在基于函数的视图中,在login_required之后使用user_passes_test
是一种常见的用户权限控制方式。login_required是一个装饰器,用于确保用户已经登录,如果未登录则会重定向到登录页面。user_passes_test也是一个装饰器,用于检查用户是否满足特定的条件,如果不满足则会返回403禁止访问的错误。
通过在视图函数上依次应用这两个装饰器,可以实现在登录后检查用户是否满足特定的条件,从而控制用户的访问权限。
在具体实现中,可以定义一个函数作为user_passes_test装饰器的参数,这个函数应该接受一个用户对象作为参数,并返回一个布尔值,表示用户是否满足条件。例如,可以定义一个函数is_admin,用于检查用户是否为管理员:
def is_admin(user):
return user.is_authenticated and user.is_superuser然后,在视图函数上同时应用login_required和user_passes_test装饰器:
@login_required
@user_passes_test(is_admin)
def admin_view(request):
# 管理员视图处理逻辑这样,当用户访问admin_view视图时,首先会检查用户是否已登录,如果未登录则会重定向到登录页面;然后会调用is_admin函数检查用户是否为管理员,如果不是管理员则会返回403禁止访问的错误。
这种权限控制方式常用于管理后台、权限管理等需要对用户进行细粒度控制的场景。
腾讯云相关产品推荐:
- 云服务器(CVM):https://cloud.tencent.com/product/cvm
- 云函数(SCF):https://cloud.tencent.com/product/scf
相关·内容
我在views.py中有一组函数,目前只有用户可以访问。我被要求将其公开访问,目前我在我的视图中使用@login_required装饰器。有没有办法根据被服务的对象有条件地应用这个装饰器?
例如,我的views.py的一部分
@login_required
def details(request, object_id):
o = get_object_or_404(Model, pk=object_id)
if o.user_id == request.user.pk:
return render(request, 'app/details.html&
浏览 0提问于2017-03-28得票数 3
1回答
所以在我的urls.py (在django默认管理部分之外),我想将一些urls限制为仅供管理员使用,因此,如果我为已登录的用户设置此urls
from django.contrib.auth.decorators import login_required
urlpatterns = [
url(r'^a1$',login_required( views.admin_area1 ), name='a1'),
url(r'^a2$', login_required(views.admin_area2)
浏览 3提问于2016-08-30得票数 2
回答已采纳
在django中有没有类似于@login_required的装饰器来测试用户是否是超级用户?
谢谢
浏览 0提问于2012-08-17得票数 102
回答已采纳
当我使用user_passes_test装饰器时,一个错误显示:
"AttributeError:‘函数’对象没有属性'as_view'“
这是我的密码:
urls.py:
url(r'^user/admin/$', UpdateAdminView.as_view(), name='admin'),
views.py:
@user_passes_test(lambda u: u.is_superuser)
@method_decorator(login_required, name='dispatch')
clas
浏览 1提问于2017-10-23得票数 0
回答已采纳
如果我想确保一个视图被列为具有公共访问权限,有没有一个与@public_access相反的等同于@login_required的修饰器,并明确说明该视图应该始终是公共可访问的?
