता है, तो tastypie उस नोट को संपादित करने के लिए एक POST अनुरोध भेजता है (या अनुकरण करता है)। यह प्रयास अस्वीकार कर दिया गया है क्योंकि उपयोगकर्ता बी ने नोट नहीं बनाया है, इसलिए टिप्पणी बनाना विफल हो जाता है।

सवाल यह है: वहाँ एक रास्ता है करने के लिए या तो:

नोट संसाधन या
1. बदलें प्राधिकरण योजना के उलट-संबंध बनाने के लिए एक पोस्ट का उपयोग करने से
2. रोकें tastypie तो नोट्स केवल उनके निर्माता द्वारा संपादित किया जा सकता है, लेकिन टिप्पणियां आम तौर पर बनाई जा सकती हैं?

किसी भी अंतर्दृष्टि के लिए अग्रिम धन्यवाद।

संपादित करें: मेरे पास एक बड़ी वसा हैक है जो इसे पूरा कर सकता है। मुझे यकीन है कि यह सुरक्षित है, लेकिन मैं सकारात्मक नहीं हूं; मैं सुनिश्चित करने के लिए कुछ प्रश्न बनाने का प्रयास करूंगा।

class SafeForeignKey(fields.ForeignKey): 
    def build_related_resource(self, value, request=None, related_obj=None, related_name=None): 
     temp = request.method 
     if isinstance(value, basestring): 
      request.method = 'GET' 
     ret = super(SafeForeignKey, self).build_related_resource(value, request, related_obj, related_name) 
     request.method = temp 
     return ret 

हर बार जब हम इस संबंधित संसाधन के निर्माण के लिए प्रयास करते हैं, हम (एक GET के रूप में अनुरोध निशान के बाद से हम उम्मीद करते हैं यह करने के लिए मिलान किया जा: Comment में fields.ForeignKey का उपयोग कर Note से संबंधित करने के बजाय, मैं एक कस्टम फ़ील्ड बनाने एक SELECTUPDATE की बजाय क्वेरी जो PUT या POST से मेल खाता है)। गलत तरीके से इस्तेमाल होने पर यह वास्तव में बदसूरत और संभावित रूप से असुरक्षित है, और मैं एक बेहतर समाधान की उम्मीद कर रहा हूं।

संपादित करें 2: स्वादिष्ट स्रोत पढ़ने से, जहां तक ​​मैं कह सकता हूं कि क्वेरी द्वारा प्राधिकरण को फ़िल्टर करने का कोई तरीका नहीं है जो वास्तव में भेजा जाएगा।

Answer 1

प्रति चर्चा के रूप में https://github.com/toastdriven/django-tastypie/issues/480#issuecomment-5561036 पर:

विधि अगर एक Resource अद्यतन किया जा सकता can_update है निर्धारित करता है कि। इसलिए, "उचित" तरीके से इस काम करने के लिए, आप NoteResource का एक उपवर्ग बनाने की जरूरत: note = fields.ForeignKey(SafeNoteResource, 'note'):

class SafeNoteResource(NoteResource): 
    def can_update(self): 
     return False 
    class Meta: 
     queryset = Note.objects.all() 
     allowed_methods = ['get'] 
     authorization = Authorization() 
     # You MUST set this to the same resource_name as NoteResource 
     resource_name = 'note' 

तो मानक तरीके से नोटों को CommentResource लिंक करते हैं।

Answer 2

एक सरल उपाय apply_limits या नहीं, अनुरोध एक नोट संसाधन या एक टिप्पणी संसाधन के लिए है अंदर जांच करने के लिए किया जाना चाहिए। जैसे जैसे

def apply_limits(self, request, object_list): 
    if request and request.method != 'GET' and hasattr(request, 'user') and getattr(request, 'path','').startswith('/api/v1/note'): 
     return object_list.filter(created_by=request.user) 
    return object_list 

कुछ तो फिर तुम केवल एक ही उपयोगकर्ता के लिए नोट्स के लिए उपयोग, अन्य संबंधित संसाधन के माध्यम से सीमित कर रहे हैं जब उपयोगकर्ता संसाधन सीधे एक नोट तक पहुँच रहा है, और नहीं, इस तरह के रूप टिप्पणियाँ।

अद्यतन: या एक से थोड़ा अधिक सुरक्षित विकल्प है कि इस अनुरोध के साथ 'एपीआई/v1/टिप्पणी' नहीं शुरू करता है की जाँच करने के होगा - तो आप केवल कुछ भी टिप्पणी के अलावा अन्य के बजाय टिप्पणी करने की एक्सेस श्वेत सूची बनाती रहे हैं । हालांकि वही सिद्धांत लागू होता है। अनुरोध पथ की इस पाठ-आधारित तुलना से सावधान रहें, ऐसे मामलों से बचने के लिए जहां कोई व्यक्ति आपके प्राधिकरण को बाईपास करने के लिए आपके यूआरएल में स्ट्रिंग को जोड़ता/तैयार करता है। उम्मीद है कि प्रीपेडिंग अधिक सीमित है, क्योंकि इसे urls.py में सही यूआरएल हिट करने की जरूरत है, इसलिए मैंने startswith का उपयोग क्यों किया। बेशक आपको अपने tastypie urls से मेल खाने के लिए पथ स्ट्रिंग को समायोजित करना होगा।