基于Django实现RBAC权限管理

最新推荐文章于 2024-06-24 23:15:34 发布
最新推荐文章于 2024-06-24 23:15:34 发布
阅读量1.6w 收藏 97
点赞数 20
分类专栏: Django 文章标签: django RBAC 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ayhan_huang/article/details/78094570
版权
本文介绍了基于Django实现RBAC权限管理的方法,包括设计表关系、权限初始化和验证、菜单显示、自定义标签以及权限后台管理的详细步骤。通过用户、角色、权限和菜单的关联,实现权限控制,确保用户只能访问其角色允许的菜单和URL。
摘要由CSDN通过智能技术生成

概述

RBAC(Role-Based Access Control,基于角色的访问控制),通过角色绑定权限,然后给用户划分角色。在web应用中,可以将权限理解为url,一个权限对应一个url。

在实际应用中,url是依附在菜单下的,比如一个简单的生产企业管理系统,菜单可以大致分为以下几块:制造、资材、生产管理、人事、财务等等。每个菜单下又可以有子菜单,但最终都会指向一个url,点击这个url,通过Django路由系统执行一个视图函数,来完成某种操作。这里,制造部的员工登录系统后,肯定不能点击财务下的菜单,甚至都不会显示财务的菜单。

设计表关系

基于上述分析,在设计表关系时,起码要有4张表:用户,角色,权限,菜单:

  • 用户可以绑定多个角色,从而实现灵活的权限组合 :用户和角色,多对多关系
  • 每个角色下,绑定多个权限,一个权限也可以属于多个角色:角色和权限,多对多关系
  • 一个权限附属在一个菜单下,一个菜单下可以有多个权限:菜单和权限:多对一关系
  • 一个菜单下可能有多个子菜单,也可能有一个父菜单:菜单和菜单是自引用关系

其中角色和权限、用户和角色,是两个多对多关系,由Django自动生成另外两种关联表。因此一共会产生6张表,用来实现权限管理。

下面我们新建一个项目,并在项目下新建rbac应用,在该应用的models.py中来定义这几张表:

from django.db import models


class Menu(models.Model):
    """
    菜单
    """
    title = models.CharField(max_length=32, unique=True)
    parent = models.ForeignKey("Menu", null=True, blank=True) 
    # 定义菜单间的自引用关系
    # 权限url 在 菜单下;菜单可以有父级菜单;还要支持用户创建菜单,因此需要定义parent字段(parent_id)
    # blank=True 意味着在后台管理中填写可以为空,根菜单没有父级菜单

    def __str__(self):
        # 显示层级菜单
        title_list = [self.title]
        p = self.parent
        while p:
            title_list.insert(0, p.title)
            p = p.parent
        return '-'.join(title_list)


class Permission(models.Model):
    """
    权限
    """
    title = models.CharField(max_length=32, unique=True)
    url = models.CharField(max_length=128, unique=True)
    menu = models.ForeignKey("Menu", null=True, blank=True)

    def __str__(self):
        # 显示带菜单前缀的权限
        return '{menu}---{permission}'.format(menu=self.menu, permission=self.title)


class Role(models.Model):
    """
    角色:绑定权限
    """
    title = models.CharField(max_length=32, unique=True)

    permissions = models.ManyToManyField("Permission")
    # 定义角色和权限的多对多关系

    def __str__(self):
        return self.title


class UserInfo(models.Model):
    """
    用户:划分角色
    """
    username = models.CharField(max_length=32)
    password = models.CharField(max_length=64)
    nickname = models.CharField(max_length=32)
    email = models.EmailField()

    roles = models.ManyToManyField("Role")
    # 定义用户和角色的多对多关系

    def __str__(self):
        return self.nickname

权限的初始化和验证

我们知道Http是无状态协议,那么服务端如何判断用户是否具有哪些权限呢?通过session会话管理,将请求之间需要”记住“的信息保存在session中。用户登录成功后,可以从数据库中取出该用户角色下对应的权限信息,并将这些信息写入session中。

