巨蟒django之权限6: 权限控制表设计&&登录权限

1.权限控制表设计

内容

. 什么是权限？
. 为什么要有权限？
    不同用户拥有不同的功能
. 在web开发中，什么是权限？
    url 代表 权限

. 开发一个权限的组件，为什么要开发组件？

. 表结构的设计
    # 第一版
        权限表  permission
        id   url 

        用户表
        id  name  pwd 

        用户和权限的关系表
        id   user_id   permission_id  

    # 第二版
        权限表  permission
        id   url 

        角色表
        id  name

        角色和权限的关系表
        id  role_id  permission_id 

        用户表
        id  name  pwd

        用户和角色的关系表
        id   user_id   role_id 

首先打开空白项目:

web代表app

启动一下:

运行,看所有的地址:

从上图我们可以看出,是对两张表进行的增删改查操作.

客户管理:添加,编辑,删除

账户管理:添加缴费记录,

现在,我们需要做的就是将荃线进行分配

有权限能进行相关的操作,没有权限不能进行相关操作

这个app,在这里就是web就相当于是组件.

首先我们创建app

在Terminal中进行命令行操作.

结果:

这个时候,我们就创建好了rbac应用.

我们需要在settings.py中注册一下

注意,上边需要加上逗号

下面我们开始写表.

3个models,5张表

下面我们迁移到数据库中:

报错,上边这个表名,现在修改过来了

连接数据库sqllite

执行下面的两条命令

这个时候,我们将左边的数据库拖到右边就可以了

接下来,我们在查看一下在数据库中创建的表,这时候五张表都有了

下面我们需要在admin中创建权限对应关系:

首先,我们需要创建超级用户=>

上边是我们需要创建的超级用户的命令,以及账号和密码:

root&&root1234567

创建完成之后,我们需要注册models

运行程序,登录:

输入:(127.0.0.1:8000/admin/)进入下面的页面:

输入刚才创建的账户和密码:

这个时候,我们可以看到这些表,都已经注册进去了

现在我们开始录入,点击Permissions

点击添加权限:

开始一点一点拿

首先我们查看的是:

因为路径匹配是空的,不用管,我们只需要在路由分发下面的urls点击进入

拿到相应的url地址写入admin中

上边显示的是权限对象类型,都显示的是str,需要进行修改,

如下配置,展示的好看一些

我们需要看下,register

看一下源码:

列表需要展示的字段,通过配置下列admin里边的内容

下边是配置信息的来源

对比原来的信息:

下面是我们刷新后得到的信息:

这样所有的内容都显示出来了

再加上一条list_editable,使这里的title变成可编辑的

刷新:

我们直接点击编辑,进行save进行修改就可以改变信息了.

下面我们开始添加角色:

依然需要修改str方法,还有这个一开始的颜色是深的,也就是不填的,这里我们需要修改一下

这时候我们"刷新"一下页面,这样就可以正常显示了

CEO拥有所有的权限

角色创建好,并且分配好权限了

添加用户:

qiangge是秘书的角色,所以没有任何权限

alex是UFO的角色,所以只有查看的权限

我们将CEO修改成管理员,也就是拥有所有的权限

这个时候,root就拥有了所有的权限

这个时候我们分配权限就已经写好了

销售除了删除其他权限都有

权限分配给角色,角色再分配给用户的过程

我们可以通过用户拿角色,再通过角色拿到相应的权限.

这时候用户就拥有了权限

2.权限控制的流程

请求,响应的过程

wsgi:匹配web服务器和web应用程序的接口.,模块有哪些?django的有wsgiref用的是python自带的,性能比较低,真实环境中用的是uwsgi,帮助信息的收发.

中间件:

模板:(继承,组件,一些标签的用法)

　　{{　　}}

　　{%%}

model通过做数据库映射的,进行ORM操作,注意这个不能帮助我们创建数据库

没有加上权限角色控制,正常走是:
浏览器请求=>wsgi=>中间件里边的process_request,然后执行=>urls.py匹配=>然后走视图函数=>中间件process_view方法

=>执行视图具体的逻辑=>

这个时候1.直接返回httpresponse,->中间件里边的process_response->wsgi(状态行,响应头和响应体)->浏览器

2.redirect相当于只是返回一个响应头,再走一次流程,再拿结果,这时候可能拿到的是render

这个时候,视图通过model拿数据库db中的数据,,再交给模板渲染,这个过程是在py文件中渲染的而不是html中渲染的,

也就是说在视图函数中渲染的.渲染完成生成一个httpresponse对象,在向后走流程..最后到达浏览器

思考:权限控制需要做哪些事情?

