Q&A
#実現したいこと
投稿サイトで、投稿の編集機能を作成しています。
現在はログインしているユーザーが編集機能を行えるのようにしているのですが、他のユーザーの投稿も編集できてしまします。
そこで、自分の投稿のみに編集権限を与えるようにしていのですが、上手くできません。
#環境
python 3.7.3
django 2.2
#コード
- models.py
class MessageModel(models.Model): title = models.CharField(max_length=100) message = models.TextField() author = models.ForeignKey('auth.User', on_delete=models.CASCADE) date = models.DateTimeField(default=timezone.now)
- views.py
@login_required def detailfunction(request, pk): message = MessageModel.objects.get(pk=pk) return render(request, 'detail.html', {'message':message}) class UpdateClass(LoginRequiredMixin, UpdateView): template_name = 'update.html' model = MessageModel fields = ('title', 'message') success_url = reverse_lazy('list')
- detail.html
<div class="messages"> <p>{{ message.title }}</p> <p>{{ message.author }}</p> <p>{{ message.message }}</p> <p>{{ message.date }}</p> </div> <div class="edit"> {% if request.user.id == object.author_id %} <a href="{% url 'update' message.pk %}">Edit</a> {% endif %} </div>
#試したこと
編集ボタンが表示されないように、{% if request.user.id == object.author_id %}を追加してみたのですが、どのユーザーからも編集画面に行くリンク(<a href="{% url 'update' message.pk %}">Edit</a>)が消えてしましました。
また下記リンクのも試しましたが、admin画面から権限を追加しているようですが、
そうではなく、ログインしているユーザーが自分の投稿のみを編集できるようにadminで権限管理しなくてもいいようにしたいです。
{% if request.user.id == object.author_id %}に関しては下記の記事を参考にしました。
Django2 でユーザー認証(ログイン認証)を実装するチュートリアル -3- ブログアプリへの実装
よろしくお願いします。
回答1件
0
ベストアンサー
object という変数を別口で用意されているというのでなければ、 object という変数は存在しないのではないでしょうか。
おそらく message の方を見ると正しくチェックできるようになるのではないかと思います:
patch
1- {% if request.user.id == object.author_id %} 2+ {% if request.user.id == message.author_id %}
さらに id へのアクセス方法を揃えて次のようにするとよいかもしれません。
patch
1- {% if request.user.id == object.author_id %} 2+ {% if request.user.id == message.author.id %}
ちなみに本題から少し外れますが、リンクを非表示にするだけでは編集権限の絞り込みとしては不十分か(=他のユーザが URL 直打ちで編集ページを開いて編集できてしまうと困る)と思いますので、サイトを実際に公開される際にはそのあたりも考慮されるとよいと思います。
投稿2019/06/30 02:15
総合スコア1407
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2019/07/04 14:52