DRF从入门到精通九(权限控制)

最新推荐文章于 2024-07-02 00:50:11 发布
最新推荐文章于 2024-07-02 00:50:11 发布
阅读量1k 收藏 19
点赞数 22
分类专栏: DRF 文章标签: python django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/achen_m/article/details/135395064
版权

文章目录

一、权限控制模型

1) ACL(Access Control List,访问控制列表)

将用户或组等使用者直接与对象的权限对接。

互联网,对外项目
	-用户可以:
		user_id:1=[刷视频,评论,收藏,开直播]
		user_id:2=[刷视频]
	-,表示出权限
		用户表:
			id   name
			1    王叔
			2    李四
			3    张三
		权限表:
			id  user_id   permission_id
			1    1        1
			2    1        2
			3    1        3
			4    1        4
			5    2        1
		
		权限详情表:
			id  name        url      method
			1    刷视频      /video/     get
			2    评论        /commit/   post
			3    收藏        
			4    开直播
	
	-权限类:根据当前登录用户---》取出它所有权限,权限列表---》当前访问的比如是评论,如果有权限,返回True,没有权限,返回false

2) RBAC(Role-Based Access Control,基于角色的访问控制)

RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。

将用户与角色对接,然后角色与对象的权限对接。

	rbac权限控制:基于角色的访问控制 Role-Based Access Control
    	-公司内部项目
        -用户属于某个角色
        -角色跟权限有对应关系
        - 公司内有 财务   hr  开发 总裁
        	-财务:张三,李四  :发工资权限,扣工资权限
            -hr:  王铁锤,王五     :招员工,开除员工
            -开发:张二蛋,李小红: 看代码 开发代码,删除代码
            -总裁:lqz         :查看公司财报
        -rbac表设计
        	-用户表:用户和角色是    多对多
            -角色表(部门,组): 角色和权限  多对多
            -权限表:
            -用户和权限:多对多
            -总共6 张表,表示基于角色的访问控制:rbac+acl
            -django的后台管理就是基于rbac控制---》auth下有些表
                auth_user:# 用户表
                auth_group:# 组表(角色)
                auth_permission:# 权限表
                auth_group_permissions # 组和权限中间表
                auth_user_groups # 用户和组 中间表
                auth_user_user_permissions# 用户和权限多对多中间表
	        -演示rbac权限控制
            	-创建一个超级用户 root  123456 对网站有所有权限
                -创建一个用户[张三],创建一个组[测试组1],给测试组1加权限[book的增删查改]
                -张三登录,发现张三有 测试组1的所有权限
                -新增用户李四,没有任何组,登录后没有任何权限
                -把李四放到 测试组1 ,有测试组1的所有权限:查看图书,修改图书,删除图书
                
                -李四增加一个新增图书权限:
                	-新增图书权限 加入到 测试组1  张三也有这个权限,不好
                    -单独给李四增加一个 新增图书权限

应用

	RBAC - Role-Based Access Control
	Django的 Auth组件 采用的认证规则就是RBAC
	
	1)像专门做人员权限管理的系统(CRM系统)都是公司内部使用,所以数据量都在10w一下,一般效率要求也不是很高
	2)用户量极大的常规项目,会分两种用户:前台用户(三大认证) 和 后台用户(BRAC来管理)
	结论:没有特殊要求的Django项目可以直接采用Auth组件的权限六表,不需要自定义六个表,也不需要断开表关系,单可能需要自定义User表

前后台权限控制

	1)后台用户对各表操作,是后台项目完成的,我们可以直接借助admin后台项目(Django自带的)
	2)后期也可以用xadmin框架来做后台用户权限管理
	
	3)前台用户的权限管理如何处理
	  定义了一堆数据接口的视图类,不同的登录用户是否能访问这些视图类,能就代表有权限,不能就代表无权限
	  前台用户权限用drf框架的 三大认证

实操

models.py

	class UserInfo(models.Model):
	    username = models.CharField(max_length=32)
	    password = models.CharField(max_length=32)
	    age = models.IntegerField(null=True)
	    gender = models.IntegerField(default=1, choices=((1, '男'), (2, '女'), (3, '未知')))


	class Book(models.Model):
	    name = models.CharField(max_length=32)
	    price = models.IntegerField()

