用户可以从URL手动编辑另一个用户视图

class ProfilepdateView(LoginRequiredMixin, SuccessMessageMixin, UpdateView): login_url = 'userlogin' fields = ('age', 'location') model = UserProfile template_name = 'account/updateprofile.html' success_message = "Your profile was successfully updated"

3条回答

网友

1楼 · 编辑于 2024-09-26 22:08:37

谢谢我所有能干的老板和大师们，这就是我为解决问题而添加的观点

def get_queryset(self):
    profile= super().get_queryset()
    return profile.filter(user=self.request.user)

最后的观点是这样的

class ProfilepdateView(LoginRequiredMixin, SuccessMessageMixin, UpdateView):
    login_url = 'userlogin'
    fields = ('age', 'location')
    model = UserProfile
    template_name = 'account/updateprofile.html'
    success_message = "Your profile was successfully updated"

    def get_queryset(self):
        profile= super().get_queryset()
        return profile.filter(user=self.request.user)

网友

2楼 · 编辑于 2024-09-26 22:08:37

这取决于你控制谁能做什么，在哪里-Django猜不到这一点。这里有两种解决方案：

1/保持url不变，但检查是否允许当前用户（request.user）编辑此配置文件：

def update_profile(request, profile_id):
    # assume that profile as a onetone to User
    profile = get_object_or_404(pk=profile_id)
    if request.user != profile.user:
        return HttpResponseForbidden()
    # your code here

2/从url中删除配置文件id，并使用request.user获取当前用户的配置文件

def update_profile(request, profile_id):
    # assume that profile as a onetone to User
    profile = request.user.get_profile()
    # your code here

网友

3楼 · 编辑于 2024-09-26 22:08:37

这样，其他用户仍然可以访问其他用户页面，但无法更新它。如果最初只希望概要文件的所有者能够访问更新页面，则可以限制在模板中查看

    {% if object.user == user %} Show Page Content {% endif %}

或者就在眼前

相关问题更多 >

编程相关推荐

热门问题

热门文章