Django-xadmin+rule对象级权限的实现

原文:https://blog.csdn.net/zcyuefan/article/details/77743380

1. 需求vs现状

1.1 需求
要求做一个ERP后台辅助管理的程序,有以下几项基本要求:
1. 基本的增删改查功能
2. 基于对象的权限控制(如:系统用户分为平台运营人员和商家用户,商家用户小A只能查看编辑所属商家记录,而管理员可以纵览全局)
3. 数据库记录导入导出(xsl, json等),并且拥有对象级的权限控制(如:小A不能导出小B公司的信息,更不能导入小B公司信息进行更新和新增)

1.2 现状
实现需求1:Django-admin让我们能够很方便的实现一个管理后台程序。django-xadmin则在拥有admin基本功能的基础上增加了更为丰富的功能、界面也更加漂亮。类似还有django-suit等,本文使用xadmin(功能更丰富);
实现需求2:django-admin,以及xadmin都只有基于model级的权限控制机制,需要自己扩展或者使用开源解决方案,如django-guardian,django-rules,本文结合django-rules实现了该功能;
实现需求3:xadmin虽然自带导出功能,但是导入功能没有实现,django自带后台结合django-import-export可以很容易实现,但是xadmin并不直接兼容,只有通过xadmin的插件机制实现。
2. 功能实现
本节主要展示对象级权限功能实现。django工程、xadmin替换原生admin的设置,请参照官方文档。

2.1 安装并配置rules
pip安装:

$ pip install rules
1
配置settings.py

# settings.py
INSTALLED_APPS = (
# ...
‘rules‘,
)
AUTHENTICATION_BACKENDS = (
‘rules.permissions.ObjectPermissionBackend‘,
‘django.contrib.auth.backends.ModelBackend‘,
)

2.2 建立model
新增CompanyUser模型表示商家账户(即对django自带user模块进行扩展,使每个账号绑定自己的公司码),新增Customer模型表示商家的客户信息并包含公司码字段,商家账号只能查看、编辑、导入、导出公司码一致的商家客户信息

# model.py
class CompanyUser(models.Model):
user = models.OneToOneField(User, verbose_name=‘用户名‘)
is_taixiang_admin = models.BooleanField(‘是否运营人员‘, default=False)
company_code = models.CharField(‘公司码‘, max_length=20, blank=True, default=‘‘)

def __unicode__(self):
return ‘%s‘ % self.user

class Meta:
verbose_name = ‘导入账号‘
verbose_name_plural = verbose_name

class Customer(models.Model):
name = models.CharField(‘客户姓名‘, max_length=50)
phone = models.CharField(‘客户电话‘, max_length=12)
type_choice = ((1, ‘普通‘), (2, ‘批发‘), (3, ‘VIP‘))
creator = models.ForeignKey(settings.AUTH_USER_MODEL, verbose_name=‘创建人‘, blank=True, null=True)
company_code = models.CharField(‘公司码‘, max_length=20, blank=True, null=True)

def __unicode__(self):
return ‘%s-%s-%s‘ % (self.company_code, self.name, self.phone1)

class Meta:
permissions = (
("simulate_import_customer", "允许模拟导入客户"),
("import_customer", "允许导入客户至商家系统"),
)
verbose_name = "客户"
verbose_name_plural = verbose_name

2.2 使用rule
在model统计目录新增rules.py,配置该app相关的对象权限
引用rules

# rules.py
# On Python 2, you must also add the following to the top of your rules.py file, or you‘ll get import errors trying to import django-rules itself
from __future__ import absolute_import

import rules

# 使用修饰符@rules.predicate自定义predicates(判断),返回True表示有权限,False表示无权限

# Predicates

@rules.predicate
def is_colleague(user, entry):
if not entry or not hasattr(user, ‘companyuser‘):
return False
return entry.company_code == user.companyuser.company_code

