Django 权限管理
对于Django而言,虽然自带了一些基本的通用权限限制,但现实中,可能我们更希望自己去定义业务权限划分
Django对于权限这块的部分验证方法
user = request.user
user.is_superuser #是否是超级管理员
user.s_anonymous() #是否匿名用户,及未登录用户
user.groups.select_related() #获取用户对应的组角色对象,
#当获取到group后,通过group.name获取组名,
下面是一段完整的权限控制例子
#!/usr/bin/env python
# encoding:utf8 from django.core.urlresolvers import resolve
from django.shortcuts import render # 定义角色权限
roles = {
'consultant': ['Customer', 'ConsultRecord'],
'teachers': ['Course', 'ClassList', 'CourseRecord', 'StudyRecord'],
'students': ['StudyRecord'],
}
# 权限映射
permission_map = {
'view_home': ['index', 'GET', []], # 展示对应对可操作对象
'view_object': ['admin_controller', 'GET', ['show']], # 查看具体对象对数据信息
'edit_object': ['admin_controller', 'POST', ['show', 'id']], # 具有编辑该对象对权限
'add_object_view': ['admin_controller', 'GET', ['add']], # 进入添加页面,但不表示可以进行修改,该权限用于对表格显示字段过长,显示不全,可以进入该页面查看
'add_object': ['admin_controller', 'POST', ['add']], # 具有添加该对象对权限
'delete_object': ['admin_controller', 'POST', ['show', 'data']], # 具有删除该对象对权限
} def check_process(*args, **kwargs):
request = args[0]
user = request.user
if user.is_superuser:
return True
resolver_match_obj = resolve(request.path)
url_name = resolver_match_obj.url_name
args = list(resolver_match_obj.args)
args.extend(request.GET)
args.extend(request.POST)
print('begin checking permission ', resolver_match_obj)
if url_name:
is_match = False
match_perm = None
for permission in permission_map:
permission_action = permission_map[permission] # 获取url对应的权限动作
print('----------------url action: ', permission_action)
if len(permission_action) == 3: # 为保障下面语句执行不为语法而被破坏,加上该条件,强制性判断,否则放行
define_url_name, define_request_method, define_others = permission_action
if url_name == define_url_name:
print("match url name: ", define_url_name)
if request.method == define_request_method:
print("match method: ", define_request_method)
if define_others: # 如果定义了具体参数匹配,则继续匹配参数
print("check others: ", permission, define_others)
for arg in define_others:
if hasattr(request, str(define_request_method)):
request_method = getattr(request, str(define_request_method)) # 获取对应的请求方法对象
if hasattr(request_method, arg) or arg in args: # 如果能匹配参数,则标记匹配
is_match = True
print("others match: ", arg)
else:
print("others not match: ", arg)
is_match = False
if is_match:
print("others match done: ", permission, permission_action)
match_perm = permission
break
else:
is_match = True
match_perm = permission
print("url check done ...", permission, permission_action)
break
else:
print('please check the define rules, maybe has some problem')
return True # 如果定义的动作不完整,为避免新增权限的缺陷影响业务,这种错误应该放行处理
else:
return True # 如果没有找到对应的url name则放行处理 if is_match:
print("begin check user permission ...")
if user.is_anonymous():
print("user has not login ...")
return True # 如果用户是匿名,说明该页面可能不需要权限控制,放行处理,假如该view需要登录认证,那么再次权限处理时,不会在此处理
elif user.has_perm('%s.%s' % (__package__, match_perm)):
groups = user.groups.select_related()
model_list = []
for group in groups:
if group.name in roles:
model_list.extend(roles[group.name])
if args and len(args) > 1: # 如果URL获取到参数,则对参数进行比较
access_model = args[0]
if access_model not in model_list: # 该操作主要拦截,直接使用URL方式而非超链接,尝试指定不同model访问其它数据
return False
return True
return model_list if model_list else True # 如果model_list为空,且该用户还有权限,那么只有超级用户才有这种特权了
return False def decorator(func):
def wrapper(*args, **kwargs):
check_result = check_process(*args, **kwargs)
if not check_result:
render_respond = render(args[0], '403.html')
render_respond.status_code = 403 # 修改头部信息状态码
print("permission refused ...")
return render_respond
if type(check_result) is list: # 该参数仅在本次view中可能有用,所以在return时需要尝试捕获,如果出错,则尝试移除该key,再返回,再有其它错误,就可以排除是该权限控制产生的了
kwargs['model_list'] = check_result
print('permission check passed...')
try:
return func(*args, **kwargs)
except TypeError:
kwargs.pop('model_list')
return func(*args, **kwargs)
return wrapper
Django 权限管理的更多相关文章
- 【Python】django权限管理
参考:http://www.cnblogs.com/esperyong/ 参考:https://docs.djangoproject.com/en/1.8/topics/auth/default/#t ...
