本文为大家讲解 Django 框架里自带的权限模型,从理论到实战演练,带领大家了解 Django 里权限是怎么一回事。
Web 权限
Django 权限机制
Django 的权限项
权限应用
Permission(一)
Permission(二)
User Permission 管理(一)
User Permission 管理(二)
Group Permission 管理
权限验证(一)
权限验证(二)
权限验证(三)
权限验证(四)
权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源
权限管理好比如钥匙,有了钥匙就能把门打开,但是权限设置是有级别之分的,假如这个系统有多个权限级别就如一间屋有多个门,想要把所有门都打开您必须要取得所有的钥匙,就如系统一样。
在 Web 里权限管理是 Web 应用项目中比较关键的环节,因为浏览器是每一台计算机都已具备的,如果不建立权限管理系统,那么一个“非法用户”可以轻而易举通过浏览器访问Web应用项目中的所有功能。因此需要权限管理系统进行权限检测,让经过授权的用户可以正常合法的使用已授权的功能,而对那些未授权的非法用户拒之门外。 一个好的权限管理系统应该对每一类或每一个用户,分配不同的系统操作权限,并应具有扩展性,也就是它可以加入到任何一个带有权限管理的 Web 应用项目中,就像构件一样可以被重复使用。 同时,还要提醒开发者,开发一个 Web 应用项目时,应尽可能的将整个系统细化,分解为若干个子模块,最后组合成一个完整的应用。也只有这样,才容易实现为每一类或每一个用户分配不同的操作权限。
Django 权限机制能够约束用户行为,控制页面的现实内容,也能使 API 更加安全和灵活;用好权限机制,能让系统更加强大和健壮
Django 用 user, group 和 permission 完成了权限机制,这个权限机制是将属于 model 的某个 permission 赋予 user 或 group,可以理解为全局的权限,即如果用户A对数据模型(model)B 有可写权限,那么 A 能修改model B 的所有实例(objects)。group 的权限也是如此,如果为 group C 赋予 model B 的可写权限,则隶属于 group C 的所有用户,都可以修改model B 的所有实例。
Django 用 permission 对象存储权限项,每个model默认都有三个permission,即 add model, change model 和 delete model
permission 总是与 model 对应的,如果一个 object 不是 model 的实例,我们无法为它创建/分配权限
Permission
User Permission
Group Permission
权限检查
◆ Permission(一)
Django 定义每个 model 后,默认都会添加该 model 的 add, change 和 delete三个 permission,自定义的 permission 可以在我们定义 model 时手动添加
◆ Permission(二)
每个 permission 都是 django.contrib.auth.Permission 类型的实例,该类型包含三个字段 name, codename 和 content_type,
content_type 反应了 permission 属于哪个 model,
codename 如上面的 view_server,代码逻辑中检查权限时要用,
name 是 permission 的描述,将 permission 打印到屏幕或页面时默认显示的就是 name
◆ User Permission管理(一)
User 对象的 user_permission 字段管理用户的权限
user = User.objects.get(username='rock')
user.user_permissions = [permission_list]
user.user_permissions.add(permission, permission, …) #增加权限
user.user_permissions.remove(permission, permission, …) #删除权限
user.user_permissions.clear() #清空权限
# 注:上面的 permission 为 django.contrib.auth.Permission 类型的实例
◆ User Permission 管理(二)
检查用户权限用 has_perm() 方法:
has_perm() 方法的参数,即 permission 的 codename,但传递参数时需要加上 model 所属 app 的前缀,无论 permission 赋予 user 还是 group,has_perm()方法均适用
列出用户的所有权限
列出用户所属group的权限
◆ Group Permission 管理
group permission 管理逻辑与 user permission 管理一致,group 中使用permissions 字段做权限管理:
group.permissions = [permission_list]
group.permissions.add(permission, permission, …)
group.permissions.remove(permission, permission, …)
group.permissions.clear()
◆ 权限验证(一)
在视图中验证权限—— permission_required
当业务逻辑中涉及到权限检查时,decorator 能够分离权限验证和核心的业务逻辑,使代码更简洁,逻辑更清晰。permission 的 decorator 为permission_required
◆ 权限验证(二)
在类视图中验证
◆ 权限验证(三)
views中验证
◆ 权限验证(四)
Template 中的权限检查
联系客服