@rules.predicate
def is_taixiang_admin(user):
if not hasattr(user, ‘companyuser‘):
return False
return user.companyuser.is_taixiang_admin

# predicates间可以进行运算
is_colleague_or_taixiang_admin = is_colleague | is_taixiang_admin | rules.is_superuser

# 设置Rules

rules.add_rule(‘can_view_customer‘, is_colleague_or_taixiang_admin)
rules.add_rule(‘can_delete_customer‘, is_colleague_or_taixiang_admin)
rules.add_perm(‘can_change_customer‘, is_colleague_or_taixiang_admin)

# 设置Permissions

rules.add_perm(‘data_import.view_customer‘, is_colleague_or_taixiang_admin)
rules.add_perm(‘data_import.delete_customer‘, is_colleague_or_taixiang_admin)
rules.add_perm(‘data_import.add_customer‘, is_colleague_or_taixiang_admin)
rules.add_perm(‘data_import.change_customer‘, is_colleague_or_taixiang_admin)

2.3 admin.py以及adminx.py设置
如果使用原生的django-admin,admin.py做如下设置:

# admin.py
from __future__ import absolute_import

from django.contrib import admin
from rules.contrib.admin import ObjectPermissionsModelAdmin
from .models import Customer

# ModelAdmin class继承ObjectPermissionsModelAdmin即可
class CustomerAdmin(ObjectPermissionsModelAdmin):
pass

admin.site.register(Customer, CustomerAdmin)

使用xadmin,由于ObjectPermissionsModelAdmin无法直接使用,故参照源码重写has_change_permission和has_delete_permission方法即可。
注意:必须引用rules文件,权限规则才会生效,对于xadmin,添加
from .rules import *即可

# adminx.py
class CustomerAdmin(object):
def has_change_permission(self, obj=None):
codename = get_permission_codename(‘change‘, self.opts)
return self.user.has_perm(‘%s.%s‘ % (self.app_label, codename), obj)

def has_delete_permission(self, obj=None):
codename = get_permission_codename(‘delete‘, self.opts)
return self.user.has_perm(‘%s.%s‘ % (self.app_label, codename), obj)

# 重写queryset()或者get_list_display(),list view的权限也做到了对象级隔离
def queryset(self):
qs = super(CustomerAdmin, self).queryset()
if self.request.user.is_superuser or is_taixiang_admin(self.request.user):
return qs
try:
return qs.filter(company_code=self.request.user.companyuser.company_code)
except AttributeError:
return None

class CompanyUserAdmin(object):
pass

xadmin.sites.site.register(Customer, CustomerAdmin)
xadmin.sites.site.register(CompanyUser, CompanyUserAdmin)

---------------------
作者:zcyuefan
来源:CSDN
原文:https://blog.csdn.net/zcyuefan/article/details/77743380
版权声明:转载请附上博文链接!

原文地址:https://www.cnblogs.com/chdltanke/p/10368021.html

时间: 2024-10-29 15:02:39

Django-xadmin+rule对象级权限的实现的相关文章

Django REST框架--认证和权限

教程4:认证和权限 目前,我们的API对谁可以编辑或删除代码段没有任何限制.我们想要一些更先进的行为,以确保: 代码段始终与创建者相关联. 只有身份验证的用户可以创建片段. 只有片段的创建者可以更新或删除它. 未经身份验证的请求应具有完全只读访问权限. 将信息添加到我们的模型 我们将对我们的Snippet模型类进行几次更改.首先,我们添加几个字段.其中一个字段将用于表示创建代码段的用户.另一个字段将用于存储代码的突出显示的HTML表示. 将以下两个字段添加到Snippet模型中models.py

