权限管理 --- RBAC简单实现

最新推荐文章于 2024-10-02 10:38:28 发布
最新推荐文章于 2024-10-02 10:38:28 发布
阅读量291 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baisansui/article/details/110672140
版权
本文介绍了基于角色的访问控制(RBAC)模型的概念及其在实际应用中的实现方式。通过设计用户、角色及权限三者之间的关联关系,实现了灵活的权限管理系统。文章还提供了具体的表结构设计,并演示了如何自定义访问权限检查。
摘要由CSDN通过智能技术生成

1、RBAC模型

  • RBAC模型(Role-Based Access Control:基于角色的访问控制)
  • 就是用户通过角色与权限进行关联
  • 简单的说,一个用户拥有若干角色,每个角色拥有若干权限
  • 这样,就构成了**“用户-角色-权限”**的授权模型
  • 在这种模型中,用户与角色之间,角色与权限之间,一般都是多对多关系

在这里插入图片描述

2、表设计

from django.db import models
from django.contrib.auth.models import AbstractUser
from utils.MyBaseModel import Base


# Create your models here.
# 角色表
class Role(models.Model):
    name = models.CharField('角色名称', max_length=32, unique=True)

    class Meta:
        db_table = 'tb_role'


# AbstractUser是django用户组件里的用户模型类,继承以后对原来的模型类进行改写
# 用户表
class User(AbstractUser):
    phone = models.CharField('手机号', max_length=20, null=True)
    img = models.ImageField(max_length=256, null=True)
    nick_name = models.CharField('昵称', max_length=20, null=True)
    address = models.CharField('地址', max_length=255, null=True)
    email = models.CharField('邮箱', max_length=255, null=True)
    vip = models.ForeignKey(Vip, on_delete=models.SET_NULL, default=None, null=True)
    vip_expiration = models.DateField('vip到期时间', blank=True, default=None, null=True)
    roles = models.ManyToManyField(Role, related_name='users')

    class Meta:
        db_table = 'tb_user'

    def __str__(self):
        return self.username

# 权限表/访问接口表
class UrlInfo(models.Model):
    url = models.CharField('url', max_length=20, null=True)
    desc = models.CharField('描述', max_length=128, null=True)
    roles = models.ManyToManyField(Role, related_name='urlsinfo')

    class Meta:
        db_table = 'tb_urls'

    def __str__(self):
        return self.url

3、自定义访问权限

############################ userapp/permission.py ##########
from rest_framework.permissions import BasePermission
from userapp.models import User, Role, UrlInfo

# 方法一
class SYLPermission(BasePermission):
    message = '当前用户没有该权限进行访问'

    def has_permission(self, request, view):
        uid = request.user.id  # 获取当前用户id

        user_obj = User.objects.filter(id=uid).first()
        # 查询该用户 拥有的 所有角色
        user_role_obj = user_obj.roles.all()
        print("该用户的所有角色:", user_role_obj)

        url = request.path_info
        method = request.method
        print(url + method)

        # 查询 当前访问的路径
        url_obj = UrlInfo.objects.filter(url=url + method).first()
        print("当前路由对应的url对象", url_obj)
        if url_obj:
            # 如果存在路径信息, 获取该路径对应的 所有角色
            url_role_obj = user_obj.roles.all()
        else:
            # 不存在,即没有权限
            return False

        # 循环遍历该用户的所有角色
        for i in user_role_obj:
            # 判断该用户拥有的角色  是否 存在当前路径对应的角色中
            if i in url_role_obj:
                return True

        return False

# 方法二
class SYLPermission2(BasePermission):
    message = '当前用户没有该权限进行访问'

    def has_permission(self, request, view):
        uid = request.user.id  # 获取当前用户id

        user_obj = User.objects.filter(id=uid).first()
        # 查询该用户 拥有的 所有角色
        user_role_obj = user_obj.roles.all()
        print("该用户的所有角色:", user_role_obj)

        url = request.path_info  # 获取当前访问的路径
        method = request.method  # 获取当前访问的路径的方法
        request_url = url + method
        print(request_url)

        # 循环遍历该用户拥有的角色
        for i in user_role_obj:
            print(i)

            # 通过当前角色  获取当前角色 i 可以访问的所有路径url信息
            url_obj = i.urlsinfo.all()
            # 循环遍历  所有路径
            for j in url_obj:
                # 判断当前访问的路径 是否在 路径信息中
                if request_url == j.url:
                    return True

        return False

4、接口测试

from rest_framework.viewsets import ModelViewSet

from courseapp import models, serializers
from userapp.permission import SYLPermission, SYLPermission2

