Django默认提供了权限控制,但只能对使用了其自带的登录认证的用户进行权限控制,说白了就是只能对存储在auth_user表中的用户进行权限控制,但不能对未登录过的用户进行权限控制。但如果通过集成LDAP认证后的用户,其用户也会被缓存到该表中,即变相实现了AD用户也能进行权限控制。

  权限是auth 应用中定义的Permission类型;User与Permission是many-to-many的关系。

  Django对于每个模型类,自动增加add、change、delete三种权限,以便于权限控制。当然你也可以设定自己的权限。比如有一个名为hv的model,则该model就有了add、change和delete三种权限,可以在admin后台查看,如下图所示:

  

  Django可以在view层面进行权限控制,即是否允许某个用户访问某个view,使用@permission_required修饰符实现。也可以通过request.user.has_perm() 来对add、change、delete三个动作分别进行权限控制。

  一、对某个view进行权限控制,使用@permission_required()修饰符:

  如果当前用户没有aptest.change_hv权限,则无法访问add页面,登录后依然还会继续跳回登录页面。

from django.contrib.auth.decorators import login_required,permission_required #导入权限控制模块

@permission_required('aptest.change_hv',login_url="/aptest/loginauth") #第一个参数表示所需要的权限(权限名称通过user.get_all_permissions()方法查看),第二个参数定义需要登录到的url,默认为account/login。

def add(request):

    ......

    ......

  查看某个用户当前权限列表:

from django.contrib.auth.models import User

user = User.objects.get(username=request.user.username)

print user.get_all_permissions() #查看当前用户所具有的权限列表,返回值是permission name的list

#print user.get_group_permissions()方法列出用户所属group的权限

  返回如下,permission name list:

  

  二、对add、change、delete三个动作分别进行权限控制(比如用户登录一个页面后,可以查看页面内容,但不能进行增、删、改动作):

  实例:用户登录后,判断是否具有add权限,如果没有则不能新增条目,实现如下:

  

  编辑view视图,内容如下:

@login_required(login_url="/aptest/loginauth") #不需要再使用permission_required()装饰器

def add(request):

    hvs = hv.objects.all()

    user = User.objects.get(username=request.user.username)

    print 'add page: ',user.get_all_permissions()if request.method == 'POST':

        form = hvform(request.POST)

        if form.is_valid(): #判断输入数据是否合法

            #print form.cleaned_data['name'],form.cleaned_data['ip']

            fc = form.cleaned_data

            if request.user.has_perm('aptest.add_hv'): #检查用户是否具有add权限,如果没有则不能保存新增内容

                form.save()

            else:

                err.append(str(request.user.username) + 'doesnot has add permission.')

        else:

            err.append(form.errors) #输出错误信息

    else:

        form = hvform()

    ls = range(10)

    context={'hour_offset':hour_offset,'ls':ls,'err':err,'hvs':hvs}

    return render(request,'aptest/form.html',context)

修改hv model中的一条记录

from django.shortcuts import get_object_or_404
try:

            item = get_object_or_404(hv,name=name)

            form=hvform(request.POST,instance=item)

            if form.is_valid(): #判断输入数据是否合法。如果先用form=hvform(request.POST)去检查数据是否合法,此处由于name是主键,则会报错,提示该name已存在。

                if request.user.has_perm('aptest.change_hv'): #检查用户是否具有change权限,如果没有则不能进行修改

                    form.save()

                else:

                    err.append(str(request.user.username) + 'doesnot has change permission.')

            else:

                err.append(form.errors.values()[0][0]) #输出错误信息,最好是自定义错误信息,此处输出中文乱码

        except Exception:

            err...

