Django 权限管理
对于Django而言,虽然自带了一些基本的通用权限限制,但现实中,可能我们更希望自己去定义业务权限划分
Django对于权限这块的部分验证方法
user = request.user
user.is_superuser #是否是超级管理员
user.s_anonymous() #是否匿名用户,及未登录用户
user.groups.select_related() #获取用户对应的组角色对象,
#当获取到group后,通过group.name获取组名,
下面是一段完整的权限控制例子
#!/usr/bin/env python
# encoding:utf8 from django.core.urlresolvers import resolve
from django.shortcuts import render # 定义角色权限
roles = {
'consultant': ['Customer', 'ConsultRecord'],
'teachers': ['Course', 'ClassList', 'CourseRecord', 'StudyRecord'],
'students': ['StudyRecord'],
}
# 权限映射
permission_map = {
'view_home': ['index', 'GET', []], # 展示对应对可操作对象
'view_object': ['admin_controller', 'GET', ['show']], # 查看具体对象对数据信息
'edit_object': ['admin_controller', 'POST', ['show', 'id']], # 具有编辑该对象对权限
'add_object_view': ['admin_controller', 'GET', ['add']], # 进入添加页面,但不表示可以进行修改,该权限用于对表格显示字段过长,显示不全,可以进入该页面查看
'add_object': ['admin_controller', 'POST', ['add']], # 具有添加该对象对权限
'delete_object': ['admin_controller', 'POST', ['show', 'data']], # 具有删除该对象对权限
} def check_process(*args, **kwargs):
request = args[0]
user = request.user
if user.is_superuser:
return True
resolver_match_obj = resolve(request.path)
url_name = resolver_match_obj.url_name
args = list(resolver_match_obj.args)
args.extend(request.GET)
args.extend(request.POST)
print('begin checking permission ', resolver_match_obj)
if url_name:
is_match = False
match_perm = None
for permission in permission_map:
permission_action = permission_map[permission] # 获取url对应的权限动作
print('----------------url action: ', permission_action)
if len(permission_action) == 3: # 为保障下面语句执行不为语法而被破坏,加上该条件,强制性判断,否则放行
define_url_name, define_request_method, define_others = permission_action
if url_name == define_url_name:
print("match url name: ", define_url_name)
if request.method == define_request_method:
print("match method: ", define_request_method)
if define_others: # 如果定义了具体参数匹配,则继续匹配参数
print("check others: ", permission, define_others)
for arg in define_others:
if hasattr(request, str(define_request_method)):
request_method = getattr(request, str(define_request_method)) # 获取对应的请求方法对象
if hasattr(request_method, arg) or arg in args: # 如果能匹配参数,则标记匹配
is_match = True
print("others match: ", arg)
else:
print("others not match: ", arg)
is_match = False
if is_match:
print("others match done: ", permission, permission_action)
match_perm = permission
break
else:
is_match = True
match_perm = permission
print("url check done ...", permission, permission_action)
break
else:
print('please check the define rules, maybe has some problem')
return True # 如果定义的动作不完整,为避免新增权限的缺陷影响业务,这种错误应该放行处理
else:
return True # 如果没有找到对应的url name则放行处理 if is_match:
print("begin check user permission ...")
if user.is_anonymous():
print("user has not login ...")
return True # 如果用户是匿名,说明该页面可能不需要权限控制,放行处理,假如该view需要登录认证,那么再次权限处理时,不会在此处理
elif user.has_perm('%s.%s' % (__package__, match_perm)):
groups = user.groups.select_related()
model_list = []
for group in groups:
if group.name in roles:
model_list.extend(roles[group.name])
if args and len(args) > 1: # 如果URL获取到参数,则对参数进行比较
access_model = args[0]
if access_model not in model_list: # 该操作主要拦截,直接使用URL方式而非超链接,尝试指定不同model访问其它数据
return False
return True
return model_list if model_list else True # 如果model_list为空,且该用户还有权限,那么只有超级用户才有这种特权了
return False def decorator(func):
def wrapper(*args, **kwargs):
check_result = check_process(*args, **kwargs)
if not check_result:
render_respond = render(args[0], '403.html')
render_respond.status_code = 403 # 修改头部信息状态码
print("permission refused ...")
return render_respond
if type(check_result) is list: # 该参数仅在本次view中可能有用,所以在return时需要尝试捕获,如果出错,则尝试移除该key,再返回,再有其它错误,就可以排除是该权限控制产生的了
kwargs['model_list'] = check_result
print('permission check passed...')
try:
return func(*args, **kwargs)
except TypeError:
kwargs.pop('model_list')
return func(*args, **kwargs)
return wrapper
Django 权限管理的更多相关文章
- 【Python】django权限管理
参考:http://www.cnblogs.com/esperyong/ 参考:https://docs.djangoproject.com/en/1.8/topics/auth/default/#t ...