所以每次用户的Http request过来后,服务端尝试从request.session中取出权限信息,如果为空,说明用户未登录,重定向至登录页面。否则说明已经登录(即权限信息已经写入request.session中),将用户请求的url与其权限信息进行匹配,匹配成功则允许访问,否则拦截请求。

我们先来实现第一步:提取用户权限信息,并写入session

为了实现rabc功能可在任意项目中的可用,我们单独创建一个rbac应用,以后其它项目需要权限管理时,直接拿到过,稍作配置即可。在rbac应用下新建一个文件夹service,写一个脚本init_permission.py用来执行初始化权限的操作:用户登录后,取出其权限及所属菜单信息,写入session中

from ..models import UserInfo, Menu


def init_permission(request, user_obj):
    """
    初始化用户权限, 写入session
    :param request: 
    :param user_obj: 
    :return: 
    """
    permission_item_list = user_obj.roles.values('permissions__url',
                                                 'permissions__title',
                                                 'permissions__menu_id').distinct()
    permission_url_list = []  
    # 用户权限url列表,--> 用于中间件验证用户权限
    permission_menu_list = []  
    # 用户权限url所属菜单列表 [{"title":xxx, "url":xxx, "menu_id": xxx},{},]

    for item in permission_item_list:
        permission_url_list.append(item['permissions__url'])
        if item['permissions__menu_id']:
            temp = {
  "title": item['permissions__title'],
                    "url": item["permissions__url"],
                    "menu_id": item["permissions__menu_id"]}
            permission_menu_list.append(temp)

    menu_list = list(Menu.objects.values('id', 'title', 'parent_id'))
    # 注:session在存储时,会先对数据进行序列化,因此对于Queryset对象写入session,加list()转为可序列化对象

