[Python学习] Django 权限控制

本文为大家讲解 Django 框架里自带的权限模型,从理论到实战演练,带领大家了解 Django 里权限是怎么一回事。


主要内容

什么是权限管理?

Web 权限

Django 权限机制

Django 的权限项

权限应用

  • Permission(一)
  • Permission(二)
  • User Permission 管理(一)
  • User Permission 管理(二)
  • Group Permission 管理
  • 权限验证(一)
  • 权限验证(二)
  • 权限验证(三)
  • 权限验证(四)

什么是权限管理

  • 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源
  • 权限管理好比如钥匙,有了钥匙就能把门打开,但是权限设置是有级别之分的,假如这个系统有多个权限级别就如一间屋有多个门,想要把所有门都打开您必须要取得所有的钥匙,就如系统一样。


Web 权限

在 Web 里权限管理是 Web 应用项目中比较关键的环节,因为浏览器是每一台计算机都已具备的,如果不建立权限管理系统,那么一个“非法用户”可以轻而易举通过浏览器访问Web应用项目中的所有功能。因此需要权限管理系统进行权限检测,让经过授权的用户可以正常合法的使用已授权的功能,而对那些未授权的非法用户拒之门外。 一个好的权限管理系统应该对每一类或每一个用户,分配不同的系统操作权限,并应具有扩展性,也就是它可以加入到任何一个带有权限管理的 Web 应用项目中,就像构件一样可以被重复使用。 同时,还要提醒开发者,开发一个 Web 应用项目时,应尽可能的将整个系统细化,分解为若干个子模块,最后组合成一个完整的应用。也只有这样,才容易实现为每一类或每一个用户分配不同的操作权限。


Django 权限机制

  • Django 权限机制能够约束用户行为,控制页面的显示内容,也能使 API 更加安全和灵活;用好权限机制,能让系统更加强大和健壮
  • Django 用 user, group 和 permission 完成了权限机制,这个权限机制是将属于 model 的某个 permission 赋予 user 或 group,可以理解为全局的权限,即如果用户A对数据模型(model)B 有可写权限,那么 A 能修改model B 的所有实例(objects)。group 的权限也是如此,如果为 group C 赋予 model B 的可写权限,则隶属于 group C 的所有用户,都可以修改model B 的所有实例。


Django 的权限项

  • Django 用 permission 对象存储权限项,每个model默认都有三个permission,即 add model, change model 和 delete model
  • permission 总是与 model 对应的,如果一个 object 不是 model 的实例,我们无法为它创建/分配权限


权限应用

  1. Permission
  2. User Permission
  3. Group Permission
  4. 权限检查

◆ Permission(一)

Django 定义每个 model 后,默认都会添加该 model 的 add, change 和 delete三个 permission,自定义的 permission 可以在我们定义 model 时手动添加

class Server(models.Model):     ...        class Meta:                permissions = (                        ("view_server", "can view server"),                        ("change_server_status", "Can change the status of server"),                )

◆ Permission(二)

  • 每个 permission 都是 django.contrib.auth.Permission 类型的实例,该类型包含三个字段 name, codename 和 content_type,
  • content_type 反应了 permission 属于哪个 model,
  • codename 如上面的 view_server,代码逻辑中检查权限时要用,
  • name 是 permission 的描述,将 permission 打印到屏幕或页面时默认显示的就是 name

◆ User Permission管理(一)

User 对象的 user_permission 字段管理用户的权限 
user = User.objects.get(username="rock") 
user.user_permissions = [permission_list] 
user.user_permissions.add(permission, permission, …) #增加权限 
user.user_permissions.remove(permission, permission, …) #删除权限 
user.user_permissions.clear() #清空权限 
# 注:上面的 permission 为 django.contrib.auth.Permission 类型的实例

# 示例演示:In [3]: from django.contrib.auth.models import User    #导入用户模块In [6]: user = User.objects.get(username="nick")     #获取用户对象In [7]: user.user_permissions.all()                        # 查看用户权限Out[7]: []In [8]: from django.contrib.auth.models import Permission    #导入权限模块In [10]: Permission.objects.get(pk=43)                        #获取权限信息Out[10]: <Permission: dashboard | server | 访问服务器信息>In [11]: Permission.objects.filter(pk=43)                        #获取权限信息(以列表形式输出)Out[11]: [<Permission: dashboard | server | 访问服务器信息>]In [12]: user.user_permissions = Permission.objects.filter(pk=43)      #赋予用户权限(赋予权限不需要保存)In [13]: user.user_permissions.all()                        #查看用户当前权限Out[13]: [<Permission: dashboard | server | 访问服务器信息>]In [18]: user.user_permissions.add(Permission.objects.get(pk=43))            #add添加权限(必须是一个Permission实例,否则报错)In [40]: user.user_permissions.all()Out[40]: [<Permission: dashboard | department | Can change department>, <Permission: dashboard | server | 访问服务器信息>]In [41]: user.user_permissions.remove(Permission.objects.get(pk=43))      #remove移除权限(必须是一个Permission实例,否则报错)In [42]: user.user_permissions.all()Out[42]: [<Permission: dashboard | department | Can change department>]

◆ User Permission 管理(二)


  • 检查用户权限用 has_perm() 方法:
myuser.has_perm(’dashboard.view_server‘)

has_perm() 方法的参数,即 permission 的 codename,但传递参数时需要加上  model 所属 app 的前缀,无论 permission 赋予 user 还是 group,has_perm()方法均适用

  • 列出用户的所有权限
user.get_all_permissions()
  • 列出用户所属group的权限
user.get_group_permissions()

◆ Group Permission 管理

group permission 管理逻辑与 user permission 管理一致,group 中使用permissions 字段做权限管理:  
group.permissions = [permission_list] 
group.permissions.add(permission, permission, …) 
group.permissions.remove(permission, permission, …) 
group.permissions.clear()

◆ 权限验证(一)

  • 在视图中验证权限—— permission_required
  • 当业务逻辑中涉及到权限检查时,decorator 能够分离权限验证和核心的业务逻辑,使代码更简洁,逻辑更清晰。permission 的 decorator 为permission_required
from django.contrib.auth.decorators import permission_required @permission_required(’dashboard.view_server‘) def my_view(request):    ...