我考虑的一个用例是自动将"@csrf_exempt“添加到所有公共视图中,同时在代码中清楚地表明视图应该是公开可访问的。
浏览 0提问于2010-02-13得票数 14
回答已采纳
我已经为用户写了一个通过条件,如下所示: def check_admin(user):
isAdmin = False
if user.role == "ADMIN":
isAdmin=True
return isAdmin 这在基于类的视图中工作得很好: class AgentUpdate(LoginRequiredMixin,UpdateView):
model = User
form_class = UserUpdateForm
template_name_suffix = '_update_for
浏览 9提问于2021-02-01得票数 0
在django中有没有类似于@login_required的装饰器,也可以测试用户是否有==厨房? 谢谢
浏览 13提问于2020-03-19得票数 0
回答已采纳
1回答
我有一个django应用程序,它有自己的urlconf包括在主一个。这个应用程序中的每一个页面都由一组单独的perms保护,这些perms不是授予普通用户的。想想员工的工作视角,而不是用户的个人资料等等。
我使用的是基于类的视图,所以现在我已经得到了着陆视图的调度()检查perms,但是使用这种方法,我将不得不对每个视图都这样做。那可不是干的。
所以我看到他们的选择是:
创建一个专门检查此权限的混合体。
在每个视图中使用调度()手动检查
不知何故在url级别检查
是否有任何方法对整个url包含设置许可要求?它们目前都启用了login_required()。
浏览 1提问于2014-05-29得票数 2
我有一个大型python文件,如下所示:
@login_required
@user_passes_test(lambda u: u.is_superuser)
def foo():
//function body
@login_required
@user_passes_test(lambda u: u.is_superuser)
def foobar():
//function body
.
.
.
像这样,文件中有许多函数。我想注释所有包含模式login_required或user_passes_test的行。如何评论这些台词?
我使用插件。因此,我可以使用gcc键映射
浏览 3提问于2014-01-05得票数 2
回答已采纳
我不认为原来的django管理登录是安全的,所以我希望/admin总是重定向到我的AllAuth登录页面,即使用户已经登录。
urls.py
admin.site.login = login_required(admin.site.login)
如果用户没有登录,这将从django管理登录页面重定向用户,但如果用户登录,则不会重定向用户。所以他们仍然可以用蛮力强迫它。如何编辑login_required装饰器以检查是否为is_superuser。
浏览 1提问于2019-02-08得票数 0
回答已采纳
1回答
docs的特性是。
但是,我有点不清楚如何与装饰者一起传递特定的参数,在本例中,我想使用。
如下所示,仅有效:
@login_required(login_url="Accounts:account_login")
@user_passes_test(profile_check)
class AccountSelectView(TemplateView):
template_name='select_account_type.html'
浏览 1提问于2015-11-27得票数 3
回答已采纳
我看了@login_required在Django中的源代码,我一行都看不懂:
lambda u: u.is_authenticated
我不明白u是从哪里来的。
完整代码:
def login_required(function=None, redirect_field_name=REDIRECT_FIELD_NAME, login_url=None):
actual_decorator = user_passes_test(
lambda u: u.is_authenticated,
login_url=login_url,
redirect_field_name
浏览 0提问于2019-10-29得票数 0
我正在使用Django Message Framework向用户显示消息,并在我的一个视图上使用@login_required装饰器。因此,如果用户试图在未登录的情况下访问某个视图,则会被踢到登录页面。我该如何向登录页面添加一条错误消息,上面写着“要做什么……您必须登录”。我不能像通常那样在视图中添加它,因为未登录的用户永远不会到达那里。
浏览 0提问于2010-04-28得票数 26
回答已采纳
2回答
在我的Django项目中,我想根据页面的访问级别为100,200等限制页面。我试着为这个页面制作一个包装器,比如login_required,但是我不知道如何访问用户模型。有什么建议吗?
示例:
def required_access(access):
if access <= user.access:
print 'The user can access this page, their access level is greater than or equal to whats required.'
else:
prin
浏览 3提问于2015-03-02得票数 0
回答已采纳
1回答
我的网站有用户和条目。我想要创建一个Django装饰器来重新字符串用户以删除或更新其他条目。但我已经做了一些。
我在想这样的事情
class EntryUpdate(generic.UpdateView):
model = Entry
fields = ['...']
....
