# -*- coding: utf-8 -*-
"""
@File    : permissions.py
@Time    : 2023/8/23 14:46
@Author  : geekbing
@LastEditTime : -
@LastEditors : -
@Description : 自定义权限类
"""
from rest_framework import permissions
from rest_framework.permissions import BasePermission, IsAdminUser
from lunarlink import models


# class HasProjectAccess(BasePermission):
#     def has_object_permission(self, request, view, obj):
#         # 检查请求的对象是否属于用户的组
#         return obj.groups.filter(id__in=request.user.groups.all()).exists()


class HasProjectAccess(BasePermission):
    message = "您没有执行此操作的权限"

    def has_permission(self, request, view):
        # 如果用户是超级管理员，允许访问所有项目
        if request.user.is_superuser:
            return True

        # 获取当前用户所在的所有分组
        user_groups = request.user.groups.all()

        # 获取请求参数中的项目ID
        project_id = view.kwargs.get("pk") or request.query_params.get("project")

        # 如果项目ID存在，检查项目是否属于用户的分组
        if project_id:
            return models.Project.objects.filter(
                pk=project_id, groups__in=user_groups
            ).exists()

        # 如果没有项目ID且视图方法是 'list' 或 'create'，则不需要进一步检查，因为 get_queryset 已经做了筛选
        if view.action in ["list", "add"]:
            return True

        # 对于其他方法，可能需要检查对象级的权限
        return False


class IsCreatorOrReadOnly(BasePermission):
    """
    自定义权限，确保只有对象的创建者才可以修改或删除对象。
    """

    def has_object_permission(self, request, view, obj):
        # 对于GET、HEAD或OPTIONS请求，任何请求都允许读取权限，因此我们始终允许这些请求。
        if request.method in permissions.SAFE_METHODS:
            return True

        # 判断请求的用户是否是对象的创建者。
        return obj.creator == request.user


class CustomIsAdminUser(IsAdminUser):
    message = "您没有执行此操作的权限"

    def has_permission(self, request, view):
        return request.user.is_superuser