django framework权限增删改查细粒控制

已于 2023-07-31 14:38:01 修改
阅读量997 收藏 1
点赞数
文章标签: django python 后端
于 2022-02-24 17:42:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laoli815/article/details/123115166
版权

一直想写restframework 系列教程
在restframwork中,结合django的原生类,使用django的原生类AbstractUser,我一开始的时候很排斥使用这个类,总想着不继承这个类自己写,但是多次使用自己写的发现问题很多,很多方法都无法使用,例如request.user这个就自己写的类无法继承使用,很烦,最后放弃了使用原生类

使用restframework自带网页展示和postman,可以很直观的让我们了解到restframework权限展示

通过访问http://192.168.56.104:8000/admin/auth/permission/
这个页面可以看到我们的每一个model在创建之后都默认赋予了can add,can delete,can view,can change四个功能,
在这里插入图片描述
在restframework网页中展示就是http://192.168.56.104:8000/goods/
在这里插入图片描述
上面这个图片属于增加can add功能权限
下面为delete,update,select 权限
在这里插入图片描述
上述登录用户为超级账号,增删改查权限都有
下面我们限制下
在这里插入图片描述
设置一个角色没有修改用户的权限
在这里插入图片描述通过restframework可以看到该用户的确没有修改用户的权限
在这里插入图片描述
具体这些权限怎么实现的,其实framework已经给出了答案
在项目的settings.py文件中设置restframework相关参数

REST_FRAMEWORK = {
       'DEFAULT_AUTHENTICATION_CLASSES':(
        'rest_framework.authentication.BasicAuthentication',
        'rest_framework.authentication.SessionAuthentication',
        # 'utils.auth.JwtAuthorization',

),
    'DEFAULT_PERMISSION_CLASSES': (
        # 'rest_framework.permissions.IsAuthenticatedOrReadOnly',
        'utils.permissions.ModelPermission',
        # 'rest_framework.permissions.IsAuthenticated',
        # 'utils.permissions.IsOwnerOrReadOnly',
    ),
'DEFAULT_FILTER_BACKENDS': ('django_filters.rest_framework.DjangoFilterBackend',),

     'PAGE_SIZE': 10
}

我们使用的是’utils.permissions.ModelPermission’自己写的权限认证,只要使用继承使用restframework相关类的都会经过这个脚本文件的过滤,如果不适用restframework类的这个文件不起作用
贴出’utils.permissions.ModelPermission’的关键过滤代码

from .jwt_auth import  parse_payload



class ModelPermission(DjangoModelPermissions):
    def __init__(self):
        self.perms_map['GET'] = ['%(app_label)s.view_%(model_name)s']
    def has_permission(self, request, view):
        # print(request.path_info)
        # print(request.user,request.user.is_anonymous)
        queryset = self._queryset(view)
        model_cls = queryset.model
        # print(model_cls)
        kwargs = {
            'app_label': model_cls._meta.app_label,
            'model_name': model_cls._meta.model_name
        }

        list1=[perm % kwargs for perm in self.perms_map['OPTIONS']]
        # print(list1)
        # print(request.user)
        if request.user.is_anonymous:
            token = request.META.get('HTTP_AUTHORIZATION', '')
            user=parse_payload(token)
            request.user=user

        res=request.user.roles.values_list('permissions__permission__content_type__app_label','permissions__permission__codename')
        # print(res)
        perm_list=['.'.join(i) for i in res if i[0]!=None]
        # print(perm_list)
        queryset = self._queryset(view)
        perms = self.get_required_permissions(request.method, queryset.model)
        # print("长度是",len([item for item in perms if item not in perm_list]))
        return  len([item for item in perms if item not in perm_list])==0

if request.user.is_anonymous:
token = request.META.get(‘HTTP_AUTHORIZATION’, ‘’)
user=parse_payload(token)
request.user=user
这句话的含义是如果使用vue前端过来的用户,对里面的token值进行解析获取到真实的user信息,这一篇暂时不做介绍,后续写vue请求的时候在做处理。这样设置的目的是为了方便vue过来的请求和restframework自带网页过来的请求稍微对get请求做了重写,因为djangomodels的系统权限是can_view权限,所以我们要改写下
return len([item for item in perms if item not in perm_list])==0
这一句表达的含义是如果请求的访问权限不在用户的范围之内,那么就是false,前端无法进行访问也不会展示出来,例如上图的update权限就不能显示
贴出相关的models设计表