第三百七十五节,Django+Xadmin打造上线标准的在线教育平台—创建课程机构app,在models.py文件生成3张表,城市表、课程机构表、讲师表

第三百七十五节,Django+Xadmin打造上线标准的在线教育平台-创建课程机构app,在models.py文件生成3张表,城市表.课程机构表.讲师表 创建名称为app_organization的课程机构APP,写数据库操作文件models.py models.py文件 #!/usr/bin/env python # -*- coding:utf-8 -*- from __future__ import unicode_literals from datetime import datetim

第三百七十六节,Django+Xadmin打造上线标准的在线教育平台—创建用户操作app,在models.py文件生成5张表,用户咨询表、课程评论表、用户收藏表、用户消息表、用户学习表

第三百七十六节,Django+Xadmin打造上线标准的在线教育平台-创建用户操作app,在models.py文件生成5张表,用户咨询表.课程评论表.用户收藏表.用户消息表.用户学习表 创建名称为app_operation的用户操作APP,写数据库操作文件models.py models.py文件 #!/usr/bin/env python # -*- coding:utf-8 -*- from __future__ import unicode_literals from datetime i

第三百八十节,Django+Xadmin打造上线标准的在线教育平台—将所有app下的models数据库表注册到xadmin后台管理

第三百八十节,Django+Xadmin打造上线标准的在线教育平台-将所有app下的models数据库表注册到xadmin后台管理 将一个app下的models数据库表注册到xadmin后台管理 重点:xadmin的数据表注册,是到app下查找的adminx文件,所以我们必须在app下创建一个adminx.py文件,所有关于数据表注册到xadmin后台的代码都是写在adminx.py文件里 adminx.py文件编写 1.自定义一个类来继承object对象,这个类叫做数据表管理器 数据表管理器里

第三百八十九节,Django+Xadmin打造上线标准的在线教育平台—列表筛选结合分页

第三百八十九节,Django+Xadmin打造上线标准的在线教育平台-列表筛选结合分页 根据用户的筛选条件来结合分页 实现原理就是,当用户点击一个筛选条件时,通过get请求方式传参将筛选的id或者值,传入逻辑处理就行数据库条件查询,将查询条件值在返回html页面判断是否是选中样式,最后将所有需要关联的筛选请求加上彼此逻辑处理传回来的查询条件值 html请求传参 黄色背景为请求传参 红色背景为逻辑处理传过来的查询条件判断样式 <div class="wp butler_list_box li

第三百八十五节,Django+Xadmin打造上线标准的在线教育平台—登录功能实现,回填数据以及错误提示html

第三百八十五节,Django+Xadmin打造上线标准的在线教育平台-登录功能实现 1,配置登录路由 from django.conf.urls import url, include # 导入django自在的include逻辑 from django.contrib import admin from django.views.generic import TemplateView # 导入django自带的TemplateView逻辑 import xadmin # 导入xadmin fr

Chapter 3 Protecting the Data(2):分配列级权限

原文出处:http://blog.csdn.net/dba_huangzj/article/details/39577861,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:http://blog.csdn.net/dba_huangzj/article/details/39548665 前言: SQL Ser

Django+xadmin打造在线教育平台(三)

Django+xadmin打造在线教育平台(三)   代码 github下载 五.用户注册 主要实现功能 用户输入邮箱.密码和验证码,点注册按钮 如果输入的不正确,提示错误信息 如果正确,发送激活邮件,用户通过邮件激活后才能登陆 即使注册功能,没有激活的用户也不能登陆 5.1.初步视图 users/views.py class RegisterView(View): '''用户注册''' def get(self,request): return render(request,'register

Django源码分析之权限系统_擒贼先擒王

乍见 Django内置的权限系统已经很完善了,加上django-guardian提供的功能,基本上能满足大部分的权限需求.暂且不说django-guardian,我们先来看下Django内置的权限系统:django.contrib.auth 包. 相识 一般权限系统分为全局权限和对象权限.Django只提供了一个对象权限的框架,具体实现由第三方库django-gardian完成.我们只看全局权限. 先来看auth包暴露出哪些接口. django.contrib.auth.__init__.py