获取用户的权限信息,然后每次用户访问的时候,再对权限信息进行判断.有权限,拿到结果,没有权限,拿不到结果.

思考,代码应该怎么写在中间件中?中间件做权限的校验

中间件::权限校验,有权限,return返回None,没有权限,返回httpresponse,告诉没有权限.这样实现权限的控制.

权限信息的保存应该如何做?登录成功之后需要再保存权限信息.

思考,权限信息应该放在哪个位置?

在视图中:登录成功之后,保存用户的权限信息,保存在session中会好一些,理论上我们需要将session单独拿到一个地方放起来

默认是数据库中,也可以放在内存中,原因就是"快"

也就是登录之后,我们将权限信息放在session当中,下次登录的时候,需要中间件校验的时候.

直接将session存储的权限信息拿出来,再进行校验,

没有权限,就拒绝掉.这个就是整体的思路.

下面开始实现简单的代码.

3.登录后保存权限信息

我们将会login单独写在一个文件夹中

如果发送ajax需要用到type="button",但是现在我们不需要

此时运行:

输入用户和密码,点击登录,发送post请求,下面我们开始,获取请求和密码:

根据前端里边的input里边的name,,后端获取get的name

下面进行auth.py操作:

我们需要通过login.html渲染一下

点击,进入用户表

运行:下面得到的结果,输入用户和密码

服务端得到的结果:

如果想要具体的值应该,如何处理?

运行:

得到如下结果:

相当于程序走到下图的位置:

相当于查询上边的role表里边的角色id和name,也就是拿到角色的信息,现在我们想做的是拿到权限的信息.需要跨表

修改程序:

运行:这个时候得到角色的id&&name,权限的序号id

进一步修改:

现在我们想要权限的url和权限的title:

如何修改?

这样修改会报错,我们进行修改一下

这个时候得到的结果:

下面我们,循环打印:

运行:

登录之后,服务端得到的结果 

看一下强哥,没有权限,应该怎样处理?

上边红框中直接写,相当于在roles后边加了all()的用法写的

也就是,如下图所示的写法:

现在我们加上过滤条件,将上边的all(修改成filter).也就是要权限permission__url不为空的内容

我们主要用的也就是permission__url键的值

修改完成,我们再运行,测试

点击"登录",这个时候就没有打印了,相当于是为空的去除掉

现在的情况是每个用户分配一个权限.

我们将所有的角色都加上,

点击保存:

然后,我们登录"root"&&"123"账户

后端得到结果:

先拿角色,再拿权限,但是现在存在重复的问题,应该如何处理?通过去重来进行处理

现在我们需要将筛选条件,去掉id和name,保留后边的两个字段就可以了

然后再用distinct,进行去重

运行:

后端得到8个权限

运行:

报错:

问题在于,存储的这一步,没有进行序列化

我们将权限信息,放到session中,需要进行json序列化permission_query不是json序列化对象,只需要转化成可以序列化的对象就可以了

我们需要将字典放入列表当中,

我们只要刷新一下,就可以得到数据:

现在需要重定向到首页

我们需要再写一个首页:

现在我们需要做反向解析,

在登录页面中重定向到首页

重启,alex&&123登录,现在我们还没有进行权限的验证,但是这里我们已经可以登录,见下图看一下,

现在我们我们在上面已经处理完了,"登录成功后,保存用户的权限信息"

3.权限校验的中间件

现在需要做的是,在中间件进行权限的认证功能.

我们下面开始写中间件,首先创建,

首先找到的是settings.py里边的安全中间件

点击进入:"安全中间件"

找到上边的包.我们对上边的包进行替换.

设置的类,考虑应该分几步做这个事情?