from django.db import models

# Create your models here.

from django.contrib.auth.models import AbstractUser,Permission
class User(AbstractUser):
    mobile=models.CharField(max_length=100,verbose_name='手机号码')
    address=models.CharField(max_length=200,verbose_name='居住地址')
    superior = models.ForeignKey("self", null=True, blank=True, verbose_name="上级主管",on_delete=models.CASCADE)
    roles = models.ManyToManyField("role", verbose_name="角色", blank=True)
    

    class Meta:
        verbose_name = "用户信息"
        verbose_name_plural = verbose_name
        ordering = ['id']

    def __str__(self):
        return self.username




class Menu(models.Model):
    """
    菜单
    """
    name = models.CharField(max_length=30, unique=True, verbose_name="菜单名")  # unique=True, 这个字段在表中必须有唯一值.
    parent = models.ForeignKey("self", null=True, blank=True, verbose_name="父菜单",on_delete=models.CASCADE)
    icon = models.CharField(max_length=50, null=True, blank=True, verbose_name="图标")
    oprtype=models.CharField(max_length=100,null=True,blank=True,verbose_name='操作类别')
    code = models.CharField(max_length=50, null=True, blank=True, verbose_name="编码")
    type=models.IntegerField(null=True,blank=True,choices=((0,'目录'),(1,'菜单'),(2,'按钮'),((3,'API接口'))),verbose_name='菜单类别')
    permission=models.ForeignKey(Permission,null=True,blank=True,verbose_name='对应自带权限表对应权限',on_delete=models.CASCADE)
    def __str__(self):
        return self.name

    class Meta:
        verbose_name = '菜单'
        verbose_name_plural = verbose_name

    @classmethod
    def get_menu_by_request_url(cls, url):
        return dict(menu=Menu.objects.get(url=url))


class Role(models.Model):
    """
    角色:用于权限绑定
    """
    name = models.CharField(max_length=32, unique=True, verbose_name="角色")
    permissions = models.ManyToManyField("menu", blank=True, verbose_name="菜单授权")
    desc = models.CharField(max_length=50, blank=True, null=True, verbose_name="描述")
    def __str__(self):
        return self.name
    class Meta:
        verbose_name = '角色'
        verbose_name_plural = verbose_name