class CourseTypeView(ModelViewSet):
    queryset = models.CourseType.objects.all()
    serializer_class = serializers.CourserTypeSer
    permission_classes = [SYLPermission2]
白三岁吖.
关注
基于RBAC权限管理系统的实现
Stone的专栏
08-31 4207
<br /><br />引 言<br />  在许多的实际应用,不只是要求用户简单地进行注册登录,还要求不同类别的用户对资源有不同的操作权限。目前,权限管理系统也是重复开发率最高 的模块之一。在企业,不同的应用系统都拥有一套独立的权限管理系统。每套权限管理系统只满足自身系统的权限管理需要,无论在数据存储、权限访问和权限控 制机制等方面都可能不一样,这种不一致性存在如下弊端:<br />  (1)系统管理员需要维护多套权限管理系统,重复劳动;<br />  (2)用户管理、组织机构等数据重复维护,数据一致
简单RBAC实现
change_fate的博客
10-12 203
RBAC功能简单实现
基于RBAC实现权限系统
郝老三~~~~~~~~~~~~~
06-13 2090
RBAC 是 Role-Based Access Control(基于角色的访问控制)的缩写。它是一种访问控制模型,用于管理和控制系统的用户访问权限。在 RBAC 模型,访问权限是通过角色来授权的。每个角色被分配给一个或多个用户,而每个角色具有特定的权限和访问级别。通过将权限与角色相关联,可以简化权限管理,并在需要时轻松地对用户的权限进行更改。RBAC 的核心思想是将权限的授权从用户直接关联到角色,从而提高系统的安全性和管理灵活性。
RBAC权限控制实现方案
sinat_34896766的博客
02-06 1949
/ 放置全局指令// 管理员权限// el 使用自定义指令的dom元素// binding 对象,binding.value 可以接受外部传过来的值// 管理员账号单独处理returnif (!// 隐藏el// display的设置,可以通过开发者工具修改,建议使用remove})
RBAC.zip_-baijiahao_MYSQL_RBAC
09-15
通过这样的设计,我们可以构建出一个简单而有效的MySQL RBAC系统,实现精细化的权限控制,为企业的数据安全提供有力保障。在开发过程,还需要注意权限的合理划分和权限策略的制定,以确保系统的稳定性和安全性。...
flask-rbac:烧瓶-RBAC
02-05
**Flask-RBAC:基于Python的Flask框架实现角色权限控制** Flask-RBAC是专门为基于Python的轻量级Web应用框架Flask设计的一个角色权限控制系统。它提供了简单而强大的工具,使得开发者能够在Flask应用轻松实现基于...
django-vue-admin:基于RBAC模型权限控制的小型应用的基础开发平台,前拆分分离,采用采用django + django-rest-framework,前端采用vue + ElementUI,移动端采用uniapp + uView(可发布) h5和小程序)
02-04
基于RBAC模型权限控制的小型应用的基础开发平台,前拆分,替代采用django + django-rest-framework,前端采用vue + ElementUI,移动端采用uniapp + uView(可发布h5和小程序)。 JWT认证,可使用simple_history...
论文研究-一种基于改进RBAC模型的EIS权限管理框架的研究与实现.pdf
07-22
提出了一种细粒度权限控制的改进模型FG-RBAC,并在此模型基础上设计开发了一套能为企业信息系统(EIS)开发者和用户提供更简单、更实用、更快速的数据级权限管理解决方案的管理框架。该框架已在若干个国有大型企业集团...
万字长文,SpringSecurity
mySoul
06-30 1096
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
基于RBAC权限管理模型的实现
02-12
本资源是基于RBAC权限管理模型思想实现的完整JAVA代码,有数据库脚本,对于基于RBAC思想的开发具有很好的启发与帮助作用。
计划做一个RBAC的Java实现
03-01
rbac model 博文链接:https://williamou.iteye.com/blog/248201
基于RBAC的通用权限管理系统的详细分析与实现(理念篇——权限对象、权限项、功能权限、数据权限、权限组、权限设计)
最新发布
晓风残月淡的博客
10-02 1078
在与人沟通的过程,我们很多次提到了权限,但是权限具体的含义每个人理解的含义都不明确,这样很容易造成双方信息不对称,有的人就只是把权限理解成某个页面的是否可访问,但是有的人却理解成其他的东西。 所以我们要彻底的定义一下权限是什么? “权限”这个词语,我们谈论时到底是名词属性还是动词属性?这对于权限的含义很重要。 如果是名词属性的话,那么它应该是有具体的指代物;如果是动词,则应该具有行为表示。 - 权限的名词属性:api接口、页面、业务功能等。 - 权限的动词属性:可访问、新增、编辑、可操作、不可操作等
基于RBAC的通用权限管理系统的详细分析与实现(理念篇——权限模型)
晓风残月淡的博客
02-07 2769
RBAC 授权模型的基本思想是通过分配和取消角色来完成用户权限的授予和取消,根据不同的职能岗位划分角色,资源访问许可被封装在角色。用户通过赋予角色间接地访问系统资源和对系统资源进行操作。授权者根据需要定义各种角色,并设置合适的访问权限。而用户根据其工作性质和职责再被指派为不同的角色,完成权限授予。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。RBAC模型包含五种基本元素:用户集合、角色集合、对象集合、操作集合、权限集合。
后台管理系统----day17
weixin_45228198的博客
04-14 789
用户权限 一个商城,后台维护人员不只一个,还有其他后台人员,如:信息录入员、财务、运营、采购等人员,他们对应的角色不同,所对应的权限也不相同,需要后台管理员来分配权限。 1. RBAC介绍 RBAC概述 在网站,用户通过URL地址,进入网站的后端逻辑,从而对网站的数据库进行操作管理。可以让拥有权限的用户来完成操作,而没有权限的用户无法操作. RBAC是基于角色的访问控制(Role-Based Access Control ),在RBAC,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权
RBAC权限管理系统实现思路(一)
Phoenix_smf的博客
03-07 5916
RBAC(Role-Based Access Contro) 是基于角色的权限访问控制,系统根据登录用户的角色不同,从而给予不同的系统访问权限,角色的权限随角色创立时进行分配。 首先,权限控制很多系统都需要,但是不同的系统对于权限的敏感程度不同,因而权限的设计实现方式不同,这里的介绍一个简单RBAC权限管理的Demo。 假定这个系统分为:模块一,模块二,模块三。。。。这里先讲一下做系统的权...
J2EE-RBAC权限管理详解:实现、用户关联与特殊授权
J2EE-RBAC权限管理是一种基于角色的权限管理体系,它在企业级Java应用(J2EE)环境用于实现细致的权限控制。RBAC(Role-Based Access Control)的核心概念包括用户、角色、资源和权限这四个基本元素。 1. **模型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值