- Django 权限管理(二)
权限菜单展示 1.展示的效果 实现该效果,涉及到的核心点(突破点) 1. 权限分类: (1)菜单权限 (主要用来展示的权限(url)如查看权限 url, 如上图中的每个权限都归类为菜单权限,主要用来 ...
- django权限管理(一)
权限:权限就是一个包含正则的url. Rbac 权限管理: Role-Based Access Control,基于角色的访问控制.用户通过角色与权限进行关联,一个用户可以有多个角色,一个角色可以有多 ...
- 一.8.django权限管理/drf权限管理
1.什么是权限管理: .权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源 .权限管理好比如钥匙,有了钥匙就能把门打开,但是权限设置是有级别之分的,假如这个系 ...
- Django权限管理测试
测试内容:当我单击登录页面登录的时候页面会弹出当前用户的个人信息 当我点击提交的时候可以看到我当前用户的所有权限: 测试成功,接下来看一下后台的简单代码: class User(models.Mode ...
- django权限管理
当我们为应用创建一个Models, 在同步到数据库里,django默认给了三个权限 ,就是 add, change, delete权限. 首先,我们创建一个perm_test的project, 然后再 ...
- Django之权限管理
Django权限管理之初步完整版 项目背景:这是一个权限管理系统(给一些角色和他们的权限指URL和页面可以删除的按钮比如:增删改查) 使用到了中间件,和初始化权限,使用了admin的后台管理系统. 我 ...
- [Django]用户权限学习系列之权限管理界面实现
本系列前三章: http://www.cnblogs.com/CQ-LQJ/p/5604331.htmlPermission权限基本操作指令 http://www.cnblogs.com/CQ-LQJ ...
- [Django]用户权限学习系列之设计自有权限管理系统设计思路
若在阅读本片文章遇到权限操作问题,请查看本系列的前两章! http://www.cnblogs.com/CQ-LQJ/p/5609690.html和http://www.cnblogs.com/CQ- ...
随机推荐
- leetcode一些常用函数
6移位操作 “>> 右移,高位补符号位” 这里右移一位表示除2“>>> 无符号右移,高位补0”: 与>>类似“<< 左移” 左移一位表示乘2,二位 ...
- Microsoft QAS架接项目
1,p位置玩文件后.运行程序命令是: QCSQueryLabelWithLES.exe -c %CD%\FinalQASModelDir --variant AMyMovie --outputFull ...
- Activity系列讲解---返回结果的处理
设想一下:由当前Activity跳转到其它Activity,从其它Activity再返回到当前Activity时,如何获取其它Activity存放的数据?下面用一个例子讲解, 点击selsect按钮跳 ...
- svn 合并分支
1.将某一主干/分支某一时段的改变,合并到工作空间副本 2.将某一主干/分支与其他主干/分支的改变,合并到工作空间副本
- Mysql binlog 安全删除
简介: 如果你的 Mysql 搭建了主从同步 , 或者数据库开启了 log-bin 日志 , 那么随着时间的推移 , 你的数据库 data 目录下会产生大量的日志文件 shell > ll /u ...
- sh4.case语句
case ... esac 与其他语言中的 switch ... case 语句类似,是一种多分枝选择结构.case 语句匹配一个值或一个模式,如果匹配成功,执行相匹配的命令.case语句格式如下: ...
- ES6扫盲
原文阅读请点击此处 一.let和const { // let声明的变量只在let命令所在的代码块内有效 let a = 1; var b = 2; } console.log(a); // 报错: R ...
- 如何实现VoIP中大并发应用
后台服务器实现高并发方式: 说明: 黄色皆为运营商或第三方对接系统的VoIP设备等. 前置服务器A与B为热备容灾模式,当A异常,立即跳转到B. 应用服务器做实时容灾处理. 数据库做实时容灾处理. 媒体 ...
- 【ajax 提交表单】多种方式的注意事项
在业务中,可能因为表单内容过于庞大,字段过于繁杂,如果人为去拼接的话 ,需要耗费大量的时间和精力,与此同时,代码看上去也是冗余不堪. 所以,提交表单的时候如果能整个表单数据整体提交,那是非常开心的事情 ...
- trigger() --工作中问题nav样式
自动执行某元素的某个事件 $("#div").trigger("click"); //让系统自动执行单击事件 适用于nav样式中,下面横线绝对定位于nav.o ...