ModelViewSets で drf-nested-routers を使用しています。すべて正常に動作しますが、リソース/オブジェクトに対する権限チェックは実行されていません。
単一のリソース/ネストされていない URL を処理する場合、権限チェックが実行されます。
私が見逃しているものはありますか?
class CommentViewSet(viewsets.ModelViewSet):
permission_classes = [IsAuthenticated,
permissions.CanCreateEditViewDeleteComment]
def get_serializer_class(self, *args, **kwargs):
return CommentSerializer
def list(self, request, article_pk=None):
queryset = Comment.objects.select_related('article','user').filter(article=article_pk).prefetch_related('likes')
page = self.paginate_queryset(queryset)
if page is not None:
serializer = self.get_serializer(page, many=True)
return self.get_paginated_response(serializer.data)
serializer = self.get_serializer(queryset, many=True)
return Response(serializer.data)
def retrieve(self, request, pk=None, article_pk=None):
queryset = Comment.objects.select_related('article', 'user').filter(pk=pk, article=article_pk).prefetch_related(
'likes')
comment = get_object_or_404(queryset, pk=pk)
serializer = self.get_serializer(comment)
return Response(serializer.data)