	'迁移成功后,创建一个超级用户:createsuperuser'

admin.py

	from . import models
	admin.site.register(models.Book)

这样就可以操作后台管理系统了

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

3) ABAC(Attribute-Based Access Control,基于属性的访问控制)

ABAC(Attribute-Based Access Control,基于属性的访问控制),又称为PBAC(Policy-Based Access Control,基于策略的访问控制),CBAC(Claims-Based Access Control,基于声明的访问控制)。

传统的ACL、RBAC的架构是{subject,action,object},而ABAC的架构是{subject,action,object,contextual}且为他们添加了parameter(参数)。

  • subject属性:比如用户的年龄、部门、角色、威望、积分等主题属性。
  • action属性:比如查看、读取、编辑、删除等行为属性。
  • object属性:比如银行账户、文章、评论等对象或资源属性。
  • contextual属性:比如时段、IP位置、天气等环境属性
0Jchen
关注
  • 22
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DjangoRestFrameWork从入门到精通源码分析.docx
03-08
DjangoRestFrameWork从入门到精通源码分析 DjangoRestFrameWork是一个基于Django框架的RESTful API框架,它提供了一整套的工具和组件来帮助开发者快速构建RESTful API。下面是对DjangoRestFrameWork的详细知识点...
学习DRF
02-25
接着在Django项目的settings.py中配置DRF,包括添加'rest_framework'到INSTALLED_APPS列表,设置默认的解析器和序列化器等。 3. **序列化** 序列化是将Python对象转换为JSON或其他可传输格式的过程,DRF提供了强大...
DRF从入门到精通一(DRF介绍、API接口、接口测试工具、Restful规范、序列化反序列化、基于drf、原生编写接口,APIView源码分析)
Mchen的博客
12-15 1280
大体流程就是:前端在编写完静态页面之后,需要发送给后端人员做二次处理,所有的html代码和数据在服务器拼接好,等前后端处理好模版之后在做整合,然后一次性将所有内容发送到客户端,浏览器执行代码,将内容呈现给客户。,后端人员向前端开放数据接口(路由),视图层不在直接返回给浏览器了,而是与前端做起了数据交互,实际上返回界面的还是前端,前端工作人员调用接口获取数据,从而将数据显示到页面。主要功能是发送http请求。Apifox也是一款接口调试工具,也是免费的可视化软件,相较而言我觉得是比Postman更好用一下。
Drf从入门到精通六(DRF三大认证认证权限频率、自动生成路由、认证权限频率源码分析)
主要发布一些日常学习代码及理解
10-08 447
详细介绍了Drf从入门到精通六(DRF三大认证认证权限频率、自动生成路由、认证权限频率源码分析)
DRF官方教程....
05-16
DRF官方教程
DRF教程
qq_61673686的博客
04-27 1156
本文简单介绍了一些drf的最常见的用法
Django REST framework入门 (转自中文文档)
weixin_30952535的博客
08-21 333
快速入门 我们将创建一个简单的允许管理员用户查看和编辑系统中的用户和组的API。 项目设置 创建一个名为tutorial的新django项目,然后启动一个名为quickstart的新app。 # 创建项目目录 mkdir tutorial cd tutorial # 创建一个virtualenv来隔离我们本地的包依赖关系 virtualenv env sou...
挑战全网最全之django REST framework(DRF)教程
热门推荐
Timmy的博客
04-26 3万+
一、认识DRF 1、restful简介 在前后端分离的应用模式中,我们通常将后端开发的每个视图都称为一个接口,或者API,前端通过访问接口来对数据进行增删改查。 restful是一种后端API接口规范 1.1 http动词 对于资源的具体操作类型,由HTTP动词表示。 常用的HTTP动词有下面四个(括号里是对应的SQL命令): GET(SELECT):从服务器取出资源(一项或多项)。 POST(CREATE):在服务器新建一个资源。 PUT(UPDATE):在服务器更新资源(客户端提供改变后的完整资源)。
Python DRF(Django REST Framework)教程:序列化及Restful API基础知识
学亮编程手记
10-05 174