    from django.conf import settings
最低0.47元/天 解锁文章
Ayhan_huang
关注
  • 20
    点赞
  • 97
    收藏
    觉得还不错? 一键收藏
  • 15
    评论
专栏目录
Django实战【六】—权限管理系统rbac组件实现
饶一熊的博客
03-19 3273
一、权限管理rbac组件 1.权限管理组件的实现思路 表结构分析 rbac的意思之前我详细提过,就是基于角色的访问权限控制,其实说白了啊,就是针对不同的用户角色, 给他们分配了访问哪些url的权利,因为在实际工作场景中,不同分工的人之间的业务也应该是各自来展开的。 也就是说权限本质上是一个url访问路径,而在我们实现rbac组件中,权限是分配到对应的角色下,然后角色和用户之间又是一层多对多的关系。 有人会问,既然你是想要给用户分配不同的权限,那么为什么不直接单独给用户来分配权限,而是要通过角色表来呢?其实
基于djangoRBAC权限管理控制模块
02-22
**基于DjangoRBAC权限管理控制模块** 在Web开发中,权限管理是不可或缺的一部分,特别是在大型企业级应用中。Role-Based Access Control(RBAC)是一种广泛采用的权限管理模式,它将用户角色与权限绑定,通过角色...
十二、基于Django实现RBAC权限管理
weixin_30485799的博客
01-19 547
一、RBAC概述 RBAC(Role-Based Access Control,基于角色的访问控制),通过角色绑定权限,然后给用户划分角色。 从企业的角度来说,基本上是按照角色来划分职能。比如,CEO,具有公司全局的权限;部门经理,具有部门全局的权限;部门主管,具有部门部分的权限;普通员工,具有部门一小部分权限。 不同的角色,能够获取的资源是不一样的,所以RBAC就是按照这个思维为公司建设权...
基于djangoRBAC权限控制模块
07-05
这个是一个权限控制模块,使用python3写的,可以导入(permission)直接使用。写了一个中间件实现权限控制,可以在后台分配权限。具体使用方式看文件里的readme.md。
基于djangoRBAC权限
最新发布
m0_58310590的博客
06-24 1118
​ 基于角色的访问控制(RBAC)模型解决了许多与权限管理相关的问题,主要包括以下几个方面:简化权限管理RBAC模型通过将权限授予角色而不是直接授予用户,简化了权限管理的复杂性。管理员可以根据用户的职责和职位将其分配到适当的角色,而不必为每个用户单独配置权限。这样可以减少管理工作量,提高效率。降低错误和风险:RBAC模型减少了手动配置权限的错误风险。由于权限是基于角色进行管理,管理员只需要为角色定义适当的权限,而不必考虑每个用户的具体权限。这样可以减少配置错误和意外授权的可能性,提高系统的安全性。
基于django实现RBAC权限管理
Timmy的博客
04-09 600
思路:自己写一个权限类集成PermissionRequiredMixin,然后根据请求的方法和用户的权限做比较。例如 用户发送POST ,就判断用户是否对该对象有add 的权限。背景:网上看了一些django rbac实现文章,感觉弄得比较麻烦。没有django自带的那套权限管理利用起来。所以就自己写了一套。优势:可以基于django用户管理快速实现rbac。缺点:颗粒度不够,无法限制到单个对象。
Django-rbac权限
weixin_30823833的博客
06-22 258
1、注册应用rbac 2、设计表 权限表 角色表 用户表 不同角色有不同的权限,给每个用户分配不同的角色(一个用户可以有多个角色) 3、数据注入 将数据注入在rbac中封装成一个函数 4、权限认证是在中间件进行的 我们将中间件也写在组件内 在settings注册中间件: 5、settings中配置我们经常用到的变量 6、配置路由分发 6、...
django-rbac
石头
09-21 1768
django-rbac 0.9 Role-based Access Control (RBAC) implementation for management of permissions in Django Overview First of all, I woul
基于Django和Vue的RBAC权限控制后台管理系统源码
03-25
后端基于Python的Django框架和Django REST Framework实现,前端则使用Vue.js配合ElementUI进行构建。移动端支持通过uniapp和uView框架,能够灵活发布H5和微信小程序。 技术构成: - 主要编程语言:Python - 前端...
django_vue_rbac:基于Django,Vue的RBAC权限管理系统,可精确到按钮级权限,轻松添加业务页面
03-07
RBAC权限管理系统项目简介一个基于DjangoDjango REST框架(DRF),Vue的前布局分离的后台管理系统,可轻松添加业务页面及功能。系统预览特别鸣谢感谢提供的非商业开源软件开发授权感谢提供一级Django框架感谢提供...
基于Django3.2.6与DRF3.x的迷你RBAC权限管理服务器源码
03-25
项目概述:迷你RBAC权限管理服务器是基于Django 3.2.6与DRF 3.x构建的。该项目采用Python语言编写,包含49个文件,其中Python源文件占45个,另外还包括.gitignore、SQL脚本、Markdown文档及文本文件各一个。本项目名...
Django RBAC权限管理设计过程详解
09-18
主要介绍了Django RBAC权限管理设计过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
基于Django框架的权限组件rbac实例讲解
01-01
1.基于rbac权限管理 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间都是多对多的关系。 简单的模型图示如下: 2.Rbac组件的基本目录结构: 3.按照写的流程,来讲解rbac组件中的各个部分,以及功能, 3.1 models数据库表设计(models.py)。 为了在前端页面实现2方面的控制,还需要引入两个表菜单menu和分组group:1.在一个页面,当前用户的权限,例
基于DjangoRBAC组件(角色的访问控制)基础版(一)
Apy
12-17 2126
关于RBAC RBAC是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。 RBAC实际上也就是 Who 、What、How之间的关系,也就是Who对What进...
Django之权限RBAC
她°