@user_passes_test(lambda user: current.user.id == entry.user.id)
@method_decorator(login_required)
def dispatch(self, *args, **
浏览 1提问于2016-10-28得票数 0
回答已采纳
我正在尝试将自定义user_passes_test与login_required装饰器组合在一起。
这可以很好地工作:
@login_required
@user_passes_test(profile_expired, "Main:profile_expired")
def home(request):
return render(request, "Main/pages/home.html", {})
在helpers.py中
def profile_expired(user):
if user.is_authenticated and us
浏览 10提问于2019-11-26得票数 1
回答已采纳
我希望让Django的@login_required装饰器测试用户上的某个特定字段是否设置为除“无”之外的其他内容。(添加的字段具有null = true,默认值为None)。
对于这个字段,新创建的用户对象的值确实没有任何值,但是对@login_required的明显更改在行为上没有明显的区别(我重新启动Gunicorn以确保重新读取)。如果用户经过身份验证,即使添加的字段为None,也会呈现@login_required视图。
现在,略有变化的@login_required是:
def login_required(function=None, redirect_field_name=RE
浏览 3提问于2016-06-06得票数 2
回答已采纳
1回答
我用Django创建了一个系统。我有几个用户,这些用户可以有不同的rank。我有一个页面,但我只想要一个级别(lead)可以看到这些页面。我怎么能这么做?
models.py
class UserProfile(AbstractUser):
ranks = (
('analyst', 'Analyst'),
('seniorAnalyst', 'Senior Analyst'),
('lead', 'Lead'),
('
浏览 2提问于2021-01-13得票数 0
回答已采纳
嘿! 我有一个呈现联系人详细信息的视图。目标是让一些允许查看所有详细信息的用户('A')和一些只能看到例如名称的用户('B')。因此,我的模型中有两个序列化程序和两个视图(每个序列化程序一个)。用户被分成两组。 @user_passes_test确实起作用了,因此只有组'A‘中的人才能进入包含详细信息的视图。 我希望组'B‘中的那些被自动重定向到视图/页面,其中的详细信息被最小化。 你知道如何做到这一点吗? 我有: # views.py
def contacts_check(user):
return user.groups.filter
浏览 12提问于2021-09-08得票数 0
我使用Django login_required装饰器,但我希望login_required能够引发HTTP401未经授权的异常,而不是重定向到登录url。
浏览 1提问于2018-02-06得票数 0
回答已采纳
你好,我在将表单保存到数据库方面有问题。当我试图在ads_history_add视图中保存AdHistoryForm时,forim被正确地呈现,但是在提交之后,除了将我重定向到ads_history_list视图之外,什么也不会发生。
此外,当我尝试用空字段提交此表单时,它不会显示任何错误(我将它们包含在模板中),所以可能是验证问题。
当我尝试将Ad添加到ads_add视图中时,一切都正常。
你能帮帮我吗?
models.py
from django.db import models
from django.utils.translation import ugettext_lazy as _
浏览 3提问于2015-03-17得票数 0
回答已采纳
如何在Django中限制对视图的访问?我的账户模型是这样的:
class Account(AbstractBaseUser):
...
account_type = models.PositiveSmallIntegerField(default=0, choices=ACCOUNT_TYPE_CHOICES)
我想对所有基于帐户类型的视图使用自定义装饰器,但我不知道从哪里开始。
目前在我看来,这是我所做的:
@login_required(login_url='/login/')
def dashboard(request, *args, **k
浏览 0提问于2021-02-15得票数 1
2回答
嘿嘿!
我正在寻找由不同用户和组添加条目的可能性。在我的应用程序中,有不同的用户和不同的组,其中一个用户可以属于多个组。目标是有些组有敏感数据,所以我只希望这个组的成员能够读取条目,但是一些数据应该可以在多个组中使用。也应该只能看到一些信息。(例如见姓名而非地址)
现在,我的所有视图都是装饰器@login_required,persons_view是@permission_required。因此,您必须是注册用户才能看到任何东西,这是很棒的,但还不够。我还创建了组(通过管理区域),但不能过滤每个模型/视图的数据。该小组要么看到数据,要么看不到数据。
用户注册与已经存在的ldap系统相连接(其中
浏览 2提问于2021-09-02得票数 0
回答已采纳
我了解基本的用户认证,登录,创建帐户,扩展用户模型.
