权限管理

权限管理是根据不同的用户有相应的权限功能,通常用到的权限管理理念Rbac.

Rbac

基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。

数据库表体现

在后端数据库rbac的表现是,一张用户表,一张职位表,还有一张权限表,用户多对多职位表,因为同一个人可能拥有多个职位,职位表多对多权限权限表,一个职位可拥有多个权限,权限在web的体现就是url地址,你必须有相对url的权限才能访问页面,从而限制你的功能

简单rbac表例子:

可以看出对于关于用户的增删改查功能的权限就是你能访问对应的url。例如boss职位我可以给他分配所有的权限,在职位权限表中可以看出boss拥有所有的权限。

如何实现

现在你可以给一个用户指定职位以及职位的权限,那么django中如何实现权限管理。首先你的知道django的运作流程,看下面的图:

用过django框架的很容易看懂这张图,简单来说流程如下:

  1. wsgiref模块负责接受和发送底层的socket消息
  2. 中间件为全局钩子对django的输入和输出进行操作
  3. 路由系统根据url执行相应的视图函数
  4. 视图函数调用数据库和模板语言渲染html文件返回给前段

所以我们可以自己写一个中间件来实现权限管理

实现原理分析

登录后要做的事:

  1. 登录成功后从数据库中获取当前用户的所有权限,也就是所有的url地址
  2. 利用session的特点将登录用户的所有url地址以键值对的形式保存

写一个中间件实现以下功能:

  1. 除了访问白名单中的url,都必须校验权限
  2. 根据请求的session判断当前用户的权限即获取能访问得url,没有登录则获取不到
  3. 校验通过则运行执行django下一步流程
  4. 校验不通过则返回没有权限提示,或返回登录页面

具体实现

数据库

from django.db import models

# Create your models here.

class Permission(models.Model):

    title = models.CharField(max_length=22)

    url = models.CharField(max_length=32)

    def __str__(self):

        return self.title

    class Meta:

        verbose_name ='权限'

        verbose_name_plural=verbose_name

class UserInfo(models.Model):

    username = models.CharField(max_length=32)

    password = models.CharField(max_length=32)

    roles = models.ManyToManyField(to='Role')

    class Meta:

        verbose_name ='用户'

        verbose_name_plural=verbose_name

    def __str__(self):

        return self.username

class Role(models.Model):

    title = models.CharField(max_length=32)

    permissions =models.ManyToManyField(to='Permission',null=True,blank=True)

    class Meta:

        verbose_name ='角色'

        verbose_name_plural=verbose_name

    def __str__(self):

        return self.title

登录校验的中间件

from django.utils.deprecation import MiddlewareMixin

import re

from django.shortcuts import redirect

class ValidLogin(MiddlewareMixin):

    def process_request(self,request):

        # 获取当前请求的url

        now_url = request.path_info

        wirte_url = ['admin/.*','login/']

        print(now_url)

        for url in wirte_url:

            if re.match(r'^/{}$'.format(url),now_url):

                print('白名单通过')

                return

        if request.session.get('user',''):

            print(request.session.get('user',''))

            print('已经登录')

            return

        else:

            next_url = '/login/?next='+now_url

            print(next_url)

            return redirect(next_url)

登录视图

from django.shortcuts import render,HttpResponse,redirect

from django.http import JsonResponse

# Create your views here.

from rbac.models import UserInfo,Permission,Role

def login(request):

    ret = {'ret':0}

    #获取因权限不足跳转到登录页面的原url,获取不到默认/customer/list/

    next_url = request.GET.get('next','/customer/list/')

    if request.method=='POST':

        #post请求,获取前端发送的账号和密码

        name = request.POST.get('email')

        pwd = request.POST.get('pwd')

        #根据获取到的账号密码去数据库筛选

        user_obj = UserInfo.objects.filter(username=name,password=pwd).first()

        if user_obj:

            ret={'ret':1}

            ret['url']=next_url

            # 如果筛选成功则跨边将用户所有的权限url取出来

            permission_queryset = user_obj.roles.all().filter(permissions__isnull=False).values_list('permissions__url')

            #利用生成器保存url

            permission_list = [i[0] for i in permission_queryset]

            #设置到session中

            request.session['permission_list'] = permission_list

        else:

            ret['msg']='账号密码错误'

        return JsonResponse(ret)

    #如果是get请求直接返回页面

    return render(request,'login.html')

def logout(request):

    request.session.flush()

    return redirect('login')

中间件

class RBACMiddleware(MiddlewareMixin):

    def process_request(self, request):

        #白名单url

        wirte_url = [reverse('login'),reverse('logout')]

        #获取当前的url

        current_url = request.path_info

        print('当前url',current_url)

        #如果当前请求的url是白名单的url直接放行:

        for url in wirte_url:

            if re.match(r'^{}$'.format(url),current_url):

                print('白名单通过')

                return

        #否则判断当前请求url是否在当前登录的用户的权限url中

        #获取session中保存的用户权限url表

        permission_list = request.session.get('permission_list',[])

        for url in permission_list:

            if re.match(r'^{}$'.format(url),current_url):

                print(permission_list)

                print('权限通过')

                return

        else:

            return HttpResponse('没有权限')

Django实现Rbac权限管理的更多相关文章

  1. 十二、基于Django实现RBAC权限管理

    一.RBAC概述 RBAC(Role-Based Access Control,基于角色的访问控制),通过角色绑定权限,然后给用户划分角色. 从企业的角度来说,基本上是按照角色来划分职能.比如,CEO ...