以上为权限管理系统的实现部分代码,主要是继承了DjangoModelPermissions这个类,可以细粒化对orm model的增删改查

  • 技术无止境
laoli815
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django完整增删改查系统
m0_58877630的博客
03-30 4956
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.创建并配置一个django项目2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、.
spring+shiro 增删改查权限控制
11-01
spring+shiro 增删改查权限控制,其中包括用户管理、角色管理、权限管理
Django web framework
01-04
Django web framework document, Everything you need to know about Django
Django -framework 框架
huiyinimen的博客
10-30 221
Django REST framework 框架 http://www.django-rest-framework.org/ 官网 安装djangorestframework pip install djangorestframework pip install markdown # Markdown 可浏览API的标记支持 pip install django-filte...
Django(9)|基于reseful-api风格的Django-framework
不愿意透露姓名的网友
06-22 1961
restful API 是一种符合rest风格的接口,rest是一种架构风格,采用http协议。
django框架简介
记录学习ing
06-03 327
django框架版本         pip3 install django==1.11.11         '''如果之前下载了其他版本不用管 自动替换!!!''' 注意事项 计算机名称不要出现中文 python解释器版本不同可能会出现启动报错 项目中所有的文件名称不要出现中文
Django的web框架Django Rest_Framework精讲(一)
最新发布
景天科技苑
01-31 5405
Django REST framework是一个建立在Django基础之上的Web 应用开发框架,可以快速的开发REST API接口应用,简称DRF。 在REST framework中,提供了序列化器Serialzier的定义,可以帮助我们简化序列化与反序列化的过程,把queryset类型数据自动转化为json等可以传到前端的数据类型 不仅如此,还提供丰富的类视图、扩展类、视图集来简化视图的编写工作。
django+Mysql增删改查
11-12
本教程将围绕“Django+Mysql增删改查”这一主题,带你入门Django框架,并结合MySQL数据库实现基础的数据操作。 首先,我们需要了解Django的基本结构。一个典型的Django项目通常包含以下几个核心部分: 1. **manage...
python+Django+layui 实现web 列表增删改查
04-30
在本项目中,我们利用Python的Web框架Django和前端组件库layui来构建一个功能完备的Web应用,...通过以上各个组件的配合,我们可以构建出一个功能完善的Web应用,用户可以通过界面方便地对文章数据进行增删改查操作。
Django的restful用法(自带的增删改查
01-27
在实际开发中,Django RESTful框架还提供了许多高级特性,如权限管理、分页、过滤、排序、认证等。同时,可以结合DRF的扩展如`django-filter`进行更复杂的查询过滤,使用`django-rest-framework-simplejwt`进行JWT...
Python+Django+MySQL实现基于Web版的增删改查的示例代码
09-08
这个系统实现了对学生的增删改查(CRUD)操作,是初学者快速掌握Python Web开发的一个实用示例。 首先,我们需要确保拥有合适的开发环境。在这个例中,使用的是PyCharm 2020.1作为开发工具,Python 3.8.0作为编程...
django中判断当前user具有是否有对模块的增删改查权限
weixin_30702413的博客
12-03 231
首先简单了解一下user的一些属性 User对象 User对象是认证系统的核心。用户对象通常用来代表网站的用户,并支持例如访问控制、注册用户、关联创建者和内容等。在Django认证框架中只有一个用户类,例如超级用户('superusers’)或('staff')用户只不过是相同用户对象设置了不同属性而已。 缺省字段Fields username 用户名,必需字段。30个字符或更少,可以包...
Django框架
热门推荐
tainqiuer123的博客
04-23 1万+
一、如何解决组件不是内部或批处理命令 1、如果要使用pip,需要设置环境变量,添加比如D:\Python36\Scripts,因为pip在Scripts目录下 2、如何查找django全局目录pip show django 二、创建django框架 pip install django#安装django框架,Scripts目录新增文件 cd 工程目录#跳转工程目录 pip show django#获取框架目录,添加到全局变量 django-admin --version#查看是否安装
Django REST framework框架,前后端分离
qq_42740465的博客
02-24 6709
Django REST framework框架,前后端分离
Django用户权限控制
每一个不曾起舞的日子,都是对生命的辜负
10-22 3509
1、添加权限方法: 创建完一个模型后,针对这个模型默认就有三种权限(增/删/改),auth_permission表中存放所有的权限信息 方法一:定义模型的时候在Meta中使用permissions()代码如下: from django.contrib.auth import get_user_model from django.db import models # Create your m...
django下的framework
weixin_34343000的博客
10-22 100
可以创建个虚拟环境先,不过我没使用这个方式 virtualenv env source env/bin/activate ------ 退出: To exit the virtualenv environment at any time, just type deactivate 安装必要库 pip install django pip install django...
5.3 权限增删改查
zyf_baby的博客
04-09 530
文章目录一、重点二、权限增删改查1. 增加权限1.1 controller1.2 前端页面2.展示权限列表2.1 controller2.2 前端页面3.修改权限3.1 controller3.2 前端页面4.删除权限4.1 controller4.2 前端页面三、完整版1.完整版的module2. 完整版的schema3.完整版的service4.完整版的interface5.完整版的controller 文章目录一、重点二、权限增删改查1. 增加权限1.1 controller1.2 前端页面2.展
​ 一:drf --drf入门规范
wmyzzz
11-02 1341
目录一:web开发模式1.1 前后端不分离1.2 前后端分离二:API接口三:接口测试工具:Postman四:RESTful API规范restful十条规范1 数据的安全保障2 接口特征表现3 多数据版本共存4 (重点)数据即是资源,均使用名词(可复数)5 (重点)资源操作由请求方式决定(method)过滤,通过在url上传参的形式传递搜索条件7 响应状态码7.1 正常响应7.2 重定向响应7.3 客户端异常7.4 服务器异常8 错误处理,应返回错误信息,error当做key9 返回结果,针对不同操作,服
六、python Django REST framework增删改查[视图、扩展类、扩展类的类、视图集]
黑日里不灭的light
08-15 1239
重点:请先认真读完下面的内容再进行深入学习,或者先跳过当有不懂的时候,回头再看看下面的话导入:介绍:APIView是REST framework提供的所有视图的基类,继承自Django的View父类,其大体与View用法一样,但有些不同下面马上会介绍。不同:传入到视图方法中的是REST framework封装好的Request对象,而不是Django的HttpRequeset对象(前言里面介绍了他们的区别)视图方法可以返回REST framework的Response对象,不使用之前文章的类似HttpRes
Django RESTful API 实现:增删改查与HTTP方法
REST的核心思想是将Web服务视为一系列可操作的资源,并通过HTTP方法(GET、POST、PUT、PATCH、DELETE)来实现增、删、改、查。 1. **REST原则**: - **资源导向**:资源是REST架构中的核心概念,它们通常与数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值