django权限管理

最新推荐文章于 2024-05-15 12:23:38 发布
最新推荐文章于 2024-05-15 12:23:38 发布
阅读量1.2k 收藏 8
点赞数 1
分类专栏: django 后端开发

前言

本文为大家讲解 Django 框架里自带的权限模型,从理论到实战演练,带领大家了解 Django 里权限是怎么一回事。

主要内容

什么是权限管理?

Web 权限

Django 权限机制

Django 的权限项

权限应用

  • Permission(一)
  • Permission(二)
  • User Permission 管理(一)
  • User Permission 管理(二)
  • Group Permission 管理
  • 权限验证(一)
  • 权限验证(二)
  • 权限验证(三)
  • 权限验证(四)

什么是权限管理

  • 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源
  • 权限管理好比如钥匙,有了钥匙就能把门打开,但是权限设置是有级别之分的,假如这个系统有多个权限级别就如一间屋有多个门,想要把所有门都打开您必须要取得所有的钥匙,就如系统一样。

Web 权限

在 Web 里权限管理是 Web 应用项目中比较关键的环节,因为浏览器是每一台计算机都已具备的,如果不建立权限管理系统,那么一个“非法用户”可以轻而易举通过浏览器访问Web应用项目中的所有功能。因此需要权限管理系统进行权限检测,让经过授权的用户可以正常合法的使用已授权的功能,而对那些未授权的非法用户拒之门外。 一个好的权限管理系统应该对每一类或每一个用户,分配不同的系统操作权限,并应具有扩展性,也就是它可以加入到任何一个带有权限管理的 Web 应用项目中,就像构件一样可以被重复使用。 同时,还要提醒开发者,开发一个 Web 应用项目时,应尽可能的将整个系统细化,分解为若干个子模块,最后组合成一个完整的应用。也只有这样,才容易实现为每一类或每一个用户分配不同的操作权限。

Django 权限机制

  • Django 权限机制能够约束用户行为,控制页面的显示内容,也能使 API 更加安全和灵活;用好权限机制,能让系统更加强大和健壮
  • Django 用 user, group 和 permission 完成了权限机制,这个权限机制是将属于 model 的某个 permission 赋予 user 或 group,可以理解为全局的权限,即如果用户A对数据模型(model)B 有可写权限,那么 A 能修改model B 的所有实例(objects)。group 的权限也是如此,如果为 group C 赋予 model B 的可写权限,则隶属于 group C 的所有用户,都可以修改model B 的所有实例。

Django 的权限项

  • Django 用 permission 对象存储权限项,每个model默认都有三个permission,即 add model, change model 和 delete model
  • permission 总是与 model 对应的,如果一个 object 不是 model 的实例,我们无法为它创建/分配权限

权限应用

  1. Permission
  1. User Permission
  2. Group Permission
  3. 权限检查
◆ Permission(一)

Django 定义每个 model 后,默认都会添加该 model 的 add, change 和 delete三个 permission,自定义的 permission 可以在我们定义 model 时手动添加

1
2
3
4
5
6
7
class Server ( models . Model ) :
     . . .     
     class Meta :         
         permissions = (             
             ( "view_server" , "can view server" ) ,             
             ( "change_server_status" , "Can change the status of server" ) ,         
         )

◆ Permission(二)
  • 每个 permission 都是 django.contrib.auth.Permission 类型的实例,该类型包含三个字段 name, codename 和 content_type,
  • content_type 反应了 permission 属于哪个 model,
  • codename 如上面的 view_server,代码逻辑中检查权限时要用,
  • name 是 permission 的描述,将 permission 打印到屏幕或页面时默认显示的就是 name
◆ User Permission管理(一)

User 对象的 user_permission 字段管理用户的权限 
user = User.objects.get(username=”rock”) 
user.user_permissions = [permission_list] 
user.user_permissions.add(permission, permission, …) #增加权限 
user.user_permissions.remove(permission, permission, …) #删除权限 
user.user_permissions.clear() #清空权限 
# 注:上面的 permission 为 django.contrib.auth.Permission 类型的实例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# 示例演示:
In [ 3 ] : from django . contrib . auth . models import User      #导入用户模块
In [ 6 ] : user = User . objects . get ( username = "nick" )      #获取用户对象
In [ 7 ] : user . user_permissions . all ( )                          # 查看用户权限
Out [ 7 ] : [ ]
In [ 8 ] : from django . contrib . auth . models import Permission      #导入权限模块
In [ 10 ] : Permission . objects . get ( pk = 43 )                          #获取权限信息
Out [ 10 ] : < Permission : dashboard | server | 访问服务器信息 >
In [ 11 ] : Permission . objects . filter ( pk = 43 )                          #获取权限信息(以列表形式输出)
Out [ 11 ] : [ < Permission : dashboard | server | 访问服务器信息 > ]
In [ 12 ] : user . user_permissions = Permission . objects . filter ( pk = 43 )        #赋予用户权限(赋予权限不需要保存)
In [ 13 ] : user . user_permissions . all ( )                          #查看用户当前权限
Out [ 13 ] : [ < Permission : dashboard | server | 访问服务器信息 > ]
In [ 18 ] : user . user_permissions . add ( Permission . objects . get ( pk = 43 ) )              #add添加权限(必须是一个Permission实例,否则报错)
In [ 40 ] : user . user_permissions . all ( )
Out [ 40 ] : [ < Permission : dashboard | department | Can change department > , < Permission : dashboard | server | 访问服务器信息 > ]
In [ 41 ] : user . user_permissions . remove ( Permission . objects . get ( pk = 43 ) )        #remove移除权限(必须是一个Permission实例,否则报错)
In [ 42 ] : user . user_permissions . all ( )
Out [ 42 ] : [ < Permission : dashboard | department | Can change department > ]

