文章目录
1. 权限简介
用户权限,指的是一个帐户登录后,有些功能可以使用,有些功能无法使用,这就是管理员对其设置的权限,只有附合权限的人才可以使用对应的功能。权限就是权利的限制范围。比较常见的是VIP用户和非VIP用户之间的权限差距。
2. Django 实现权限管理
用户的权限其实也可以理解为用户对路由访问的权限。我们设定一个用户不能访问某一个路由就相当于限制了用户的权限。那么如何限制用户访问路由,可以创建一个用户可以访问的路由表,查看用户请求的路由是否在该列表内即可。
权限表设计
由于用户的数量很多,不能直接将用户和路由对应,可以创建一张用户身份表,表示某一个用户能访问的路由权限。如下简易示例
用户表
idnamepwd1xwx1232yyy3213zzz222
权限表
idnamepermission1查看/check/2添加/add/3编辑/set/(\d+)/4删除/del/(\d+)/
身份表
idrole1User2Vip3Admin
用户与身份的关系表
iduser_idrole_id113221332
身份与权限的关系表
idrole_idpermission_id111221322431532633734
表外键关系
用户表与身份表之间有多对多关系,假设一个人可以有多个身份
身份表与权限表之间有多对多关系,一个身份有多个权限,一个权限可以被多个人拥有
ORM 表设计
from django.db import models
# 创建用户表classUser(models.Model):
name = models.CharField(max_length=32, verbose_name='用户名称')
pwd = models.IntegerField()# 与身份表的多对多外键字段,假设可以跨身份,跨部门
roles = models.ManyToManyField(to='Role')def__str__(self):return self.name
# 创建身份表classRole(models.Model):
title = models.CharField(max_length=32, verbose_name='身份名称')# 和权限表的多对多关系字段,一个身份可以有多个权限,一个权限也可以被多个身份拥有
permissions = models.ManyToManyField(to='Permission')def__str__(self):return self.title
# 创建权限表classPermission(models.Model):
name = models.CharField(max_length=32, verbose_name='权限名称')
url = models.CharField(max_length=32, verbose_name='权限url')def__str__(self):return self.name
classUserinfo(models.Model):
first_name = models.CharField(max_length=32, verbose_name='姓')
last_name = models.CharField(max_length=32, verbose_name='名')
phone = models.IntegerField()
addr = models.CharField(max_length=64, verbose_name='住址')
代码示例
1. 项目结构
2. url.py 代码
from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns =[
url(r'^admin/', admin.site.urls),
url(r'^login/', views.Login.as_view(), name='login'),
url(r'^check/', views.Check.as_view(), name='check'),
url(r'^add/', views.Add.as_view(), name='add'),
url(r'^set/(\d+)/', views.Set.as_view(), name='set'),
url(r'^del/(\d+)/', views.Del.as_view(), name='del'),]
3. check.html 代码
<!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><title>Title</title><script src="https://cdn.bootcdn.net/ajax/libs/jquery/2.2.4/jquery.min.js"></script><link href="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.3.6/css/bootstrap.min.css" rel="stylesheet"><script src="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.3.6/js/bootstrap.min.js"></script></head><body><div class="container"><div class="row"><table class="table"><tr><th>姓</th><th>名</th><th>电话</th><th>地址</th><th>操作</th></tr>{%for foo in user_info %}<tr><td>{{ foo.first_name }}</td><td>{{ foo.last_name }}</td><td>{{ foo.phone }}</td><td>{{ foo.addr }}</td><td><a href="{% url 'add' %}">新增</a><a href="{% url 'set' foo.pk %}">修改</a><a href="{% url 'del' foo.pk %}">删除</a></td></tr>{% endfor %}</table></div></div></body></html>
4. login.html 代码
<!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><title>Title</title></head><body><form method="post" action="">{% csrf_token %}<p><label>账号<inputtype="text" name="username"></label></p><p><label>密码<inputtype="text" name="password"></label></p><p><inputtype="submit"></p></form></body></html>
5. views.py 代码
from django.shortcuts import render, HttpResponse, redirect
