1. 权限简介
用户权限,指的是一个帐户登录后,有些功能可以使用,有些功能无法使用,这就是管理员对其设置的权限,只有附合权限的人才可以使用对应的功能。权限就是权利的限制范围。比较常见的是VIP用户和非VIP用户之间的权限差距。
2. Django 实现权限管理
用户的权限其实也可以理解为用户对路由访问的权限。我们设定一个用户不能访问某一个路由就相当于限制了用户的权限。那么如何限制用户访问路由,可以创建一个用户可以访问的路由表,查看用户请求的路由是否在该列表内即可。
权限表设计
由于用户的数量很多,不能直接将用户和路由对应,可以创建一张用户身份表,表示某一个用户能访问的路由权限。如下简易示例
用户表
id | name | pwd |
---|---|---|
1 | xwx | 123 |
2 | yyy | 321 |
3 | zzz | 222 |
权限表
id | name | permission |
---|---|---|
1 | 查看 | /check/ |
2 | 添加 | /add/ |
3 | 编辑 | /set/(\d+)/ |
4 | 删除 | /del/(\d+)/ |
身份表
id | role |
---|---|
1 | User |
2 | Vip |
3 | Admin |
用户与身份的关系表
id | user_id | role_id |
---|---|---|
1 | 1 | 3 |
2 | 2 | 1 |
3 | 3 | 2 |
身份与权限的关系表
id | role_id | permission_id |
---|---|---|
1 | 1 | 1 |
2 | 2 | 1 |
3 | 2 | 2 |
4 | 3 | 1 |
5 | 3 | 2 |
6 | 3 | 3 |
7 | 3 | 4 |
表外键关系
用户表与身份表之间有多对多关系,假设一个人可以有多个身份
身份表与权限表之间有多对多关系,一个身份有多个权限,一个权限可以被多个人拥有
ORM 表设计
from django.db import models
# 创建用户表
class User(models.Model):
name = models.CharField(max_length=32, verbose_name='用户名称')
pwd = models.IntegerField()
# 与身份表的多对多外键字段,假设可以跨身份,跨部门
roles = models.ManyToManyField(to='Role')
def __str__(self):
return self.name
# 创建身份表
class Role(models.Model):
title = models.CharField(max_length=32, verbose_name='身份名称')
# 和权限表的多对多关系字段,一个身份可以有多个权限,一个权限也可以被多个身份拥有
permissions = models.ManyToManyField(to='Permission')
def __str__(self):
return self.title
# 创建权限表
class Permission(models.Model):
name = models.CharField(max_length=32, verbose_name='权限名称')
url = models.CharField(max_length=32, verbose_name='权限url')
def __str__(self):
return self.name
class Userinfo(models.Model):
first_name = models.CharField(max_length=32, verbose_name='姓')
last_name = models.CharField(max_length=32, verbose_name='名')
phone = models.IntegerField()
addr = models.CharField(max_length=64, verbose_name='住址')
代码示例
1. 项目结构
2. url.py 代码
from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^login/', views.Login.as_view(), name='login'),
url(r'^check/', views.Check.as_view(), name='check'),
url(r'^add/', views.Add.as_view(), name='add'),
url(r'^set/(\d+)/', views.Set.as_view(), name='set'),
url(r'^del/(\d+)/', views.Del.as_view(), name='del'),
]
3. check.html 代码
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script src="https://cdn.bootcdn.net/ajax/libs/jquery/2.2.4/jquery.min.js"></script>
<link href="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.3.6/css/bootstrap.min.css" rel="stylesheet">
<script src="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.3.6/js/bootstrap.min.js"></script>
</head>
<body>
<div class="container">
<div class="row">
<table class="table">
<tr>
<th>姓</th>
<th>名</th>
<th>电话</th>
<th>地址</th>
<th>操作</th>
</tr>
{% for foo in user_info %}
<tr>
<td>{{ foo.first_name }}</td>
<td>{{ foo.last_name }}</td>
<td>{{ foo.phone }}</td>
<td>{{ foo.addr }}</td>
<td>
<a href="{% url 'add' %}">新增</a>
<a href="{% url 'set' foo.pk %}">修改</a>
<a href="{% url 'del' foo.pk %}">删除</a>
</td>
</tr>
{% endfor %}
</table>
</div>
</div>
</body>
</html>
4. login.html 代码
