Para una aplicación estoy construyendo quiero dar permiso a nivel de fila a través de un simple decorador. Puedo hacer esto porque la condición es simplemente si request.user es el propietario del objeto modelo.
Siguiendo parece funcionar:
from functools import wraps
from django.core.exceptions import PermissionDenied, ObjectDoesNotExist
def is_owner_permission_required(model, pk_name='pk'):
def decorator(view_func):
def wrap(request, *args, **kwargs):
pk = kwargs.get(pk_name, None)
if pk is None:
raise RuntimeError('decorator requires pk argument to be set (got {} instead)'.format(kwargs))
is_owner_func = getattr(model, 'is_owner', None)
if is_owner_func is None:
raise RuntimeError('decorator requires model {} to provide is_owner function)'.format(model))
o=model.objects.get(pk=pk) #raises ObjectDoesNotExist
if o.is_owner(request.user):
return view_func(request, *args, **kwargs)
else:
raise PermissionDenied
return wraps(view_func)(wrap)
return decorator
La vista:
@login_required
@is_owner_permission_required(Comment)
def edit_comment(request, pk):
...
URLs:
url(r'^comment/(?P<pk>\d+)/edit/$', 'edit_comment'),
El modelo:
class Comment(models.Model):
user = models.ForeignKey(User, ...
<...>
def is_owner(self, user):
return self.user == user
Cualquier comentario o comentarios son apreciados.
Paul Borman
Cabe señalar que [hay un error en Django (# 11383)] (https://code.djangoproject.com/ticket/11383) que impide la comprobación de permisos de nivel de objeto cuando el "Borrar selección" acción de administración se ejecuta. – jnns
¿Usted sabe cómo hacer lo mismo con 'admin.TabularInline'? – xleon