Django Rest frame work ユーザーモデルと投稿の紐付けについて

現在webアプリを作っていて、フロントをVue-cli3、バックをDjangoで構成しています。
Django RFWを使ってユーザー登録や投稿機能をAPI化しています。

そこでユーザーモデルと投稿を紐付けしたいのですが、どう行うのが良いのでしょうか？
投稿モデルとユーザーモデルをforeignkeyで紐付けて、投稿の際にユーザーモデルのIDを渡せばいいんでしょうか？
その場合、ログイン時にユーザー情報をVueのstate変数かlocalStrageに保存しておけば問題ないのでしょうか？

初めてwebアプリ開発を行う為、どういう方法が一般的であるのか分からず困っています。
ご回答よろしくお願いします。

行動規範の内容に同意します

回答2件

「投稿モデルとユーザーモデルをforeignkeyで紐付け」＝＞はい、そうです。

主要な部分だけ書いたサンプルですが、次のようになります。

フロントエンドの技術には非依存です。

python
1(models.py)
2
3class Post(models.Model):#投稿モデル
4    author = models.ForeignKey('User', on_delete=models.CASCADE)
5・・・(以下省略）・・・
6

python
1(views.py)
2
3class PostCreate(CreateView):#投稿の新規作成
4    template_name = 'post/create.html'
5    form_class = PostForm
6    success_url = reverse_lazy('post:index')
7
8    # 入力に問題がない場合現在ログインしているアカウントを投稿者として登録するための処理
9    def form_valid(self, form):
10        form.instance.author_id = self.request.user.id
11        return super(Create, self).form_valid(form)

投稿2019/10/29 01:57

ak_suzuki

総合スコア194

hiro1623

2019/10/29 07:28 編集

ご回答ありがとうございます！ requestはブラウザから渡されるデータという認識で良いでしょうか？現在はログインをjwtによるトークン発行で行っています。 idとパスワードが合っていればトークンを発行し、vue側でトークンを保存してログインフラグを立てています。このような場合でもrequestにはユーザー情報が含まれているのでしょうか？

ak_suzuki

2019/10/29 08:15

vue側で・・・という部分はやったことがないのでよくわかりませんが、Djangoのユーザの認証がされているかと思います。 HTML内で、body部であればどこでも良いので、下記のように書いて表示してみてください。 ```HTML {{ request.user }} ```

hiro1623

2019/10/30 09:45

Vue ではDjango のテンプレート変数は使えないみたいです。

行動規範の内容に同意します

ベストアンサー

アプリケーションの規模やコーディング規約等があればそれらにも依存するので、一概には言えませんが、私が思うやり方をお教えします。

ログイン時にユーザー情報をVueのstate変数かlocalStrageに保存

はユーザ情報をそのまま変数やストレージに保存して使うのはやめましょう。
DjangoであればログインAPIを呼べばトークンが返ってくるかと思うので、そちらをlocalStrage等に保存したり、キャッシュとして残すのが一般的です。

投稿モデルとユーザーモデルをforeignkeyで紐付けて、投稿の際にユーザーモデルのIDを渡せばいい

こちらはこのやり方でいいと思います。
さらにDjangoを使っているのであれば、APIを呼び出す際にセッションIDを渡さなくても、
view のAPI定義関数にてreqyestという引数があり、こちらにユーザ情報も含まれています。
request.userでそのAPIを呼び出しているアカウントのユーザインスタンスを取得できます。

投稿2019/10/29 00:44

nerianighthawk

総合スコア544

hiro1623

2019/10/29 07:31

ご回答ありがとうございます！ DjangoはAPIに対するrequestのユーザーをどの様に判断しているのでしょうか？

nerianighthawk

2019/10/30 04:34

すみません、セッションIDを渡さなくてもと言いましたが、セッションIDは渡す必要がありました。リクエストヘッダにとして "Authorization": "JWT {セッションID}" とすることでセッションからユーザを判定してくれます。

hiro1623

2019/10/30 09:50

ありがとうございます！　発行されたトークンを渡すことでユーザー情報を得ることができました。それと質問内容とは関係ないんですが、こういったJWTを用いてユーザーの認証を行うのはセキュリティ的に良くないんでしょうか？調べているとJWTでセッション管理をしてはいけない等の記事を見たんですが、通常のセッション管理との違いがよく分かりませんでした。もしご存知でしたら教えて頂けると嬉しいです！

nerianighthawk

2019/10/31 00:58

JWTの脆弱性について、バージョンアップで直っているという話があるので、私はそれを信頼してしまっています。以下の記事に書いてありますね。 https://qiita.com/togana/items/d77d6c84bb2717273563 そこまで詳しくないのですが私がわかる範囲で説明します。まず、JWTのトークンは`.`区切りでヘッダ、ペイロード、署名の3つに分かれており、署名があるのでセキュリティ性が高いとされていました。しかし、この署名が正しいかどうかを判定するアルゴリズムがトークン内のヘッダに記載されており、そこを合わせて書き換えることによって、攻撃者が用意した署名でトークンを通すことが出来てしまうというのが、脆弱だと言われる理由だったみたいです。

行動規範の内容に同意します

あなたの回答