我正在努力创建一个网站,教师和学生可以登录。教师可以访问学生无法访问的网页,并有权张贴作业等等。
我认为这样做是有可能的:
在创建时将用户分配给特定的组。
使用装饰器限制对适当组的访问。
。
@login_required
@user_passes_test(not_in_student_group, login_url='/login/')
def some_view(request):
# ...
def not_in_student_group(user):
if user:
retu
浏览 1提问于2011-04-04得票数 7
回答已采纳
我正在创建一个求职申请表。登录的用户只能申请一次工作(只有一个工作)。目前,用户可以通过输入特定的URL直接访问求职申请(FormView),并在用户提交表单后抛出一条错误消息。为了实现这一点,我做了几件事:
(1)在login_required()中包装工作申请视图
(2)使用form_valid()方法,通过以下方式查看用户是否已经提交了该具体工作的申请:
def form_valid(self, form):
form = form.save(commit=False)
form.user = self.request.user
if Application.ob
浏览 2提问于2014-11-10得票数 0
如何为基于类的视图实现@user_passes_test(lambda u: u.is_superuser)装饰器?我以前在基于函数的视图中使用过它,我有一个变通方法,但感觉不自然。
这不应该包含在调度方法中吗?
浏览 0提问于2011-11-11得票数 31
回答已采纳
我想使用user_passes_test作为这个class.How的组Rep,我可以将它应用到create视图中。
@user_passes_test(lambda u: u.groups.filter(name='hod').exists())
views.py
class RetestCreate(CreateView):
model = Retest
fields = ['semester', 'dept', 'batch', 'date', 'subject', &#
浏览 2提问于2017-05-11得票数 1
1回答
我是Django的初学者,我正在尝试使用权限,允许通过装饰器访问特定的视图函数,只适用于特定的用户类型。现在,我被我读到的各种各样的东西完全搞糊涂了,seam不知道我该怎么做。我有两种不同的用户,让它成为UserTypeONE和UserTypeTWO。UserTypeONE和UserTypeTWO应该只能访问特定的视图。这是我的代码:
myuserTypes.py
class UserTypeONE(models.Model):
lieOtO_User = models.OneToOneField(settings.AUTH_USER_MODEL)
lie_SomeAttri
浏览 3提问于2016-02-15得票数 0
回答已采纳
我正在通过AJAX请求调用一个存储过程,这需要用户id。
如果用户没有登录,我需要引发一个异常。这怎麽可能?请注意,我使用的是@login_required装饰器,为了使函数正常工作,我必须删除它。
@require_POST
def mail_forward_action(request):
try:
...cal procedure
except UserIsNotAuthenticated
浏览 1提问于2020-05-18得票数 0
我试图限制某些urls仅供某些组访问。我已经将我的用户添加到staff组中,并且有一个视图来检查用户是否在staff组中。然而,当我进入这个url时,我得到了argument of type 'ManyRelatedManager' is not iterable
views.py
def in_staff_group(user):
return 'Staff' in user.groups
@login_required
@user_passes_test(in_staff_group)
def my_view(request):
retur
浏览 3提问于2020-02-21得票数 0
回答已采纳
1回答
我试图通过创建一个修饰器来处理总是重复的简单逻辑,从而消除冗余代码。基本上,我创建的每个视图都有下面的逻辑来检查用户是否在类中。
@login_required
def view(request, class_id):
class_ = UserClasses.objects.get(user=request.user, class_id=class_id)
# if the user is in the class
if class_:
我想做以下几点:
查看:
@user_passes_test(in_class(request.user, class_id))
浏览 3提问于2017-05-14得票数 1
回答已采纳
我正尝试在特定视图中使用自定义登录url。
@login_required(login_url='/account/login/')
class home(APIView):
renderer_classes = (TemplateHTMLRenderer,)
def get(self, request, format=None):
template = get_template(template_name='myapp/template.html')
return Response({}, template_n
浏览 0提问于2015-10-20得票数 19
2回答
我对组权限有类似的问题,但在我的例子中,我有多组权限