REST是REpresentational State Transfer三个单词的缩写,由Roy Fielding于2000年论文中提出。简单来说,就是用URI表示资源,用HTTP方法(GET, POST, PUT, DELETE)表征对这些资源进行增删查改的操作。而如果你自己开发的API被称为RESTful API,就需要遵循其规定的约束。网上有很多文章对RESTful API规范做了详细介绍, 比如阮一峰的博客和简书, 我们这里只摘取总结部分精华内容,因为我们后面会用到。
基于Django3.2.6与DRF3.x的迷你RBAC权限管理服务器源码
03-25
项目概述:迷你RBAC权限管理服务器是基于Django 3.2.6与...本项目名为"mini-rbac",旨在提供轻量级的角色基础访问控制服务,方便进行权限管理和资源保护,适用于需要在DjangoDRF框架下快速实现权限控制的中小型项目。
DRF框架讲解(深入DRF机制和原理)
11-22
这是一份最真的教程:深入DRF机制和原理,对关系字段的序列化和编写视图的方式进行重点讲解,不泛泛而谈。 这是一份深入源码的教程:深入剖析大量源码,逐行讲解,
python drf基础资料
09-14
本文将深入探讨DRF的基础知识,包括安装、设置、序列化、路由、视图、权限和认证等方面。 1. **安装与设置** 安装DRF非常简单,只需在你的项目环境中使用pip: ``` pip install djangorestframework ``` 在你...
Python编程实战课程:从小白到熟练掌握技能 五阶段 DRF框架第9天
03-25
DRFDjango Rest Framework)是一个基于Django的API开发框架,它...身份验证和权限设置:可以使用DRF内置的身份验证和权限类或自定义自己的身份验证和权限类。 设置渲染器(renderer):渲染器用于确定API响应数据的格
DRF教程3-类视图
weixin_33695450的博客
03-19 80
Rewriting our API using class-based views 使用类视图重写root views,只需要一点点重构。 from django.http import Http404 from rest_framework.views import APIView from rest_framework.response import Response from ...
Drf从入门到精通一(API接口、Postman、Restful规范、序列化、快速使用drf、CBV源码分析)
主要发布一些日常学习代码及理解
09-24 2118
详细介绍了Drf从入门到精通一(API接口、Postman、Restful规范、序列化、快速使用drf、CBV源码分析)
drf项目教程:一、准备阶段 【薛定谔的笔记】
m0_47812755的博客
02-03 411
目录创建项目创建git仓库创建项目修改配置前端安装live-server 创建项目 创建git仓库 项目开始阶段,先在github创建一个仓库。把仓库克隆到本地。 创建项目 django-admin startproject mysite 修改配置 本地配置和部署上线时的配置不会完全一样,为了方便后期调试,先创建两个settings文件。 默认配置均在 settings.py 文件中修改和配置。不同项的配置如DATABASES和DEBUG配置,分别在 settings_dev.py 和 settings
DRF教程8-过滤
weixin_33782386的博客
05-13 113
在写后端api时,经常需要使用各种过滤条件,可以使用Q对查询集进行过滤,这里介绍一个新玩意儿 以下是基础文档 https://django-filter.readthedocs.io/en/master/index.html 以django自带的用户类为例 serializers.py from rest_framework import serializers clas...
DRF教程6-分页
weixin_34336292的博客
03-28 141
rest框架提供自定义分页样式,让你修改再每个页面上显示多少条数据, pagination API 可以:   分页链接作为响应内容的一部分   分页链接包含在响应头里,比如Content-RangeorLink 内建的样式都使用作为响应内容的链接,使用可访问的API时这种样式更便于访问。 设置分页样式 使用DEFAULT_PAGINATION_CLASSandPAGE_SIZ...
10.javaSE基础_JDBC编译程序(Driver+Statement+Connection+mysql数据库连接)
最新发布
m0_61086522的博客
07-02 1199
JDBC是的缩写。它是Sun的Javasoft公司制定的Java数据库连接技术,是一套标准接口java.sql包中提供了JDBC API,通过它连接到各种数据库系统,编写访问数据库的程序。JDBC API不能直接访问数据库,它依赖于数据库厂商提供的JDBC Driver(JDBC驱动程序)
django drf 权限控制
05-30
Django REST framework (DRF) 提供了一些内置的权限类,可以用于控制 API 的访问权限。以下是一些常用的权限类: 1. `AllowAny`:允许所有用户访问 API。 2. `IsAuthenticated`:只有认证用户才能访问 API。 3. `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值