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form method="post" action="">
{% csrf_token %}
<p><label>账号<input type="text" name="username"></label></p>
<p><label>密码<input type="text" name="password"></label></p>
<p><input type="submit"></p>
</form>
</body>
</html>
5. views.py 代码
from django.shortcuts import render, HttpResponse, redirect
from django.views import View
from app01 import models
class Check(View):
def get(self, request):
user_info = models.Userinfo.objects.filter()
return render(request, 'check.html', locals())
class Login(View):
def get(self, request):
return render(request, 'login.html')
def post(self, request):
username = request.POST.get('username')
password = request.POST.get('password')
user_obj = models.User.objects.filter(name=username, pwd=password).first()
if user_obj:
# 获取当前用户的权限列表,由于用户可能有多个身份,也就是会有重叠的路由,需要使用去重 distinct
permissions_list = models.User.objects.filter(name=username).values('roles__permissions__url').distinct()
# 将权限列表添加到session中
permissions_list = [i.get('roles__permissions__url') for i in permissions_list]
request.session['permissions_list'] = permissions_list
return redirect('/check/')
else:
return HttpResponse('用户不存在')
class Add(View):
def get(self, request):
return HttpResponse('新增')
class Set(View):
def get(self, request, *args):
return HttpResponse('修改')
class Del(View):
def get(self, request, *args):
return HttpResponse('删除')
6. mypermissions.py 代码
from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import render, HttpResponse, redirect
import re
class MyPermission(MiddlewareMixin):
def process_request(self, request):
# 获取用户请求的url
target_url = request.path
# 定义路由白名单
white_list = ['/login/', '/register/']
for white_url in white_list:
# 循环白名单并将路由变成正则形式,因为有些路由含有其他后缀
re_path = f'^{white_url}$'
# 调用re模块search方法,查看请求的路由是否满足这种表达式
# re.search(pattern, string, flags=0)
res = re.search(re_path, target_url)
if res:
return
permissions_list = request.session.get('permissions_list')
for url in permissions_list:
# 循环白名单并将路由变成正则形式,因为有些路由含有其他后缀
re_path = f'^{url}$'
# 调用re模块search方法,查看用户请求的路由是否满足正则表达式
# re.search(pattern, string, flags=0)
res = re.search(re_path, target_url)
if res:
return
return HttpResponse('您没有权限')
7. settings 中间件配置
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'app01.permissions.mypermissions.MyPermission'
]
流程
上述代码只是简易的实现权限的分级。
1. 首先对每个用户进行分级,每一个身份等级有不同的访问路由权限,将路由添加到权限表中
2. 在login.html渲染的表单中登录,登录验证成功后查询当前用户身份对应的权限(如果一个用户只能有一个身份可以不
去重),将所有的路由权限添加到一个列表中,并将其储存在session中便于校验。
3. 在登录成功后我设定的是直接转向 /check/ 路由,但是肯定需要判断用户是否有权限,最好的方式是在自定义中间件中
判断,创建 permissions文件夹,并在该文件夹下定义 mypermissions.py文件用于自定义中间件
4. 在 mypermissions.py文件中创建 MyPermission类并继承 MiddlewareMixin类。然后编写校验逻辑,首先需要使
用 process_request方法,该方法是自定义中间件提供的用户请求来的时候执行。
5. 当用户请求时,首先获取用户请求的路由,使用 request.path获取。然后需要定义一个路由白名单,该名单中的路由
不论是哪一个用户都可以登录,这里添加的是 /login/,否则不好访问登录路由。
6. 对路由白名单进行循环,并将循环出来的路由变成正则表达式形式,由于用户访问的路由有可能带有其他后缀数据,用正
则比较合适。获得正则表达式后导入 re模块,并使用 re.search()方法,该方法第一个参数是正则表达式,第二个是
待匹配文本。若是匹配失败返回 None
7. 然后从session中取出路由列表,并进行比对,同样使用循环加正则的形式比对。如果路由列表内路由全都匹配失败这
里简易的返回 HttpResponse对象