from django.views import View
from app01 import models
classCheck(View):defget(self, request):
user_info = models.Userinfo.objects.filter()return render(request,'check.html',locals())classLogin(View):defget(self, request):return render(request,'login.html')defpost(self, request):
username = request.POST.get('username')
password = request.POST.get('password')
user_obj = models.User.objects.filter(name=username, pwd=password).first()if user_obj:# 获取当前用户的权限列表,由于用户可能有多个身份,也就是会有重叠的路由,需要使用去重 distinct
permissions_list = models.User.objects.filter(name=username).values('roles__permissions__url').distinct()# 将权限列表添加到session中
permissions_list =[i.get('roles__permissions__url')for i in permissions_list]
request.session['permissions_list']= permissions_list
return redirect('/check/')else:return HttpResponse('用户不存在')classAdd(View):defget(self, request):return HttpResponse('新增')classSet(View):defget(self, request,*args):return HttpResponse('修改')classDel(View):defget(self, request,*args):return HttpResponse('删除')
6. mypermissions.py 代码
from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import render, HttpResponse, redirect
import re
classMyPermission(MiddlewareMixin):defprocess_request(self, request):# 获取用户请求的url
target_url = request.path
# 定义路由白名单
white_list =['/login/','/register/']for white_url in white_list:# 循环白名单并将路由变成正则形式,因为有些路由含有其他后缀
re_path =f'^{white_url}$'# 调用re模块search方法,查看请求的路由是否满足这种表达式# re.search(pattern, string, flags=0)
res = re.search(re_path, target_url)if res:return
permissions_list = request.session.get('permissions_list')for url in permissions_list:# 循环白名单并将路由变成正则形式,因为有些路由含有其他后缀
re_path =f'^{url}$'# 调用re模块search方法,查看用户请求的路由是否满足正则表达式# re.search(pattern, string, flags=0)
res = re.search(re_path, target_url)if res:returnreturn HttpResponse('您没有权限')
7. settings 中间件配置
MIDDLEWARE =['django.middleware.security.SecurityMiddleware','django.contrib.sessions.middleware.SessionMiddleware','django.middleware.common.CommonMiddleware','django.middleware.csrf.CsrfViewMiddleware','django.contrib.auth.middleware.AuthenticationMiddleware','django.contrib.messages.middleware.MessageMiddleware','django.middleware.clickjacking.XFrameOptionsMiddleware','app01.permissions.mypermissions.MyPermission']
流程
上述代码只是简易的实现权限的分级。
1. 首先对每个用户进行分级,每一个身份等级有不同的访问路由权限,将路由添加到权限表中
2. 在login.html渲染的表单中登录,登录验证成功后查询当前用户身份对应的权限(如果一个用户只能有一个身份可以不
去重),将所有的路由权限添加到一个列表中,并将其储存在session中便于校验。
3. 在登录成功后我设定的是直接转向 /check/ 路由,但是肯定需要判断用户是否有权限,最好的方式是在自定义中间件中
判断,创建 permissions文件夹,并在该文件夹下定义 mypermissions.py文件用于自定义中间件
4. 在 mypermissions.py文件中创建 MyPermission类并继承 MiddlewareMixin类。然后编写校验逻辑,首先需要使
用 process_request方法,该方法是自定义中间件提供的用户请求来的时候执行。
5. 当用户请求时,首先获取用户请求的路由,使用 request.path获取。然后需要定义一个路由白名单,该名单中的路由
不论是哪一个用户都可以登录,这里添加的是 /login/,否则不好访问登录路由。
6. 对路由白名单进行循环,并将循环出来的路由变成正则表达式形式,由于用户访问的路由有可能带有其他后缀数据,用正
则比较合适。获得正则表达式后导入 re模块,并使用 re.search()方法,该方法第一个参数是正则表达式,第二个是
待匹配文本。若是匹配失败返回 None7. 然后从session中取出路由列表,并进行比对,同样使用循环加正则的形式比对。如果路由列表内路由全都匹配失败这
里简易的返回 HttpResponse对象
本文转载自: https://blog.csdn.net/m0_58987515/article/details/125107924
版权归原作者 XWenXiang 所有, 如有侵权,请联系我们删除。
版权归原作者 XWenXiang 所有, 如有侵权,请联系我们删除。