Problemi con ForeignKey usando POST in Django-Tastypie

Question

Sto costruendo una semplice API usando django-tastypie. L'idea è che ho due risorse:

• Un Nota risorsa che rappresenta una nota lasciato da un utente. Solo l'utente che ha creato una nota può modificarlo.
• A Commento risorsa. I commenti possono essere lasciati su qualsiasi nota da qualsiasi utente.

TL; DR: Non sono in grado di limitare Nota editing per il creatore di una nota, pur consentendo a qualsiasi utente di commentare una nota.

Sto usando la seguente configurazione per l'autenticazione:

class CreatedByEditAuthorization(Authorization): 
    def is_authorized(self, request, object=None, **kwargs): 
     return True 

    def apply_limits(self, request, object_list): 
     if request and request.method != 'GET' and hasattr(request, 'user'): 
      return object_list.filter(created_by=request.user) 
     return object_list 

Insomma, un utente è autorizzato solo per modificare gli oggetti di cui sono uguale alla proprietà created_by (possono modificare solo gli oggetti che hanno creato) .

Questo è legato come segue:

class NoteResource(ModelResource): 
    comments = fields.ToManyField('myapp.api.resources.CommentResource', 'comments', null=True, blank=True) 
    created_by = fields.ToOneField('account.api.resources.UserResource', 'created_by') 

    def obj_create(self, bundle, request, **kwargs): 
     return super(HapResource, self).obj_create(bundle, request, created_by=request.user) 

    class Meta: 
     queryset = Note.objects.all() 
     allowed_methods = ['get', 'put', 'post'] 
     authorization = CreatedByEditAuthorization() 

ecco, quando si crea un oggetto, allego automaticamente l'utente corrente all'attributo created_by e collegarlo al l'autorizzazione appropriata.

Una risorsa Comment A è una semplice e ha una risorsa ForeignKey in una risorsa Note.

Il problema è questo: se l'utente A crea una nota e l'utente B tenta di commentare che la nota, tastypie invia (o simula) una richiesta POST per modificare che la nota. Tale tentativo viene rifiutato poiché l'utente B non ha creato la nota, pertanto la creazione del commento non riesce.

La domanda è questa: c'è un modo per entrambi:

1. Impedire tastypie dall'utilizzo di un POST per creare il reverse-relazione alla risorsa Nota o
2. Modifica del regime di autorizzazione quindi Notes può essere modificato solo dal loro creatore, ma i commenti possono essere generati in generale?

Grazie in anticipo per eventuali approfondimenti.

Modifica: Ho una grossa hack grassa che può realizzare questo. Sono abbastanza sicuro che sia sicuro, ma non sono positivo; Cercherò di costruire alcune query per essere sicuro. Invece di usare fields.ForeignKey in Comment di relazionarsi con Note, crea un campo personalizzato:

class SafeForeignKey(fields.ForeignKey): 
    def build_related_resource(self, value, request=None, related_obj=None, related_name=None): 
     temp = request.method 
     if isinstance(value, basestring): 
      request.method = 'GET' 
     ret = super(SafeForeignKey, self).build_related_resource(value, request, related_obj, related_name) 
     request.method = temp 
     return ret 

Ogni volta che cerchiamo di costruire questa risorsa correlata, vi segnalo la richiesta in via GET (in quanto ci aspettiamo da abbinare a una query SELECT anziché UPDATE che corrisponde a PUT o POST). Questo è davvero brutto e potenzialmente pericoloso se usato in modo errato, e spero in una soluzione migliore.

Modifica 2: Dalla lettura della fonte tastypie, per quanto posso dire non c'è modo di filtrare l'autorizzazione dalla query che verrà effettivamente inviata.

Answer 1

Come per la discussione sulla https://github.com/toastdriven/django-tastypie/issues/480#issuecomment-5561036:

Il metodo che determina se un Resource può essere aggiornato è can_update. Pertanto, per fare questo lavoro nel modo "corretto", è necessario creare una sottoclasse di NoteResource:

class SafeNoteResource(NoteResource): 
    def can_update(self): 
     return False 
    class Meta: 
     queryset = Note.objects.all() 
     allowed_methods = ['get'] 
     authorization = Authorization() 
     # You MUST set this to the same resource_name as NoteResource 
     resource_name = 'note' 

poi lasciare CommentResource collegamento alle note nel modo standard: note = fields.ForeignKey(SafeNoteResource, 'note').

Answer 2

una soluzione semplice dovrebbe essere quello di controllare all'interno della apply_limits se la richiesta è per un Nota risorsa o un commento risorsa. per esempio. qualcosa come

def apply_limits(self, request, object_list): 
    if request and request.method != 'GET' and hasattr(request, 'user') and getattr(request, 'path','').startswith('/api/v1/note'): 
     return object_list.filter(created_by=request.user) 
    return object_list 

Poi si sta limitando l'accesso solo a Notes allo stesso utente, quando l'utente accede a una Nota risorsa direttamente, e non attraverso altre risorse correlate, come ad esempio Commenti.

aggiornamento: o un'opzione di un po 'più sicuro sarebbe quello di controllare che la richiesta non non inizio con 'api/v1/commento' - così si sta solo whitelist il commento di accesso, piuttosto che qualcosa di diverso nota . Lo stesso principio vale comunque. Fai attenzione a questo confronto basato sul testo del percorso della richiesta, per evitare casi in cui qualcuno aggiunge semplicemente/fa precedere la stringa all'URL per ignorare la tua autorizzazione. Speriamo che la preparazione anticipata sia più limitata, dal momento che è necessario inserire l'url corretto in urls.py, quindi perché ho usato startswith qui. Ovviamente dovresti regolare la stringa del percorso in modo che corrisponda ai tuoi URL di tasteypie.