◆ 权限验证(二)


在类视图中验证

from django.utils.decorators import method_decoratorfrom django.contrib.auth.decorators import login_required, permission_requiredclass ServerView(TemplateView):    @method_decorator(login_required)    @method_decorator(permission_required(“dashboard.view_server”)    def get(self, request, *args, **kwargs):   ……

◆ 权限验证(三)


views 中验证

if not request.user.has_perm(’dashboard.view_server‘)    return HttpResponse(‘Forbidden‘)

◆ 权限验证(四)

Template 中的权限检查

{% if perms.dashboard.view_server %}        有权限{% endif %}

◆ 扩展阅读:

使用 Django 认证系统:http://python.usyiyi.cn/translate/django_182/topics/auth/default.html

时间: 2024-10-10 02:21:58

[Python学习] Django 权限控制的相关文章

[python]学习Django中的python知识拾遗

1.使用正则表达式进行URL匹配 urlpatterns = patterns('', # ... (r'^time/plus/\d+/$', hours_ahead), # ... ) (1)使用r代表字符串是原始字符串,表示python不会对立面的反斜杠\转义符进行处理,使用正则表达式一般使用原始字符串. (2)使用\d+表示匹配1个或者多个数字,如果限定只能使用两个数字,则\d{1,2}. (3)如果要把正则表达式的某个数作为参数,则用小括号包起来,如(r'^time/plus/(\d{1

Django——权限控制进阶

一.一级菜单的排序 我们用字典存放菜单信息,而字典是无序的,当一级菜单过多时可能会出现乱序情况,因此需要给一级菜单排序 1.给一级菜单表的model中加一个weight权重的字段 ,权重越大越靠前 weight = models.IntegerField(default=1, verbose_name='权重') 2.应用有序字典存放菜单信息 引用: from collections import OrderedDict 排序: # sorted 按照权重的大小对字典的key进行排序 for i

django权限控制

django 权限机制的实现: http://blog.igevin.info/posts/django-permission/

Python学习---django下的cookie操作 180201

什么是Cookies 什么是Cookies cookies设置的原因: 1. http请求的无记忆性: 2.加快访问速度  3. 减少服务器压力 cookies特点: cookies保存在客户端浏览器上的键值对,且每次访问页面都会带着cookies cookies可以主动清除 cookies也可以被"伪造",可以被别人带着cookies操作你的账号 cookies会根据域名进行分类,不能跨域共享,也就是说百度有百度的,JD有京东的 cookies必须请求数据成功后才能有用哈 浏览器可以

Python学习---django之ORM的增删改查180125

模型常用的字段类型参数 <1> CharField        #字符串字段, 用于较短的字符串.        #CharField 要求必须有一个参数 maxlength, 用于从数据库层和Django校验层限制该字段所允许的最大字符数.<2> IntegerField       #用于保存一个整数.<3> FloatField        # 一个浮点数. 必须 提供两个参数:    参数    描述        # max_digits    总位数(不

Python学习---django知识补充之CBV

Django知识补充之CBV Django: url    -->  def函数      FBV[function based view]  用函数和URL进行匹配 url    -->  类           CBV[function based view]  用类和URL进行匹配 POSTMAN插件 http://blog.csdn.net/zzy1078689276/article/details/77528249 基于CBV的登录实例: settings.py INSTALLED_

Python学习---Django的新工程设置模板

该模板完全可以在创建好新工程后进行部分代码替换 创建app01的  python startapp app01 创建static子目录 settings.py """ Django settings for user_manager project. Generated by 'django-admin startproject' using Django 2.0.1. For more information on this file, see https://docs.d

python学习--Django虚拟环境搭建

一 . 为什么选择搭建虚拟环境 搭建一个只对本次项目有用的虚拟环境,而不影响主环境 二 . 安装前准备 #    1. 安装 python #    2. 安装virtualenvwrapper #    3. 虚拟环境相关操作 #    4. 进入虚拟环境, 安装django #    5. 安装编辑器 #    6. 安装mysql #    7. 安装pymysql 三 . 虚拟环境的安装 virtualenv 虚拟环境安装  pip install virtualenv 创建虚拟环境 v

小Y的Python学习日志--流程控制(逻辑符)

#本文仅为个人学习过程的整理和记录,如有从他人博客.网站摘录的内容,本人会明确标明,如有涉及侵权,请联系本人,本人会在第一时间删除.  以下的资料整理来自(1)廖雪峰的Python教程 http://www.liaoxuefeng.com/wiki/001374738125095c955c1e6d8bb493182103fac9270762a000 (2)简明Python教程 http://woodpecker.org.cn/abyteofpython_cn/chinese/ (1)逻辑运算符