django自定义权限防止所有用户都能进行删除操作

最新推荐文章于 2024-05-24 17:39:19 发布
最新推荐文章于 2024-05-24 17:39:19 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huoyuanshen/article/details/83184499
版权

场景一:对于删除操作等不希望所有登录用户都能删除,且不是使用django进行的数据控制,需要进行特殊控制

1,url文件:

path('task-del.html', views.TaskDel.as_view(), name='task_del'),

2,views文件:

class EcsDel(LoginRequiredMixin, PermissionRequiredMixin, View):
    permission_required = ('asset.delete_ecs',) #权限过滤
    model = Task
    def post(self, request):
        ret = {'status': True, 'error': None, }
        nid = self.request.POST.get('nid', None)
        Task.objects.get(id=nid).delete()
        return HttpResponse(json.dumps(ret))

asset.delete_ecs:该权限名称代表asset应用的ecs模型的删除权限。可通过djiango进行权限设置。

 

场景二:自定义权限,通过django自带权限模块进行菜单显示控制,后端权限判断,根据权限获取相关用户:

1、model中定义权限名称:

class SqlOrder(models.Model):
class Meta:
    permissions = (
        ("createSqlOrder", "提交SQL申请权限"),
        ("auditSqlOrder", "审核SQL申请权限"),
        ("runSqlOrder", "执行SQL申请权限"),
        ("manager", "管理SQL申请功能权限"),
    )

2、执行python manage.py makemigrations  ;    python manage.py migrate   进行权限刷新。

3、登录django后台,进行权限赋值。

4、编辑html页面进行显示过滤:

{% if perms.sqlapply.createSqlOrder %} #注意,perms是固定字符串,sqlapply是应用名,createSqlOrder 是自定义权限名
    <li class="mySqlOrder">
        <a href="{% url    'sqlapply:mySqlOrder' %}">我的工单</a>
    </li>
    <li class="sqlOrderCreate">
        <a href="{% url    'sqlapply:sqlOrderCreate' %}">提交申请</a>
    </li>
{% endif %}

5、python后台,对登录用户进行权限判断:

if request.user.has_perm("sqlapply.runSqlOrder"): #有执行权限,直接执行
    SqlOrder.objects.filter(id=sqlOrder_id).update(status=3)

6、获取具有指定权限的所有用户:

from django.contrib.auth.models import User,Permission

from django.db.models import Q
perm = Permission.objects.get(codename = 'runSqlOrder') #注意权限名,没有前缀

users = Users.objects.filter(Q(groups__permissions = perm) | Q(user_permissions = perm)).distinct () #获得所有用户

 

 