删除form中一条记录,直接item.delete()即可。

 User和Group对象Permission管理:

user.user_permissions = [permission_list]
user.user_permissions.add(permission, permission, ...) #增加权限
user.user_permissions.remove(permission, permission, ...) #删除权限
user.user_permissions.clear() #清空权限

group permission管理逻辑与user permission管理一致,group中使用permissions字段做权限管理:

group.permissions = [permission_list]
group.permissions.add(permission, permission, ...)
group.permissions.remove(permission, permission, ...)
group.permissions.clear()

检查User或group权限用has_perm()方法:
user.has_perm('appname.add_modelname')
has_perm()方法的参数,即permission的codename,但传递参数时需要加上model 所属app的前缀,格式为<app label>.<permission codename>。

user.get_all_permissions()方法列出用户的所有权限,返回值是permission name的list
user.get_group_permissions()方法列出用户所属group的权限,返回值是permission name的list

检查用户所属组:
dir(request.user.groups)

request.user.groups.values() #返回用户所属组
[x['name'] for x in request.user.groups.values()] #返回用户所属组

示例:给当前用户添加hv model的change权限

可以在django_content_type和auth_permission表中查看ContentType、permission中的content_type、codename名称

from django.contrib.auth.models import Permission

from django.contrib.contenttypes.models import ContentType

#给当前用户添加hv model的change权限

    user = User.objects.get(username=request.user.username)

    content_type = ContentType.objects.get_for_model(hv)

    permission = Permission.objects.get(content_type=content_type, codename='change_hv')

    request.user.user_permissions.add(permission)

    #request.user.user_permissions.remove(permission)

    #删除当前用户缓存的权限

    if hasattr(user, '_perm_cache'):

        delattr(user, '_perm_cache')

    print ,request.user,user.get_all_permissions()

#################################################################################

   Django-guardian基于django的原生逻辑扩展了django的权限机制,应用django-guardian后,可使用django-guardian提供的方法以及django的原生方法检查全局权限,django-guardian提供的object permission机制使django的权限机制更完善。具体参考:http://www.jianshu.com/p/01126437e8a4
 

 还可以通过如下方法限制用户是否可以访问view(http://www.jb51.net/article/69893.htm):

例如,下面视图确认用户登录并是否有 polls.can_vote权限:

1
2
3
4
5
def vote(request):
 if request.user.is_authenticated() and request.user.has_perm('polls.can_vote')):
  # vote here
 else:
  return HttpResponse("You can't vote in this poll.")

并且Django有一个称为 user_passes_test 的简洁方式。它接受参数然后为你指定的情况生成装饰器。

1
2
3
4
5
6
7
def user_can_vote(user):
 return user.is_authenticated() and user.has_perm("polls.can_vote")
 
@user_passes_test(user_can_vote, login_url="/login/")
def vote(request):
 # Code here can assume a logged-in user with the correct permission.
 ...

user_passes_test 使用一个必需的参数: 一个可调用的方法,当存在 User 对象并当此用户允许查看该页面时返回 True 。 注意 user_passes_test 不会自动检查 User是否认证,你应该自己做这件事。

django中的权限控制(form增删改)的更多相关文章

  1. Django中对单表的增删改查

    之前的简单预习,重点在后面 方式一: # create方法的返回值book_obj就是插入book表中的python葵花宝典这本书籍纪录对象   book_obj=Book.objects.creat ...

  2. Django中ORM对数据库的增删改查操作

         前言 什么是ORM?  ORM(对象关系映射)指用面向对象的方法处理数据库中的创建表以及数据的增删改查等操作. 简而言之,就是将数据库的一张表当作一个类,数据库中的每一条记录当作一个对象.在 ...

  3. Django中ORM对数据库的增删改查

    Django中ORM对数据库数据的增删改查 模板语言 {% for line in press %} {% line.name %} {% endfor %} {% if 条件 %}{% else % ...

  4. Django中用户权限模块

    Django中用户权限模块 1 auth模块 auth模块是Django提供的标准权限管理系统,可以提供用户身份认证, 用户组和权限管理. auth可以和admin模块配合使用, 快速建立网站的管理系 ...

  5. <实训|第九天>掌握linux中普通的权限控制和三种特殊的权限(sst),做合格的运维工程师

    linux中,权限的学习是必不可少的,不论是作为一名运维工程师或者是单一的管理者,学习好linux中的权限控制,你就可以保护好自己的隐私同时规划好你所管理的一切. 权限的学习是很多的,不要认为自己已经 ...