- Django 权限管理(二)
权限菜单展示 1.展示的效果 实现该效果,涉及到的核心点(突破点) 1. 权限分类: (1)菜单权限 (主要用来展示的权限(url)如查看权限 url, 如上图中的每个权限都归类为菜单权限,主要用来 ...
- django权限管理(一)
权限:权限就是一个包含正则的url. Rbac 权限管理: Role-Based Access Control,基于角色的访问控制.用户通过角色与权限进行关联,一个用户可以有多个角色,一个角色可以有多 ...
- 一.8.django权限管理/drf权限管理
1.什么是权限管理: .权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源 .权限管理好比如钥匙,有了钥匙就能把门打开,但是权限设置是有级别之分的,假如这个系 ...
- Django权限管理测试
测试内容:当我单击登录页面登录的时候页面会弹出当前用户的个人信息 当我点击提交的时候可以看到我当前用户的所有权限: 测试成功,接下来看一下后台的简单代码: class User(models.Mode ...
- django权限管理
当我们为应用创建一个Models, 在同步到数据库里,django默认给了三个权限 ,就是 add, change, delete权限. 首先,我们创建一个perm_test的project, 然后再 ...
- Django之权限管理
Django权限管理之初步完整版 项目背景:这是一个权限管理系统(给一些角色和他们的权限指URL和页面可以删除的按钮比如:增删改查) 使用到了中间件,和初始化权限,使用了admin的后台管理系统. 我 ...
- [Django]用户权限学习系列之权限管理界面实现
本系列前三章: http://www.cnblogs.com/CQ-LQJ/p/5604331.htmlPermission权限基本操作指令 http://www.cnblogs.com/CQ-LQJ ...
- [Django]用户权限学习系列之设计自有权限管理系统设计思路
若在阅读本片文章遇到权限操作问题,请查看本系列的前两章! http://www.cnblogs.com/CQ-LQJ/p/5609690.html和http://www.cnblogs.com/CQ- ...
随机推荐
- CentOS 7 Git安装
Git安装 yum -y install git 安装后,在srv目录下建立Git的目录. 初始化一个git空仓库 git init --bare project.git 增加用于访问git仓库的用户 ...
- Picard报错“MAPQ should be 0 for unmapped read”的解决方法
picard对bwa生成的sam文件进行reorder时,报错如下: Getting Help Exception in thread "main" htsjdk.samtools ...
- PHP 查看安装信息
1.运行PHP脚本,查看phpinfo函数的输出. 2.在系统环境变量Path中配好php.exe可执行文件的路径,命令管理器CMD中,执行`php.exe -i`查看. 3.在phpinfo()的输 ...
- DevExpress 隐藏Ribbon中barbuttonItem的SuperTip(1)
public frmMain() { InitializeComponent(); ribbonControl1.Manager.HighlightedLinkChanged += Manager_H ...
- MVC 导出Excel 的其中一方法(View导出excel)
场景:mvc下导出excel 思路:使用View导出excel 步骤: 1.导出标签添加事件 $("#export_A").click(function(){ //省略代码.... ...
- 转载:《.NET 编程结构》专题汇总(C#)
<.NET 编程结构>专题汇总(C#) - M守护神 - 博客园http://www.cnblogs.com/liusuqi/p/3213597.html 前言 掌握一门技术,首要 ...
- SortedList和HashTable
都是集合类,C#中同属命名空间System.Collections,“用于处理和表现类似keyvalue的键值对,其中key通常可用来快速查找,同时key是区分大小写:value用于存储对应于key的 ...
- centos安装tmux过程
原文:https://gist.github.com/rothgar/cecfbd74597cc35a6018 # Install tmux on Centos release 6.5 # insta ...
- 浅谈Yii-admin的权限控制
说到CMS,最需要有的东西就是权限控制,特别是一些复杂的场景,多用户,多角色,多部门,子父级查看等等.最近在开发一个线下销售的东东,这个系统分为管理员端,省代端,客户端,门店端,销售端, 部门端,部门 ...
- python windows时间同步工具
由于某种原因(BIOS电池没电),电脑的系统时间会与我们的北京时间不同步,将会导致如下问题: 1. 抢火车票的时候已经过时间了 2.别的同事都走了,你还以为没下班 …… 规避问题的方法:同步系统时间 ...