如何验证用户是否属于，如果不允许，则在Django中不允许

Question

我的观点是，我想通过所有属于医院的要求。而且，属于一家医院的用户，看不到其他医院的要求。如何返回HttpResponseNotAllowed？

它是一个M:1模型，医院有很多用户，而用户只有一家医院。请求属于医院和用户。

我有这段代码，但它不起作用。只给我看了医院的要求。但是，我仍然可以将Url更改为另一个医院ID，并看到其他的。

视图

def Get_UserRequest(request, Hospital_id):
# if not request.user.is_authenticated:
#     return redirect('login')

if request.user.is_authenticated and request.method == "GET":
    user_sector = int(request.user.FKLab_User.id)

    if user_sector != Hospital_id:
        HttpResponseNotAllowed()
    
    requests = RequestHepatoPredict.objects.filter(Hospital_id=Hospital_id)
    
return render(request, 'user_profile/requests.html', {'requests': requests})

Answer 1

这对我有用。

@permission_classes((IsAuthenticated,))
def Get_UserRequest(request, Hospital_id):
    # if not request.user.is_authenticated:
    #     return redirect('login')
    perm = 1
    user = request.user
    if request.user.is_authenticated and request.method == "GET":
        user_sector = user.FKLab_User.id

        requests = []
        if Hospital_id != user_sector: 
            perm = 0

        if perm == 0:
            error = "You are not allowed."
            return render(request, "error/error.html", {'error':error})
            
    requests = RequestHepatoPredict.objects.filter(Hospital_id=Hospital_id)
    return render(request, 'user_profile/requests.html', {'requests': requests})