  6. C++ 中的权限控制

    权限控制,指的是用户只能访问符合自己权限的资源,系统对用户进行权限控制以防止用户的误操作/恶意操作等. 在C++代码中,权限控制指的是程序员在接口声明/类声明/函数声明等中进行的授权控制.如下面的代码 ...

  7. JS中对数组元素进行增删改移

    在js中对数组元素进行增删改移,简单总结了一下方法: 方法 说明 实例 push( ); 在原来数组中的元素最后面添加元素 arr.push("再见58"); unshift( ) ...

  8. kibana的Dev Tool中如何对es进行增删改查

    kinaba Dev Tool中对es(elasticSearch)进行增删改查 一.查询操作 查询语句基本语法 以下语句类似于mysql的: select * from  xxx.yyy.topic ...

  9. Django学习笔记--数据库中的单表操作----增删改查

    1.Django数据库中的增删改查 1.添加表和字段 # 创建的表的名字为app的名称拼接类名 class User(models.Model): # id字段 自增 是主键 id = models. ...

随机推荐

  1. CSS控制字体在一行内显示不换行

    当一行文字超过DIV或者Table的宽度的时候,浏览器中默认是让它换行显示的,如果不想让他换行要怎么办呢?用CSS让文字在一行内显示不换行的方法: 一般的文字截断(适用于内联与块): .text-ov ...

  2. solr 7.6 安装部署与遇到的问题

    目录 安装 solr 配置solr 到tomcat(关键) 配置依赖包 创建tomcat solr 的 classes 文件 创建 solr 的core 的主目录(也就是存放core的位置) 修改配置 ...

  3. 在Struts2标签s:textfield中显示正确的日期

    Java代码   struts2中的日期期输入显示问题   struts2 中的默认的日期输出并不符合我们的中文日常习惯.以下是我知道的在struts2中进行日期格式化输出的几种方式. 1.利用 &l ...

  4. 什么是汉明窗?加Hanmming窗的作用?

    什么是汉明窗?加Hanmming窗的作用? 1.什么是汉明窗? 答:我是做语音识别的,我就从语音的角度跟你说一下吧. 语音信号一般在10ms到30ms之间,我们可以把它看成是平稳的.为了处理语音信号, ...

  5. 以中间件,路由,跨进程事件的姿势使用WebSocket--Node.js篇

    上一篇文章介绍了在浏览器端以中间件,路由,跨进程事件的姿势使用原生WebSocket.这篇文章将介绍如何使用Node.js以相同的编程模式来实现WebSocket服务端. Node.js中比较流行的两 ...

  6. JSONArray排序[收藏]

    问题 JSONArray中嵌套JSONObject, 对JSONArray进行排序 排序前: [{"id":1,"name":"ljw"}, ...

  7. 线程池ThreadPoolExecutor使用原理

    本文来源于翁舒航的博客,点击即可跳转原文观看!!!(被转载或者拷贝走的内容可能缺失图片.视频等原文的内容) 若网站将链接屏蔽,可直接拷贝原文链接到地址栏跳转观看,原文链接:https://www.cn ...

  8. 高并发第十三弹:J.U.C 队列 SynchronousQueue.ArrayBlockingQueue.LinkedBlockingQueue.LinkedTransferQueue

    因为下一节会说线程池,要用线程池 那么线程池有个很重要的参数 就是Queue的选择 常用的队列其实就两种: 先进先出(FIFO):先插入的队列的元素也最先出队列,类似于排队的功能.从某种程度上来说这种 ...

  9. 【学习笔记】--- 老男孩学Python,day13 生成器,生成器函数,各种推倒式和生成器表达式

    1. 生成器和生成器函数 生成器的本质就是迭代器 生成器的三种创建办法: 1.通过生成器函数 2.通过生成器表达式创建生成器 3.通过数据转换   2. 生成器函数: 函数中包含了yield的就是生成 ...

  10. YII 用gii生成modules模块下的mvc

    1.生成model ModelPath设置为: application.modules.[moduleName].models 2.生成CURD ModelClass设置为: application. ...