05-25 813
一.RBAC概念 RBAC基于角色的权限访问控制(Role-Based Access Control) 在计算机系统安全中,基于角色的访问控制(RBAC)或基于角色的安全性是一种将系统访问限制在授权用户的方法。它被大多数员工超过500人的企业使用并且可以实现强制访问控制(MAC)或自由访问控制(DAC)。 基于角色的访问控制(RBAC)是围绕角色和权限定义的一种与策略无关的访问控制机制。RBAC的角色权限、用户角色和角色关系等组件使执行用户分配变得简单。NIST的一项研究表明,RBAC解决了商业和政府组织的
DjangoRBAC权限管理
热门推荐
ZPeng_Yan的博客
05-24 1万+
DjangoRBAC权限管理 动态菜单 基于角色分配(RBAC) Role Based Access Control 最基本基于角色分配表: 角色表 User 用户表 Role 用户分配角色 User2Role 许可表 Permission 操作表(增删改查) Action 权限表 Permission2Action 角色分配权限 Permis
DjangoRBAC权限管理 - 邱乘屹的个人技术博客
weixin_47074764的博客
05-21 213
DjangoRBAC权限管理 动态菜单 基于角色分配(RBAC) Role Based Access Control 最基本基于角色分配表: 角色表 User 用户表 Role 用户分配角色 User2Role 许可表 Permission 操作表(增删改查) Action 权限表 Permission2Action 角色分配权限 Permis
Django 基于RBAC的通用权限管理实现
weixin_47631745的博客
04-07 923
RBAC(Role-Based Access Control)是指基于角色的权限访问控制,是信息系统应用最广泛的权限控制方式。在RBAC中有3个要素:用户、角色、权限。
基于django实现rbac权限管理
04-07
RBAC(Role-Based Access Control)是一种基于角色的访问控制,它将权限授予角色,然后将角色授予用户。在Django中,可以使用django-guardian或django-rules等第三方库来实现RBAC权限管理,也可以自己编写代码实现。 下面是一个基于Django自己编写的简单RBAC权限管理系统的实现过程: 1. 定义权限模型 在Django中,可以通过定义模型来表示权限。例如,可以定义一个Permission模型,用来表示系统中的所有权限: ``` from django.db import models class Permission(models.Model): name = models.CharField(max_length=255, unique=True) codename = models.CharField(max_length=100, unique=True) ``` 其中name字段表示权限的名称,codename字段表示权限的代码名称。 2. 定义角色模型 同样地,可以定义一个Role模型,用来表示系统中的所有角色: ``` from django.db import models class Role(models.Model): name = models.CharField(max_length=255, unique=True) permissions = models.ManyToManyField('Permission') ``` 其中name字段表示角色的名称,permissions字段表示角色拥有的权限。 3. 定义用户模型 可以使用Django自带的User模型或者自己定义一个用户模型。在用户模型中,可以添加一个roles字段,用来表示用户所拥有的角色: ``` from django.contrib.auth.models import AbstractUser from django.db import models class User(AbstractUser): roles = models.ManyToManyField('Role') ``` 4. 编写权限检查装饰器 在Django中,可以使用装饰器来检查用户是否拥有某个权限。下面是一个简单的权限检查装饰器的实现: ``` from functools import wraps from django.http import HttpResponseForbidden def permission_required(perm): def decorator(view_func): @wraps(view_func) def _wrapped_view(request, *args, **kwargs): if not request.user.has_perm(perm): return HttpResponseForbidden() return view_func(request, *args, **kwargs) return _wrapped_view return decorator ``` 在上面的代码中,permission_required装饰器接受一个权限codename作为参数,返回一个装饰器函数。这个装饰器函数接受一个视图函数作为参数,返回一个新的视图函数。新的视图函数在执行前会检查用户是否拥有该权限,如果没有则返回403禁止访问状态码。 5. 在视图函数中使用权限检查装饰器 在需要进行权限检查的视图函数上加上permission_required装饰器即可: ``` @permission_required('app.view_model') def my_view(request): # do something ``` 在上面的代码中,my_view函数需要拥有view_model权限才能访问。 6. 编写角色管理视图 可以编写一个简单的角色管理视图,用来管理系统中的角色和权限: ``` from django.shortcuts import render from .models import Role, Permission def role_list(request): roles = Role.objects.all() return render(request, 'role_list.html', {'roles': roles}) def role_detail(request, role_id): role = Role.objects.get(id=role_id) permissions = Permission.objects.all() return render(request, 'role_detail.html', {'role': role, 'permissions': permissions}) ``` 在上面的代码中,role_list函数返回所有角色的列表,role_detail函数返回指定角色的详细信息和所有权限的列表。 