[Python学习] Django 权限控制


本文为大家讲解 Django 框架里自带的权限模型,从理论到实战演练,带领大家了解 Django 里权限是怎么一回事。

主要内容

什么是权限管理?
Web 权限
Django 权限机制
Django 的权限项
权限应用

  • Permission(一)
  • Permission(二)
  • User Permission 管理(一)
  • User Permission 管理(二)
  • Group Permission 管理
  • 权限验证(一)
  • 权限验证(二)
  • 权限验证(三)
  • 权限验证(四)

什么是权限管理

权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源

权限管理好比如钥匙,有了钥匙就能把门打开,但是权限设置是有级别之分的,假如这个系统有多个权限级别就如一间屋有多个门,想要把所有门都打开您必须要取得所有的钥匙,就如系统一样。

Web 权限

在 Web 里权限管理是 Web 应用项目中比较关键的环节,因为浏览器是每一台计算机都已具备的,如果不建立权限管理系统,那么一个“非法用户”可以轻而易举通过浏览器访问Web应用项目中的所有功能。因此需要权限管理系统进行权限检测,让经过授权的用户可以正常合法的使用已授权的功能,而对那些未授权的非法用户拒之门外。 一个好的权限管理系统应该对每一类或每一个用户,分配不同的系统操作权限,并应具有扩展性,也就是它可以加入到任何一个带有权限管理的 Web 应用项目中,就像构件一样可以被重复使用。 同时,还要提醒开发者,开发一个 Web 应用项目时,应尽可能的将整个系统细化,分解为若干个子模块,最后组合成一个完整的应用。也只有这样,才容易实现为每一类或每一个用户分配不同的操作权限。

Django 权限机制

Django 权限机制能够约束用户行为,控制页面的显示内容,也能使 API 更加安全和灵活;用好权限机制,能让系统更加强大和健壮

Django 用 user, group 和 permission 完成了权限机制,这个权限机制是将属于 model 的某个 permission 赋予 user 或 group,可以理解为全局的权限,即如果用户A对数据模型(model)B 有可写权限,那么 A 能修改model B 的所有实例(objects)。group 的权限也是如此,如果为 group C 赋予 model B 的可写权限,则隶属于 group C 的所有用户,都可以修改model B 的所有实例。

Django 的权限项

Django 用 permission 对象存储权限项,每个model默认都有三个permission,即 add model, change model 和 delete model

permission 总是与 model 对应的,如果一个 object 不是 model 的实例,我们无法为它创建/分配权限

权限应用

  • Permission
  • User Permission
  • Group Permission
  • 权限检查

◆ Permission(一)
Django 定义每个 model 后,默认都会添加该 model 的 add, change 和 delete三个 permission,自定义的 permission 可以在我们定义 model 时手动添加

class Server(models.Model):
     ...    
    class Meta:        
        permissions = (            
            ("view_server", "can view server"),            
            ("change_server_status", "Can change the status of server"),        
        )

◆ Permission(二)

每个 permission 都是 django.contrib.auth.Permission 类型的实例,该类型包含三个字段 name, codename 和 content_type,
content_type 反应了 permission 属于哪个 model,
codename 如上面的 view_server,代码逻辑中检查权限时要用,
name 是 permission 的描述,将 permission 打印到屏幕或页面时默认显示的就是 name
◆ User Permission管理(一)
User 对象的 user_permission 字段管理用户的权限
user = User.objects.get(username="rock")
user.user_permissions = [permission_list]
user.user_permissions.add(permission, permission, …) #增加权限
user.user_permissions.remove(permission, permission, …) #删除权限
user.user_permissions.clear() #清空权限
注:上面的 permission 为 django.contrib.auth.Permission 类型的实例

