如何验证Django REST Framework序列化程序中的所有相关字段是否指定具有相同所有者的对象？

Question

我有一个Django应用程序，它使用django-organizations支持共享帐户，rest_framework用于API。我有一个用于身份验证的自定义模型，它将用户与特定于组织的API令牌相关联。

我有一个带有几个外键的模型，一个带有相关字段的序列化程序，以及一个用于API视图的ModelViewSet。我希望确保任何用于创建或修改模型实例的API调用都要验证为相关字段指定的对象是否具有相同的所有者(组织)。

class Bar(models.Model):
    uuid = models.UUIDField(
        default=uuid.uuid4, editable=False, unique=True)
    organization = models.ForeignKey(
        Organization, on_delete=models.CASCADE)

class Foo(models.Model):
    uuid = models.UUIDField(
        default=uuid.uuid4, editable=False, unique=True)
    organization = models.ForeignKey(
        Organization, on_delete=models.CASCADE)
    bar = models.ForeignKey(
        Bar, on_delete=models.CASCADE)

class FooSerializer(serializers.ModelSerializer):
    class Meta:
        model = Foo
        fields = ('uuid', 'organization', 'bar')

    bar = serializers.SlugRelatedField(
        slug_field='uuid', queryset=Bar.objects.all())

如何验证相关对象是否属于同一个帐户？理想情况下，我可以重写序列化程序中每个RelatedField指定的查询集，但我认为这是不可能的。

Answer 1

想到了两种方法--您可以在ModelSerializer上进行w/验证，但是您必须将请求传递到序列化程序中。我的直觉是，它可能更有意义的观点集。这样，如果它访问的是不应该访问的东西，则返回404 (较少的信息泄漏)。

若要在视图集中具有此功能，请定义get_queryset w/

def get_queryset(self)
    qs = MODEL.objects.filter(relation__user=self.request.user)
    return qs

以下是更多的例子：

queryset