◆ User Permission 管理(二)

  • 检查用户权限用 has_perm() 方法:

1
myuser . has_perm (dashboard . view _server' )

has_perm() 方法的参数,即 permission 的 codename,但传递参数时需要加上  model 所属 app 的前缀,无论 permission 赋予 user 还是 group,has_perm()方法均适用

  • 列出用户的所有权限

1
user . get_all_permissions ( )

  • 列出用户所属group的权限

1
user . get_group_permissions ( )

◆ Group Permission 管理

group permission 管理逻辑与 user permission 管理一致,group 中使用permissions 字段做权限管理:  
group.permissions = [permission_list] 
group.permissions.add(permission, permission, …) 
group.permissions.remove(permission, permission, …) 
group.permissions.clear()

◆ 权限验证(一)
  • 在视图中验证权限—— permission_required
  • 当业务逻辑中涉及到权限检查时,decorator 能够分离权限验证和核心的业务逻辑,使代码更简洁,逻辑更清晰。permission 的 decorator 为permission_required

1
2
3
4
from django . contrib . auth . decorators import permission _required
@ permission_required (dashboard . view _server' )
def my_view ( request ) :
     . . .

◆ 权限验证(二)

在类视图中验证

1
2
3
4
5
6
7
from django . utils . decorators import method_decorator
from django . contrib . auth . decorators import login_required , permission_required
class ServerView ( TemplateView ) :
     @ method_decorator ( login_required )
     @ method_decorator ( permission_required (dashboard . view _server” )
     def get ( self , request , * args , * * kwargs ) :
   ……

◆ 权限验证(三)

views 中验证

1
2
if not request . user . has_perm (dashboard . view _server ')
    return HttpResponse(' Forbidden' )

◆ 权限验证(四)

