Mam taką klasę w widoku django:
class PageView(View):
def get(self, request, document_id, page_number):
page = get_object_or_404(Page, document_id=document_id, page_number=page_number)
document = page.document
if document.private and document.user != request.user:
return HttpResponseForbidden("You don't have permission to access this document.")
return FileResponse(open(page.image.path, 'rb'), content_type='image/png')
Powinna blokować dostęp do danych pod tą ścieżką, w sensie nie można podejrzeć dokumentów innego użytkownika zmieniając document_id w adresie url.
path('document/<uuid:document_id>/pages/<int:page_number>/', views.PageView.as_view(), name='page_view'),
Jak sprawdzić taką funkcjonalność, gdy nie mam jeszcze domeny, serwera ani zaimplementowanego logowania z rejestracją i uruchamiam apke w środowisku deweloperskim?