Пользовательские разрешения в Django Rest Framework

Question

У меня есть это представление, в котором я хочу проверить разрешение IsOwner.

Класс разрешений

class IsOwnerVendor(permissions.BasePermission):

def has_object_permission(self, request, view, obj):
    print(f"Vendor Email:{obj.vendor_id.email}")
    print(f"Loggon user:{obj.vendor_id.email}" )
    return obj.vendor_id.email == request.user

это моя модель объекта

class Menu(models.Model):
    name = models.CharField(max_length=100)
    description = models.CharField(max_length=500)
    price = models.FloatField()
    quantity = models.IntegerField(default=1)
    menu_cat = models.CharField(choices=MENU_CAT, max_length=5)
    date_created = models.DateTimeField(auto_now_add=True)
    last_edited = models.DateTimeField(auto_now=True)
    vendor_id = models.ForeignKey(Vendor, on_delete=models.CASCADE)
    is_recurring = models.BooleanField(default=False)
    recurring_freq = models.IntegerField(default=1)

Модель поставщика

class Vendor(models.Model):
    user = models.ForeignKey(settings.AUTH_USER_MODEL, on_delete=models.CASCADE, blank=True, null=True)
    business_name = models.CharField(max_length=100)
    email = models.EmailField()
    phone_number = PhoneField(help_text='Vendor phone number')
    registered_on = models.DateTimeField(auto_now_add=True)
    last_updated = models.DateTimeField(auto_now=True)

    def __str__(self):
        return self.business_name

и это мое мнение

class MenuDetailView(generics.GenericAPIView):
    permission_classes = [IsOwnerVendor | IsOwnerVendor]

    def get_serializer_class(self):
        if self.request.method == 'PUT':
            return MenuUpdateSerializer
        elif self.request.method == 'GET':
            return MenuListSerializer
        else:
            return MenuListSerializer

    def get_object(self, pk):
        try:
            obj = Menu.objects.get(pk=pk, )
            self.check_object_permissions(self.request, obj)
            return obj
        except Menu.DoesNotExist:
            raise Http404

    @method_permission_classes((IsOwnerVendor,))
    def get(self, request, pk, format=None):
        my_menu = self.get_object(pk=pk)
        menu_serializer = MenuListSerializer(my_menu)
        return Response(menu_serializer.data, status=status.HTTP_200_OK)

Когда я пытаюсь получить доступ к представлению, я всегда получаю сообщение об ошибке ниже

{
    "detail": "You do not have permission to perform this action."
}

Я прочитал DRF do c и все еще не могу определить, в чем заключается моя проблема.

Я также распечатал средства проверки разрешений на консоли и увидел, что они должны вернуть истину.

Answer 1

Главное, вы должны позволить методу has_object_permission возвращать True, вы можете попробовать:

return obj.vendor_id.email == request.user.email или return obj.vendor_id.user == request.user, если это все еще не работает, вы можете распечатать журнал или установить точку останова, чтобы понять, почему это метод return False. Не забудьте перезапустить локальный сервер перед следующим тестом.