下面我们需要看一下,当前权限的列表

然后我们要将中间件注册到settings.py文件中.(先路径,后类名)

重启一下,我们刷新一下页面:

现在登录的是alex账户,下面得到的是1个列表内有两个字典

下面的判断方法是,访问的页面是否在session中存在.通过这个条件进行判断,因为我们在auth.py里边已经转化成了列表了

再看一下auth.py里边的内容:

这个时候,我们再访问下面的地址,显示"没有访问的权限"

分析过程:先走中间件,执行process_request方法,然后获取到当前的地址url,

后端的permission_list列表打印:拿到下面的地址

访问的地址和下面我们,拿到的地址不匹配,我们就得到了"没有访问的权限",这个页面

这个就说明,没有这个权限了,下面的这个login地址也是没有权限的.

这个地方需要设置一个白名单

登录,注册,以及url以admin开头的字段:也就是设置一个if条件条件判断进行return通过.

注意,这个login和index的路径需要在后边加上/

这样就可以登录了.reg也会报注册的错

admin也可以走:

但是下面这种写法,可以实现功能,但是不合适,需要修改的话怎么处理?

也就是说,在我们的settings.py文件中,进行配置,将上边的代码注释掉

在settings.py里边添加上白名单:

这个时候,我们需要在rbac.py里边引入settings.py文件

我们开始,循环拿列表里边的内容:

在配置中的login和reg是没有问题的,但是admin是存在问题的

上边的for+if的方式不太严谨,我们可以用正则进行匹配

下面复习一下正则:

import re

re.search()　　#从整个字符串里边拿取一个

re.match()　　#从头匹配,找到则返回

re.findall()　　 #找到所有符合的结果

上边括号内的内容,前面是正则,后边是要匹配的内容

综合上述,match比较合适

下图是我们匹配到的一个结果:

如果匹配不到,怎么办?返回的结果是None

因此这里我们用正则就可以进行操作

下面,我们需要严谨一点,进行处理:严格匹配

这个时候表示,所有的,也就是说,这个settings.py白名单里边的是正则bds

这样就完成了匹配:

运行:admin没有问题

login也是没有问题的

reg也是没有问题的,上边报错的原因是没有这个页面,所以我们没有找到

这样我们就实现了白名单

点击"登录",我们会发现没有权限

客户/列表这个权限,我们是有的

上图是"添加权限"也是有的

上图显示没有编辑权限和删除权限

之所以显示"没有权限",是因为我们再来浏览器得到的地址和session内的地址不同,浏览器触发的事件中,多了数字.

我们对权限进行修改:注意:这个地方不能加上^和$

最后得到的结果:

这个时候,我们得到了下面的url.正则匹配的方式

下面是登录页面:

点击"登录"

下面的页面:

添加:

编辑:

删除也是没有问题的

下面我们解决index的页面

思考:有些地址不是权限:像index是首页,只需要登录,就可以查看

我们可以思考,登录成功之后添加一个状态,有了登录之后的状态,我们就可以访问index页面了

在中间件中添加一个,是否登录的状态

下面我们再在rbac.py里边操作,获取完白名单之后,先处理登录与否的状态,然后再处理"获取当前用户的权限"

需要先导入,后边的两个模块

这类地址,像index可能有这么一类地址,除了上边的操作,我们也可以写在settings.py里边.

和白名单是非常类似的:也就是首页地址,下面我们进行处理一下.

下面,我们运行程序,登录下,看看是否可以登录:

点击"登录",这个时候,我们可以成功跳转到"首页"

这个时候,我们就处理好权限的控制了

4.总结:

权限控制:

如何实现权限控制的?

也就是,如何记录权限的?

总结:

总结：
    . 权限控制
        . 表结构的设计
            3个model  5张表
            权限表   url  title
            角色表   name       多对多 permissions　　或者permission
            用户表   name  pwd  多对多 roles
            角色和权限的关系表
            用户和角色的关系表 

        . 流程：
            . 登录
                get：通过中间件的白名单  re 获取到登录页面
                post：
                    通过中间件的白名单
                    认证成功 保存权限信息
                        - ORM  去空的权限  去重
                        - request.session  json序列化
            . 免认证的访问
                判断登录状态
                获取免认证的地址 匹配  re

            . 需要的校验的地址
                - 中间件
                    从session中获取到当前用户的权限信息
                    循序权限信息 和 当前的url 匹配

                    匹配成功  return 正常流程
                    所有都匹配不成功  没有权限  return HttpResponse('没有访问的权限') 

rbac.py在这个程序中代表中间件

这个时候,存在这个问题

这个时候,就跳转到响应的页面:

点击"登录"