# 示例演示:
In [3]: from django.contrib.auth.models import User    #导入用户模块
In [6]: user = User.objects.get(username="nick")     #获取用户对象
In [7]: user.user_permissions.all()                        # 查看用户权限
Out[7]: []
In [8]: from django.contrib.auth.models import Permission    #导入权限模块
In [10]: Permission.objects.get(pk=43)                        #获取权限信息
Out[10]: <Permission: dashboard | server | 访问服务器信息>
In [11]: Permission.objects.filter(pk=43)                        #获取权限信息(以列表形式输出)
Out[11]: [<Permission: dashboard | server | 访问服务器信息>]
In [12]: user.user_permissions = Permission.objects.filter(pk=43)      #赋予用户权限(赋予权限不需要保存)
In [13]: user.user_permissions.all()                        #查看用户当前权限
Out[13]: [<Permission: dashboard | server | 访问服务器信息>]
In [18]: user.user_permissions.add(Permission.objects.get(pk=43))            #add添加权限(必须是一个Permission实例,否则报错)
In [40]: user.user_permissions.all()
Out[40]: [<Permission: dashboard | department | Can change department>, <Permission: dashboard | server | 访问服务器信息>]
In [41]: user.user_permissions.remove(Permission.objects.get(pk=43))      #remove移除权限(必须是一个Permission实例,否则报错)
In [42]: user.user_permissions.all()
Out[42]: [<Permission: dashboard | department | Can change department>]

◆ User Permission 管理(二)

  • 检查用户权限用 has_perm() 方法:
myuser.has_perm(’dashboard.view_server')

has_perm() 方法的参数,即 permission 的 codename,但传递参数时需要加上 model 所属 app 的前缀,无论 permission 赋予 user 还是 group,has_perm()方法均适用

  • 列出用户的所有权限
user.get_all_permissions()
  • 列出用户所属group的权限
user.get_group_permissions()

◆ Group Permission 管理
group permission 管理逻辑与 user permission 管理一致,group 中使用permissions 字段做权限管理:
group.permissions = [permission_list]
group.permissions.add(permission, permission, …)
group.permissions.remove(permission, permission, …)
group.permissions.clear()

◆ 权限验证(一)
在视图中验证权限—— permission_required
当业务逻辑中涉及到权限检查时,decorator 能够分离权限验证和核心的业务逻辑,使代码更简洁,逻辑更清晰。permission 的 decorator 为permission_required

from django.contrib.auth.decorators import permission_required 
@permission_required(’dashboard.view_server') 
def my_view(request):
    ...

◆ 权限验证(二)

在类视图中验证

from django.utils.decorators import method_decorator
from django.contrib.auth.decorators import login_required, permission_required
class ServerView(TemplateView):
    @method_decorator(login_required)
    @method_decorator(permission_required(“dashboard.view_server”)
    def get(self, request, *args, **kwargs):
   ……

◆ 权限验证(三)

views 中验证

if not request.user.has_perm(’dashboard.view_server')
    return HttpResponse('Forbidden')

◆ 权限验证(四)

Template 中的权限检查

{% if perms.dashboard.view_server %}    
    有权限
{% endif %}

◆ 扩展阅读:

使用 Django 认证系统:http://python.usyiyi.cn/translate/django_182/topics/auth/default.html


Python 实战班第16期火热报名进行中

招生要求:

想往开发或者运维开发方向发展,Python 基础为零或薄弱,但能读懂 shell 或者其它任何一门语言的同学。

课程内容:

◆精简版 CMDB

1、html+css+js 多种前端技术结合

2、ajax 异步请求操作

3、分页搜索功能

4、常见数据库设计原则、CMDB 表结构实战、Mysql 实操

5、独立完项目、了解完整的 Web(LAMP) 架构

◆Nginx 日志统计分析与多维可视化

1、用 Python 处理 Nginx 日志文件,进行多维度数据统计分析

2、根据 ip、访问地址和访问状态等数据统计,统计结果存入数据库

3、Highcharts 等流行前端技术多维度,将分析结果可视化展示

◆快速构建实用监控系统

1、Python 读取机器的实时使用数据,通过 Http 请求将数据入库

2、设计数据入库的 API,收集不同机器的数据

3、前端将内存数据读出,视化展示折线图

4、独立完成项目,掌握 Python 常用的 time 等模块

咨询报名联系:
QQ(1):979950755 小月
QQ(2):279312229 ada
WeChat : 1902433859 小月
WeChat : 1251743084 小单

开课时间:9月9日

课程大纲:http://51reboot.com/course/actual/

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,324评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,303评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,192评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,555评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,569评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,566评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,927评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,583评论 0 257
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,827评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,590评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,669评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,365评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,941评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,928评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,159评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,880评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,399评论 2 342

推荐阅读更多精彩内容