如何解决Django-删除或编辑已登录用户的记录的实践和最安全的方法是什么?
| 我的网站上有一些部分,只有登录的用户才能看到他们的资源。 我还想绝对确保只有该授权用户才能修改和删除他/她的记录。在Django中,最佳实践和更安全的方法是什么? 真实的例子将不胜感激。解决方法
对于我的项目,我创建了一个Decorator来检查是否登录了正确的用户:
#decorator.py
from django.http import HttpResponseRedirect
from django.core.urlresolvers import reverse
def same_user_required(func):
def wrapper(request,user):
if not request.user.is_authenticated():
return HttpResponseRedirect(reverse(\'login-view\'))
if not user == request.user.username:
return HttpResponseRedirect(reverse(\'login-view\'))
return func(request,user)
return wrapper
然后,将其添加到需要检查的所有视图中:
#view_profile.py
from apps.utilities.decorators import same_user_required
@same_user_required
def edit_profile(request,user):
请注意,我的URL在edit_profile
视图中包含用户名/profile/edit/<username>
,这是参数的来源。
另一种方法是使用Django内置装饰器user_passes_test(有关用法的示例,请参见Django第14章。然后,您只需编写测试,而不是装饰器样板代码。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。