[django]drf知识点梳理-权限

用户  -  权限  -  资源
    (拥有)   (绑定)

django权限机制能够约束用户行为，控制页面的显示内容，也能使API更加安全和灵活；用好权限机制，能让系统更加强大和健壮

django权限控制

Django用user, group和permission完成了权限机制，这个权限机制是将属于model的某个permission赋予user或group，可以理解为全局的权限，即如果用户A对数据模型（model）B有可写权限，那么A能修改model B的所有实例（objects）。group的权限也是如此，如果为group C 赋予model B的可写权限，则隶属于group C 的所有用户，都可以修改model B的所有实例。

Django的权限项

Django用permission对象存储权限项，每个model默认都有三个permission，即add model, change model和delete model

permission总是与model对应的，如果一个object不是model的实例，我们无法为它创建/分配权限

默认权限

在 INSTALLED_APPS 设置中列出 django.contrib.auth 后，安装的各个应用中的每个 Django 模型默认都有三个权限:添加、修改和删除。每次运行 manage.py migrate 命令创建新模型时都会为其赋予这三个权限。

权限应用

Permission

User Permission

Group Permission

权限检查

Permission定义

Django定义每个model后，默认都会添加该model的add, change和delete三个permission，自定义的permission可以在我们定义model时手动添加

class Server(models.Model):
    ...
    class Meta:
        permissions = (
            ("view_server", "can view server"),
            ("change_server_status", "Can change the status of server"),
        )

每个permission都是django.contrib.auth.Permission类型的实例，该类型包含三个字段name, codename 和 content_type，

content_type 反应了permission属于哪个model，
codename     如上面的view_server，代码逻辑中检查权限时要用
name         是permission的描述，将permission打印到屏幕或页面时默认显示的就是name

User Permission

User对象的user_permission字段管理用户的权限

dashboard.view_server

permission = app_label.codename

user = User.objects.get(username="maotai")
user.user_permissions = [permission_list]
user.user_permissions.add(permission, permission, …) #增加权限
user.user_permissions.remove(permission, permission, …) #删除权限
user.user_permissions.clear() #清空权限
user.get_all_permissions() #列出用户的所有权限
user.get_group_permissions() # 列出用户所属group的权限

Group Permission

group permission管理逻辑与user permission管理一致，group中使用permissions字段做权限管理：

group.permissions.set([permission_list])
group.permissions.add(permission, permission, …)
group.permissions.remove(permission, permission, …)
group.permissions.clear()

权限验证-普通视图

在视图中验证权限—— permission_required

当业务逻辑中涉及到权限检查时，decorator能够分离权限验证和核心的业务逻辑，使代码更简洁，逻辑更清晰。permission的decorator为permission_required

from django.contrib.auth.decorators import login_required, permission_required
@login_required
@permission_required(’dashboard.view_server')
def my_view(request):
    ...

权限验证-类视图

from django.utils.decorators import method_decorator
from django.contrib.auth.decorators import login_required, permission_required
class ServerView(TemplateView):
    @method_decorator(login_required)
    @method_decorator(permission_required(“dashboard.view_server”)
    def get(self, request, *args, **kwargs):
        ...

权限验证-view代码中验证

检查用户是否有这个权限

if not request.user.has_perm(’dashboard.view_server')
    return HttpResponse('Forbidden')

权限验证-模板中验证

验证是否有登陆

{% if user.is_authenticated %}
    <p>Welcome, {{ user.username }}. Thanks for logging in.</p>
{% else %}
    <p>Welcome, new user. Please log in.</p>
{% endif %}

验证是否有权限

{% if perms.dashboard.view_server %}
    有权限
{% endif %}

PermissionRequiredMixin
from django.contrib.auth.mixins import PermissionRequiredMixin

自定义PermissionRequiredMixin

创建仅限

在模型的 Meta 类中定制权限

class Meta:
    permissions = (
        ("modify_user_status", "修改用户状态"),
        ("modify_user_passwd", "修改用户密码"),
    )

直接创建权限

from resources.models import Idc
from django.contrib.auth.models import Group, Permission
from django.contrib.contenttypes.models import ContentType
content_type = ContentType.objects.get_for_model(Idc)
permission = Permission.objects.create(codename='can_view',
                                       name='Can view Idc',
                                       content_type=content_type)

django的权限

INSTALLED_APPS = [
    ...
    'django.contrib.auth',
    ...

每次migarate的时候,默认给每个model绑定了这些权限

view
add
change
delete

权限记录在保存在auth_permission表里

content_type对应的是model

用户

https://docs.djangoproject.com/en/2.1/topics/auth/default/#user-objects

• 创建用户
• 改密码
• 认证用户
• 权限和授权

创建用户

>>> from django.contrib.auth.models import User
>>> user = User.objects.create_user('john', 'lennon@thebeatles.com', 'johnpassword')

# At this point, user is a User object that has already been saved
# to the database. You can continue to change its attributes
# if you want to change other fields.
>>> user.last_name = 'Lennon'
>>> user.save()

创建好后,需要将staff改下才能登陆

创建超级用户

$ python manage.py createsuperuser --username=joe --email=joe@example.com