huoyuanshen
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django 权限管理与用户身份验证系统设计与实现
mrdeam的博客
07-24 822
在某些情况下,您可能需要定义自己的自定义权限,并在应用程序中使用它们。# 创建自定义权限在某些情况下,您可能需要自定义用户模型以满足特定需求,比如添加额外的字段或改变默认的身份验证行为。# 添加自定义字段在使用自定义用户模型之前,需要将其注册到Django应用程序中。一旦定义并注册了自定义用户模型,您可以像使用内置的User模型一样使用它。# 创建用户# 身份验证在这篇文章中,我们深入探讨了在Django中构建安全可靠的Web应用所涉及的关键方面。
Django-vue-admin学习笔记】前端页面按钮权限控制
Mr数据杨
12-01 1145
前端页面权限控制是一种重要的安全措施,它需要与后端的安全策略紧密结合,共同构成一个全面的应用安全体系。安全性: 仅依赖前端权限控制是不够的,因为客户端代码可以被篡改或绕过。后端的权限验证是必不可少的。用户体验: 合理设计权限控制可以提升用户体验,避免无权限用户看到不应该看到的功能或信息。数据保护: 前端不应加载用户无权访问的数据,即使这些数据在界面上不可见。
Django中的权限管理与用户身份验证系统的设计
一键难忘的博客
05-24 2172
在某些情况下,您可能需要定义自己的自定义权限,并在应用程序中使用它们。# 创建自定义权限在某些情况下,您可能需要自定义用户模型以满足特定需求,比如添加额外的字段或改变默认的身份验证行为。# 添加自定义字段在使用自定义用户模型之前,需要将其注册到Django应用程序中。一旦定义并注册了自定义用户模型,您可以像使用内置的User模型一样使用它。# 创建用户# 身份验证在这篇文章中,我们深入探讨了在Django中构建安全可靠的Web应用所涉及的关键方面。
深入Django用户认证与权限控制实战指南
05-07 1335
自定义登录或注册视图,可以创建一个类视图并定义。
Django 自定义中间件(IP限制频率、用户权限)
weixin_48183870的博客
03-27 1269
由于中间件要进行权限处理,所以这里将权限保存在session中。在后端的登录逻辑中,根据登录的用户进行权限查询。理论来说,这个权限需要保存在数据库中。每个人的权限需要在登录以后才能获得。由于不是所有路径都要限制用户访问。由于每次都是直接进入的根路径。首先需要获取到访问的IP地址。所以需要创建一个登录界面。再次循环遍历可访问的地址。到最后的就是没有权限的。获取用户可访问的地址。然后是当前时间的获取。
Django自定义用户认证系统之自定义用户模型
weixin_30278237的博客
02-17 242
参考文档:http://python.usyiyi.cn/django/topics/auth/customizing.html Django 自带的认证系统足够应付大多数情况,但你或许不打算使用现成的认证系统。定制自己的项目的权限系统需要了解哪些一些关键点,即Django中哪些部分是能够扩展或替换的。这个文档提供了如何定制权限系统的细节。 “认证”后端 在以下情形时可被扩展:当一个 User 模...
django 自定义认证
weixin_30430169的博客
10-30 236
Django自定义身份验证 Django 自带的认证系统足够应付大多数情况,但你或许不打算使用现成的认证系统。定制自己的项目的权限系统需要了解哪些一些关键点,即Django中哪些部分是能够扩展或替换的。这个文档提供了如何定制权限系统的细节。 “认证”后端 在以下情形时可被扩展:当一个 User 模型对象带有用户名和密码时,且需要有别于 Django 默认的认证功能。 你可为你的模型提...
Django
gsl371的专栏
04-20 1229
django框架的基本概念
Django——CSRF权限认证处理
胖大xian
02-08 604
CSRF权限认证 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 一、简单说明csrf如何操作 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经
Django admin禁用编辑链接和添加删除操作详解
09-18
在这个例子中,如果用户名的第一个字符不是大写的 'J',则会删除 "delete_selected" 操作防止用户批量删除记录。 虽然通过上述方式可以隐藏编辑链接和操作按钮,但并不能完全阻止用户通过URL直接访问编辑或删除...
Django学习2-用户管理系统课件
12-27
权限控制了用户可以执行的操作,如查看、更改或删除数据。 6. 自定义注册流程:虽然Django提供默认的注册视图,但在实际项目中,我们可能需要自定义注册流程,例如添加邮箱验证、密码复杂度检查等。 7. 社交账号...
身份验证:通过django进行身份验证
02-22
你可以使用`django.contrib.auth.models.User`直接在代码中操作用户对象。 2. 登录与注册 Django提供了视图函数`login()`和`logout()`,以及对应的模板标签,用于处理用户登录和注销。注册通常需要自定义视图,...
Django-中文教程.pdf
最新发布
07-04
- **权限控制**:根据用户角色分配不同的操作权限。 - **会话管理**:确保用户会话数据的安全存储和传输。 **知识点18:数据保护** - **输入验证**:防范恶意输入导致的安全漏洞。 - **密码加密**:采用强加密算法...
django-editable-table:具有动态列的简单Django可编辑表
04-30
- **用户体验**:提供清晰的编辑指示和反馈,确保用户能轻松理解和操作表格。 - **自定义功能**:根据项目需求,可能需要扩展"django-editable-table"的功能,例如添加行、列拖动、导出数据等。 总之,"django-...
django读写配置settings.py中内容
huoyuanshen的博客
11-01 6021
from django.conf import settings   host = settings.REDIR_HOST
django前端删除与修改按钮代码
huoyuanshen的博客
10-30 5637
1,前端样式: 2,前端代码: 2.1文件下载与引入: https://github.com/qiwsir/DjangoPracticeProject/tree/master/mysite2/static/js  layer.js与skin目录复制到本地项目./static/js 2.2前端代码: {% load staticfiles %} &lt;td&gt;&lt;a...
django将后台model对象转换成json对象并传递给前端jquery
huoyuanshen的博客
12-22 4200
1、django的model转json对象。 1.1、单个modle转换,返回json对象: sqlOrder = get_object_or_404(SqlOrder,id=request.GET.get("id")) objJson = serialize('json',[sqlOrder])[1:-1] {"model": "sqlapply.sqlorder", "pk": 2, "fi...
django如何自定义权限
05-28
Django 中,我们可以使用自定义权限来控制用户对特定视图或模型的访问。下面是一些实现自定义权限的步骤: 1. 定义权限 我们可以在 models.py 中定义权限: ``` from django.contrib.auth.models import ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值