Template 中的权限检查

1
2
3
{ % if perms . dashboard . view_server % }     
    有权限
{ % endif % }


heylucky
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django学生信息管理系统
03-11
随着需求的增加,你可以扩展系统,例如添加搜索、分页、过滤、编辑和删除功能,以及用户认证和权限管理等。这只是一个开始,Django的强大之处在于其丰富的功能和灵活性,能够支持复杂的Web应用程序开发。
django自带的权限管理Permission用法说明
09-16
Django 是一个流行的 Python web 开发框架,它提供了强大的权限管理系统,使得开发者可以方便地控制用户对特定资源的访问权限。在 Django 中,权限管理主要依赖于 `Permission` 模型,该模型存储在 `auth_permission...
Django权限管理系统设计分析_django的权限设计(1)
2401_84138803的博客
05-15 290
利用Django的中间件进行控制,没有登录的用户不能直接访问内部的url,而且只能访问admin,login,index这三个url,将其设置为白名单,用户登录成功后,将用户信息方法哦session里边,进行权限访问时去session里边读取,如果有的话进行url跳转,如果没有的话返回‘’无权访问‘’这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
19. django权限管理(了解)
细致-专业-实操
04-12 1509
mysql> select * from auth_permission; +----+---------------------------+-----------------+----------------------+ | id | name | content_type_id | codename | +----+---------------------------+-----------------+----------.
Django 权限管理和guardian插件
mihaoyun.com的专栏
06-16 2166
是一个类,包含权限管理的功能,其中Mixin(混入)代表这个类不能单独作为ModelAdmin类使用,需要与其他的ModelAdmin类共同作为子类的父类,新的子类即可既有ModelAdmin的功能也有Guardian权限管理的功能。用超级管理员账户,打开某位教师的信息详情页,在右上角出现的“对象权限”按钮,就是我们配置的guardian插件体现的效果。用户身份写入管理员的名字,点击管理用户,便可设置此管理员针对此对象的权限设置,共有增删改查四种设置。三个属性设为True,在管理界面的。
Django设置权限管理
gongzairen的博客
07-20 4667
django实现不同用户访问不同的网页,只有拥有特定权限的用户才能访问对应的网页
Django权限管理系统设计分析
python学习者的博客
07-14 2167
权限管理顾名思义,其实就是角色控制权限的系统,每个用户对应一个角色,每个角色有对应的权限,比如公司会有CEO,总监,销售经理,销售员,每个人的权限都不一样,那我们给他展示的url也都不同 一、首先创建项目,再创建一个名为rbac的app   修改配置文件settings,将css以及js、img等放到static文件夹下 二、表结构设计 设计表:   创建五个类,七张表:   菜...
基于django实现RBAC权限管理
Timmy的博客
04-09 594
思路:自己写一个权限类集成PermissionRequiredMixin,然后根据请求的方法和用户的权限做比较。例如 用户发送POST ,就判断用户是否对该对象有add 的权限。背景:网上看了一些django rbac的实现文章,感觉弄得比较麻烦。没有django自带的那套权限管理利用起来。所以就自己写了一套。优势:可以基于django用户管理快速实现rbac。缺点:颗粒度不够,无法限制到单个对象。
django实现rbac权限管理系统
热门推荐
不会写后端的前端不是一个好运维。
02-13 1万+
django实现rbac权限管理系统
Django权限管理系统设计分析_django的权限设计
2401_84138835的博客
05-15 413
🍅 硬核资料:关注即可领取PPT模板、简历模板、行业经典书籍PDF。🍅 技术互助:技术群大佬指点迷津,你的问题可能不是问题,求资源在群里喊一声。🍅 面试题库:由技术群里的小伙伴们共同投稿,热乎的大厂面试真题,持续更新中。🍅 知识体系:含编程语言、算法、大数据生态圈组件(Mysql、Hive、Spark、Flink)、数据仓库、Python、前端等等。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化学习资料的朋友,可以戳这里获取。
Django 用户权限
XWenXiang的博客
06-03 6226
用户权限,指的是一个帐户登录后,有些功能可以使用,有些功能无法使用,这就是管理员对其设置的权限,只有附合权限的人才可以使用对应的功能。权限就是权利的限制范围。比较常见的是VIP用户和非VIP用户之间的权限差距。用户的权限其实也可以理解为用户对路由访问的权限。我们设定一个用户不能访问某一个路由就相当于限制了用户的权限。那么如何限制用户访问路由,可以创建一个用户可以访问的路由表,查看用户请求的路由是否在该列表内即可。由于用户的数量很多,不能直接将用户和路由对应,可以创建一张用户身份表,表示某一个用户能访问的路由
Django RBAC权限管理设计过程详解
09-18
主要介绍了Django RBAC权限管理设计过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Python+Django图书管理
09-13
【Python+Django图书管理】项目是一个初学者的实践练习,旨在通过Python的Django框架构建一个简单的图书管理系统。这个系统可能包含一个基础的前端界面和一个后端服务,前端部分可能较为简单,而后端则提供了图书...
Django商品管理系统
06-14
8. **用户认证和权限**:Django内置了强大的用户认证系统,支持用户注册、登录、权限管理等功能。商品管理系统可以利用这些功能来实现如用户评论、收藏商品、查看购买历史等。 9. **静态文件和媒体文件**:Django对...
毕设酒店管理系统论文视频源码集.zip
07-27
[毕设]酒店管理系统论文视频源码集" 是一个针对计算机科学或信息技术相关专业学生毕业设计项目的综合资源包。这个资源集包含了酒店管理系统开发所需的各个方面,旨在帮助学生从理论到实践全面理解和掌握酒店管理系统的开发流程和技术细节。 具体来说,这个资源集通常包括: 论文:详细阐述了酒店管理系统的背景、需求分析、系统设计、实现过程及测试验证等各个环节,为学生提供了系统的理论框架和思路指导。 视频教程:通过视频形式,直观地展示了酒店管理系统的开发过程,包括开发环境的搭建、代码编写、数据库设计、功能实现等步骤,便于学生理解和模仿。 源码:提供了酒店管理系统的完整源代码,包括前端界面、后端逻辑及数据库设计等部分,学生可以直接下载并运行,或者根据自己的需求进行修改和扩展。 综上所述,"毕设酒店管理系统论文视频源码集"是一个集论文指导、视频教学和源码实践于一体的综合性资源,对于想要进行酒店管理系统开发的学生来说,具有极高的参考价值和实用性。 参考4条信息源
Qt6.7.2+cmake构建eCAL+protobuf的Demo
最新发布
07-27
Qt6.7.2+cmake构建eCAL+protobuf的Demo。 1.send Demo 2.rec Demo
pillow-10.4.0-cp313-cp313-macosx_11_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
django用户权限管理
06-07
Django用户权限管理是指在Django Web应用程序中对用户进行身份验证和授权的过程。Django提供了完整的用户认证和权限管理系统,可以很方便地实现不同用户在应用程序中拥有不同的权限。 在Django中,用户身份验证和权限管理可以通过内置的auth模块来实现。auth模块提供了一组用于用户认证和授权的类和方法,包括User、Group、Permission等。 具体来说,Django中的用户权限管理可以实现以下功能: 1. 注册用户和登录认证 2. 用户密码重置 3. 用户组管理 4. 权限分配和管理 5. 权限验证和控制 6. 权限粒度控制
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值