在我的decorator.py中,我应该做什么,如果用户获得了注册员的许可,它就会转到注册员页面,而如果用户获得了管理信息系统的许可,它就会进入管理信息系统页,会计也是如此。
这是我的views.py
@staff_only
@login_required(login_url='loginpage')
def registrar_adminpage(request):
#this is for group permission 'Registrar'
return render(reque
浏览 5提问于2020-06-04得票数 1
回答已采纳
这是我的UpdateView。就像我刚开始的一样。我是个新手
views.py
@method_decorator(login_required, name='dispatch')
class ProductUpdateView(UpdateView):
fields = ('product_name', 'product_cost')
model = Product
def form_valid(self, form):
product = get_object_or_404(Product, pk=self.o
浏览 3提问于2018-02-16得票数 2
回答已采纳
我有一个用户模型:
class User(AbstractUser):
USER_TYPE_CHOICES = (
(1, 'pro_user'),
(2, 'consumer'),
(3, 'other'),
)
user_type = models.PositiveSmallIntegerField(choices=USER_TYPE_CHOICES,default=3)
现在,我希望某些视图只能由pro_user和consumer访问,并且只能由pro_user访问,
浏览 0提问于2021-07-16得票数 0
1回答
我有以下模式:
class Developer(models.Model):
COUNTRIES = (
('U', 'United States'),
('O', 'Other'),
)
user = models.OneToOneField(User, related_name='freelancer_user')
country = models.CharField(max_length=1, choices=COUNTRIES, default
浏览 1提问于2015-05-28得票数 2
回答已采纳
我的Django views.py中有许多类似的函数,它们都是这样开始的:
@login_required
def processMyObject(request, myObjectID, myObjectSlug=None):
logger.info("In processMyObject(myObjectID=%s, myObjectSlug=%s)" % (myObjectID, myObjectSlug))
try:
myObject = MyObject.objects.get(id=myObjectID)
except:
浏览 1提问于2014-02-02得票数 0
我定义了几个urls:
url(r'^board/$', TemplateView.as_view(template_name='recruit/board.html'), name='recruit_board'),
url(r'^job/$', login_required(TemplateView.as_view(template_name='recruit/job_detail.html')), name='job_detail'),
url(r'^company/$', l
浏览 2提问于2016-11-28得票数 0
2回答
我有一个Django项目,它有两个应用程序App1和App2)每个应用程序只有一个视图。。我的项目使用django-auth-ldap连接到openldap。我有两组(Group1,Group2)。
我在app1和app2 (@login_required)视图之前添加了装饰器,结果显示来自group1和group2的所有用户都可以登录这两个应用程序。
我希望能够只允许group1只访问app1,而只允许group2访问app2。
我尝试了很多密码,但没有人和我一起工作。
这是我的代码:
app1.views.py
from django.shortcuts import render
浏览 9提问于2017-09-19得票数 4
2回答
简介:,我一直在寻找所有的堆叠溢出问题,但不幸的是,经过几个小时的研究,我无法找到适合我需要的解决方案。我在用户提交表单后生成了一个变量。我使用Ajax调用获取这个变量,然后将它传递给django视图。
file.html
// if user clicked submit button, call ajax to pass variable to django view
$('#submit').click(function() {
var dato = 0;
$.ajax({
url: '{% url 'todo:get_dato'
浏览 5提问于2022-02-24得票数 0
我可以在基于类的视图中实现UserPassesTestMixin, class PostDeleteView(LoginRequiredMixin, UserPassesTestMixin, DeleteView):
model = Post
success_url = '/'
def test_func(self):
post = self.get_object()
if self.request.user == post.author:
return True
return
浏览 16提问于2019-05-31得票数 0
回答已采纳
在编写视图时,使用@login_required装饰器显然是一个很好的实践-如果不是强制性的。
但是-这只检查身份验证的用户
from django.contrib.auth.models import User
我想要完成的也是检查用户是否作为UserProfile存在。例如,在我的应用程序中,我有一些UserProfiles。当然,它们都有与之相关的用户对象。但我也有其他没有UserProfile的用户。这样的用户就是我的管理员用户。我希望确保请求来自拥有UserProfiles (并且经过身份验证)的用户。
有没有办法改变装饰器来支持它?目前,我只编写了自己的代码来做这件事:
def u
浏览 5提问于2014-11-21得票数 0
我有一个看起来像这样的视图:
@login_required
@active_required()
def myView(request):
print 'in my view'
active_required客户装饰器如下所示:
def active_required():
def decorator(func):
def inner_decorator(request, *args, **kwargs):
my_user = request.user
if my_user.active:
浏览 0提问于2013-07-18得票数 1
回答已采纳
视图
Problem:我想在基于django类的视图中使用权限限制。如果登录用户属于学生组,那么我想重定向到student-dash url。如果用户来自教师,则重定向到teacher-dash url。如果学生用户试图访问教师仪表板,那么我想限制该学生用户从教师仪表板并呈现404错误?如果能提供任何帮助,我将不胜感激。
class STListView(ListView):
queryset = Article.objects.exclude(story_status='sn')
template_name = 'index_page.html&
浏览 4提问于2021-02-12得票数 2
回答已采纳
在我的django项目views.py文件中,我使用@login_required装饰器来阻止匿名用户访问某些视图。
我想通过在settings.py中使用简单的开关来轻松禁用它,如下所示:
ALLOW_ANONYMOUS =1
我该怎么做呢?
浏览 5提问于2015-05-10得票数 2
在我的django views.py中,有75个函数,对于每个函数,我使用的是装饰器,当有人点击相应的函数时,我希望捕获用户名。
我可以通过使用request.user.username获得这一点,但我必须在所有75个函数中编写这一行,这是多余的.默认情况下,是否有一种在@login_required装饰器中获取/打印用户名的方法,以便我可以跳过在所有函数中编写同一行。
下面是@login_required装饰器的片段。
def login_required(function=None, redirect_field_name=REDIRECT_FIELD_NAME, login_url=No
浏览 1提问于2020-07-08得票数 0
使用django-twilio发送SMS的所有示例都假设这是通过首先接收一条短信来启动的,我的应用程序是通过发送另一条短信来响应传入的sms的。
但是我如何发起一个短信电话呢?我需要发送一条短信通知特定的用户,一个新的预订已经到来。
这是我想要做的,但我得到的只是twilio需要的XML。错过的步骤是什么?
@login_required @user_passes_test(is_webmaster) @twilio_view def send_test_sms(请求):
R= twiml.Response() r.message(‘测试我的应用程序短信’,to="+nnnnnnnn
浏览 0提问于2014-10-16得票数 1
回答已采纳
我正在通过扩展rest_framework.views.APIView类来构建Django视图。
我成功地构建了许多只能由经过身份验证的用户调用的API。我是通过添加:permission_classes = [permissions.IsAuthenticated,]来做到这一点的
有些API我只希望未经身份验证的用户调用。比如"ForgotPassword“。基本上,我希望确保API调用方不会在请求头中发送JWT令牌。我怎样才能强制执行呢?没有permissions.IsUnAuthenticated。
浏览 2提问于2014-09-29得票数 2
回答已采纳
我正在尝试使用django view之外的login_required装饰器。我在我的工具上的一个函数中使用了它。
@login_required
def somefunc():
#logic
然后,在我的视图中,我将其称为somefunc()
class MyView(View):
def get(self, request, *args, **kwargs):
my_func = Somefunc()
当我这样做的时候,它会说object has no attribute 'user',这里有什么问题?
浏览 7提问于2015-07-13得票数 0
我对Django很陌生,我不知道django中的@login_required和@method_decorator(login_required)有什么不同,我们应该使用哪一种。提前谢谢。
浏览 1提问于2017-02-17得票数 5
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
