Извините за длину этого вопроса, я не смог сделать его короче и по-прежнему значимым.
У нас очень простое приложение с двумя простыми моделями Company и Buildingс отношениями многих ко многим. У каждого есть атрибут restricted. User - это обычный класс Django User, за исключением того, что мы добавляем атрибут show.
# models.py
class User(AbstractUser):
show = models.BooleanField(default=True)
class Company(models.Model):
name = models.CharField(max_length=100)
restricted = models.BooleanField(default=False)
class Building(models.Model):
name = models.CharField(max_length=100)
restricted = models.BooleanField(default=False)
companies = models.ManyToManyField(Company, related_name='buildings')
Представления - это обычные наборы представлений Django REST Framework, а сериализаторы настолько просты, насколько это возможно:
# views.py
class CompanyViewSet(ModelViewSet):
queryset = Company.objects.all()
serializer_class = CompanySerializer
class BuildingViewSet(ModelViewSet):
queryset = Building.objects.all()
serializer_class = BuildingSerializer
# serializers.py
class CompanySerializer(serializers.ModelSerializer):
class Meta:
model = Company
fields = '__all__'
class BuildingSerializer(serializers.ModelSerializer):
class Meta:
model = Building
fields = '__all__'
Теперь мы хотим реализовать это поведение : если user.show равно False, пользователь должен не быть в состоянии видеть (в представлениях)restricted Company и Building.
Другими словами, если john является User и john.show is False, john может видеть (в представлениях) normal_company иnormal_building, но не restricted_company или restricted_building.
Для этого мы не хотим редактировать представления / сериализаторы , если этовозможно, потому что их много (это упрощенная версия реального проекта, который намного больше).
Моя команда думала об использовании промежуточного программного обеспечения. Мы попытались динамически изменить Company.objects и Building.objects:
# middleware.py
class FilterMiddleware:
def __init__(self, get_response):
self.get_response = get_response
def __call__(self, request):
user = get_user() # Get the user somehow.
if not user.show:
# Replace objects.
for model in (Company, Building):
model.objects = model.objects.filter(restricted=False)
response = self.get_response(request)
return response
Но это, по какой-то неизвестной причине, не работает: john все еще может видеть компании с ограниченным доступом. Затем мы попытались динамически обновить метод django.db.models.Manager.get_queryset:
# middleware.py
class FilterMiddleware:
def __init__(self, get_response):
self.get_response = get_response
def __call__(self, request):
user = get_user()
if not user.show:
models.Manager.get_queryset = get_restricted_queryset
response = self.get_response(request)
return response
def get_restricted_queryset(self, *args, **kwargs):
# Conditions for the filter later.
hiding_conditions = {
"Company": Q(restricted=True),
"Building": Q(companies__restricted=True) | Q(restricted=True),
}
model_name = self.model.__name__
if model_name in hiding_conditions:
# We must filter the model out, so apply the hiding conditions.
hiding_condition = hiding_conditions[model_name]
return self._queryset_class(
model=self.model, using=self._db, hints=self._hints
).exclude(hiding_condition)
else:
return self._queryset_class(model=self.model, using=self._db, hints=self._hints)
Но это не работает - и это странно: когда я выбираю компании, на самом деле это только User модель, которая называется get_queryset, поэтому get_restricted_queryset не имеет никакого эффекта.
Теперь мы действительно застряли. У кого-нибудь есть идея, которая может нам помочь? Или просто промежуточное программное обеспечение не должно делать таких вещей?