7. 编写用户角色管理视图 可以编写一个简单的用户角色管理视图,用来管理用户和角色的关联关系: ``` from django.shortcuts import render from django.contrib.auth.models import User from .models import Role def user_list(request): users = User.objects.all() return render(request, 'user_list.html', {'users': users}) def user_detail(request, user_id): user = User.objects.get(id=user_id) roles = Role.objects.all() return render(request, 'user_detail.html', {'user': user, 'roles': roles}) ``` 在上面的代码中,user_list函数返回所有用户的列表,user_detail函数返回指定用户的详细信息和所有角色的列表。 8. 编写用户角色管理视图的表单处理函数 可以编写一个简单的表单处理函数,用来处理用户和角色的关联关系: ``` from django.shortcuts import redirect from django.contrib.auth.models import User from .models import Role def assign_role(request, user_id): if request.method == 'POST': user = User.objects.get(id=user_id) role_ids = request.POST.getlist('roles') roles = Role.objects.filter(id__in=role_ids) user.roles.set(roles) return redirect('user_detail', user_id=user_id) ``` 在上面的代码中,assign_role函数接受一个用户ID作为参数,从POST请求中获取选中的角色ID,将这些角色和用户关联起来,然后重定向到用户详细信息页面。 9. 编写角色管理视图的表单处理函数 可以编写一个简单的表单处理函数,用来处理角色和权限的关联关系: ``` from django.shortcuts import redirect from .models import Role, Permission def assign_permission(request, role_id): if request.method == 'POST': role = Role.objects.get(id=role_id) permission_ids = request.POST.getlist('permissions') permissions = Permission.objects.filter(id__in=permission_ids) role.permissions.set(permissions) return redirect('role_detail', role_id=role_id) ``` 在上面的代码中,assign_permission函数接受一个角色ID作为参数,从POST请求中获取选中的权限ID,将这些权限和角色关联起来,然后重定向到角色详细信息页面。 10. 编写模板 最后,可以编写一些简单的模板来渲染上述视图函数返回的数据。 例如,可以编写role_list.html模板来渲染角色列表: ``` <ul> {% for role in roles %} <li><a href="{% url 'role_detail' role.id %}">{{ role.name }}</a></li> {% endfor %} </ul> ``` 可以编写role_detail.html模板来渲染角色详细信息和权限列表: ``` <h1>{{ role.name }}</h1> <h2>Permissions</h2> <form method="post" action="{% url 'assign_permission' role.id %}"> {% csrf_token %} {% for permission in permissions %} <label> <input type="checkbox" name="permissions" value="{{ permission.id }}" {% if permission in role.permissions.all %}checked{% endif %}> {{ permission.name }} </label> {% endfor %} <button type="submit">Save</button> </form> ``` 可以编写user_list.html模板来渲染用户列表: ``` <ul> {% for user in users %} <li><a href="{% url 'user_detail' user.id %}">{{ user.username }}</a></li> {% endfor %} </ul> ``` 可以编写user_detail.html模板来渲染用户详细信息和角色列表: ``` <h1>{{ user.username }}</h1> <h2>Roles</h2> <form method="post" action="{% url 'assign_role' user.id %}"> {% csrf_token %} {% for role in roles %} <label> <input type="checkbox" name="roles" value="{{ role.id }}" {% if role in user.roles.all %}checked{% endif %}> {{ role.name }} </label> {% endfor %} <button type="submit">Save</button> </form> ``` 至此,一个简单的RBAC权限管理系统就完成了。当然,实际应用中可能需要更复杂的权限管理需求,可以根据具体情况进行扩展。
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值