  2. RBAC权限管理模型 产品经理 设计

    RBAC权限管理模型:基本模型及角色模型解析及举例 | 人人都是产品经理http://www.woshipm.com/pd/440765.html RBAC权限管理 - PainsOnline的专栏 ...

  3. Spring Security实现RBAC权限管理

    Spring Security实现RBAC权限管理 一.简介 在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的 Shiro和Spring Security.由于Spr ...

  4. yii2 rbac权限管理学习笔记

    下面介绍一个 yii2 的 Rbac 权限管理设置,闲话少说,直接上代码, 1.首先我们要在组件里面配置一下 Rbac ,如下所示(common/config/main-local.php或者main ...

  5. vue基于d2-admin的RBAC权限管理解决方案

    前两篇关于vue权限路由文章的填坑,说了一堆理论,是时候操作一波了. vue权限路由实现方式总结 vue权限路由实现方式总结二 选择d2-admin是因为element-ui的相关开源项目里,d2-a ...

  6. ThinkPHP中RBAC权限管理的简单应用

    RBAC英文全称(Role-Based Access Controller)即基于角色的权限访问控制,简单来讲,一个用户可以拥有若干角色,每一个角色拥有若干权限.这样,就构造成“用户-角色-权限”的授 ...

  7. PHP中RBAC权限管理

    1.RBAC概念和原理          RBAC:全称叫做Role-Based Access Control,中文翻译叫做基于角色的访问控制.其主要的作用是实现项目的权限控制.            ...

  8. 基于RBAC权限管理的后台管理系统

    在摸爬滚打中渐渐理解了RBAC权限管理是个什么玩意. RBAC的基本概念: **RBAC认为权限授权实际上是Who.What.How的问题.在RBAC模型中,who.what.how构成了访问权限三元 ...

  9. spring boot:spring security用mysql数据库实现RBAC权限管理(spring boot 2.3.1)

    一,用数据库实现权限管理要注意哪些环节? 1,需要生成spring security中user类的派生类,用来保存用户id和昵称等信息, 避免页面上显示用户昵称时需要查数据库 2,如果需要在页面上显示 ...

随机推荐

  1. 从零开始搭建django前后端分离项目 系列六(实战之聚类分析)

    项目需求 本项目从impala获取到的数据为用户地理位置数据,每小时的数据量大概在8000万条,数据格式如下: 公司要求对这些用户按照聚集程度进行划分,将300米范围内用户数大于200的用户划分为一个 ...

  2. Java学习之路- SQL注入

    用户名: __________ 密码:——————— 假如没有使用预处理的Statement 对象 拼接字符串查数据库的话,易收到sql注入攻击: 例如说 : mysql 中   #代表的是单行注释 ...

  3. SQL开窗函数

    [SQL]四种排序开窗函数   一 .简单了解什么是开窗函数 什么是开窗函数,开窗函数有什么作用,特征是什么? 所谓开窗函数就是定义一个行为列,简单讲,就是在你查询的结果上,直接多出一列值(可以是聚合 ...

  4. webstrom 使用sass的环境配置说明

    sass(https://www.sass.hk)基于Ruby语言开发而成,因此安装sass前需要安装Ruby.(注:mac下自带Ruby无需在安装Ruby!) 一.安装ruby 注意勾选第二个选项 ...

  5. SpringBoot分布式 - SpringCloud

    一:介绍 Spring Cloud是一个基于Spring Boot实现的云应用开发工具,它为基于JVM的云应用开发中涉及的配置管理.服务发现.断路器.智能路由.微代理.控制总线.全局锁.决策竞选.分布 ...

  6. 使用docker Registry快速搭建私有镜像仓库

    当我们执行docker pull xxx的时候,docker默认是从registry.docker.com这个地址上去查找我们所需要的镜像文件,然后执行下载操作.这类的镜像仓库就是docker默认的公 ...

  7. R实战 第十二篇:随机数

    由R生成的随机数实际上伪随机数,也就是说,随机数是由某种算法而不是真正的随机过程产生的,随机数生成器需要一个初始值来生成数字,该初始值叫做种子.通过把种子设置为特定的值,可以保证每次运行同一段代码时都 ...

  8. Podfile语法参考(译)

    https://www.jianshu.com/p/8af475c4f717 2015.10.30 19:14* 字数 2496 阅读 35976评论 9喜欢 120 本文翻译自官方的Podfile ...

  9. CSS颜色代码 颜色值 颜色名字大全

    颜色值 CSS 颜色使用组合了红绿蓝颜色值 (RGB) 的十六进制 (hex) 表示法进行定义.对光源进行设置的最低值可以是 0(十六进制 00).最高值是 255(十六进制 FF).从 0 到 25 ...

  10. springBoot项目启动类启动无法访问

    springBoot项目启动类启动无法访问. 网上也查了一些资料,我这里总结.下不来虚的,也不废话. 解决办法: 1.若是maven项目,则找到右边Maven Projects --->Plug ...