django rest framwork用户权限设计和Authentication用户认证?

最新推荐文章于 2023-07-18 17:03:07 发布
最新推荐文章于 2023-07-18 17:03:07 发布
阅读量979 收藏 8
点赞数 3
分类专栏: django 文章标签: django python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mid_python/article/details/120900258
版权

为什么要在业务中实现用户权限管理?

        在B/S系统中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个"非法用户"很可能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S系统业务中都需要一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权功能,而对那些未授权的“非法用户”会将他们彻底的“拒之门外”。

01 需求陈述

  • 不同职责的人,对于系统操作权限是不同的。

  • 根据“组”进行权限分配,将权限一致的人员编入同一组,然后对改组进行权限分配。

  • 权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理的系统中。就像组件一样可以不断的重用,而不是每开发一套管理系统,就要针对权限管理部分进行重新开发。

  • 基于django rest_framework设计登录身份token认证、权限功能设计和实现等。

在navicat中ER图标中,权限表、角色表、用户表之间是多不多的关系。

图片

02 用户权限表设计

from django.db import models
from django.contrib.auth.models import AbstractUser


class Position(models.Model):
    """
    职位/岗位
    """
    name = models.CharField('名称', max_length=32, unique=True)
    description = models.CharField('描述', max_length=50, blank=True, null=True)

    class Meta:
        verbose_name = '职位/岗位'
        verbose_name_plural = verbose_name

    def __str__(self):
        return self.name


class Organization(models.Model):
    """
    组织架构
    """
    organization_type_choices = (
        ('公司', '公司'),
        ('部门', '部门')
    )
    name = models.CharField('名称', max_length=60)
    type = models.CharField('类型', max_length=20,
                            choices=organization_type_choices, default='部门')
    parent = models.ForeignKey('self', null=True, blank=True,
                            on_delete=models.SET_NULL, verbose_name='父')

    class Meta:
        verbose_name = '组织架构'
        verbose_name_plural = verbose_name

    def __str__(self):
        return self.name

    
class Permission(models.Model):
    """
    功能权限:目录,菜单,接口
    """
    menu_type_choices = (
        ('目录', '目录'),
        ('菜单', '菜单'),
        ('接口', '接口')
    )
    name = models.CharField('名称', max_length=30)
    type = models.CharField('类型', max_length=20, choices=menu_type_choices, default='接口')
    is_frame = models.BooleanField('外部链接', default=False)
    sort = models.IntegerField('排序标记', default=1)
    parent = models.ForeignKey('self', null=True, blank=True, on_delete=models.SET_NULL, verbose_name='父')
    method = models.CharField('方法/代号', max_length=50,unique=True, null=True, blank=True)

    def __str__(self):
        return self.name

    class Meta:
        verbose_name = '功能权限表'
        verbose_name_plural = verbose_name
        ordering = ['sort']


# 用户角色表
class Role(models.Model):
    name = models.CharField('角色', max_length=32, unique=True)
    perms = models.ManyToManyField(Permission, blank=True, verbose_name='功能权限')
    depts = models.ManyToManyField(Organization, blank=True, verbose_name='权限范围')
    description = models.CharField('描述', max_length=50, blank=True, null=True)

    class Meta:
        verbose_name = '角色'
        verbose_name_plural = verbose_name

    def __str__(self):
        return self.name


# 用户表
class User(AbstractUser):
    name = models.CharField('姓名', max_length=20, null=True, blank=True)
    phone = models.CharField('手机号', max_length=11, null=True, blank=True, unique=True)
    avatar = models.CharField('头像', default='/media/default/avatar.png', max_length=100, null=True, blank=True)
    superior = models.ForeignKey('self', null=True, blank=True, on_delete=models.SET_NULL, verbose_name='上级主管')
    roles = models.ManyToManyField(Role, blank=True, verbose_name='角色')
    position = models.ManyToManyField(Position, blank=True, verbose_name='岗位')
    dept = models.ForeignKey(
        Organization, null=True, blank=True, on_delete=models.SET_NULL, verbose_name='组织')

    class Meta:
        verbose_name = '用户信息'
        verbose_name_plural = verbose_name
        ordering = ['id']

    def __str__(self):
        return self.username

03 修改配置和权限代码

修改settings配置

INSTALLED_APPS = [
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',

    'rest_framework',
    'apps.system'
]

# JWT设置
SIMPLE_JWT = {
    'REFRESH_TOKEN_LIFETIME': timedelta(minutes=1),
    'ACCESS_TOKEN_LIFETIME': timedelta(days=10),  # 配置token过期时间
    'ROTATE_REFRESH_TOKENS': True,
}


# 自定义认证后台(Backend)
AUTH_USER_MODEL = 'system.User'
AUTHENTICATION_BACKENDS = (
    'utils.authentication.CustomBackend',
)

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    ],
    'DEFAULT_FILTER_BACKENDS': [
        'django_filters.rest_framework.DjangoFilterBackend',
    ],
}

用户身份认证authentication.py

from django.contrib.auth.backends import ModelBackend
from django.db.models import Q
from django.contrib.auth import get_user_model

UserModel = get_user_model()


class CustomBackend(ModelBackend):
    def authenticate(self, request, username=None, password=None, **kwargs):
        if username is None:
            username = kwargs.get(UserModel.USERNAME_FIELD)
        if username is None or password is None:
            return
        try:
            user = UserModel._default_manager.get(
                Q(username=username) | Q(phone=username) | Q(email=username))
        except UserModel.DoesNotExist:
            # Run the default password hasher once to reduce the timing
            # difference between an existing and a nonexistent user (#20760).
            UserModel().set_password(password)
        else:
            if user.check_password(password) and self.user_can_authenticate(user):
                return user

自定义权限验证permission.py

from django.core.cache import cache
from rest_framework.permissions import BasePermission
from apps.system.models import Permission


def get_permission_list(user):
    """
    获取权限列表,可用redis存取
    """
    if user.is_superuser:
        perms_list = ['admin']
    else:
        perms = Permission.objects.none()
        roles = user.roles.all()
        if roles:
            for i in roles:
                perms = perms | i.perms.all()
        perms_list = perms.values_list('method', flat=True)
        perms_list = list(set(perms_list))
    cache.set(user.username + '__perms', perms_list, 60 * 60)
    return perms_list


class RbacPermission(BasePermission):
    """
    基于角色的权限校验类
    """

    def has_permission(self, request, view):
        """
        权限校验逻辑
        :param request:
        :param view: 视图对象
        :return:
        """
        path = request._request.path  # client访问的api接口名
        perms = get_permission_list(request.user)  # list
        if'admin'in perms:
            return True
        if perms:
            if path in perms:
                return True
            else:
                return False
        else:
            return False

    def has_object_permission(self, request, view, obj):
        """
        Return `True` if permission is granted, `False` otherwise.
        """
        ifnot request.user:
            return False
        return True

单个视图权限控制views.py

from .models import Category
from utils.permission import RbacPermission


class CategoryViewSet(ModelViewSet):
    permission_classes = [RbacPermission]
    queryset = Category.objects.all()
    serializer_class = CategoryListSerializer
    search_fields = ['name']

全局权限设置

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    ],
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.IsAuthenticated',
        'apps.system.permission.RbacPermission'
    ],
    'DEFAULT_FILTER_BACKENDS': [
        'django_filters.rest_framework.DjangoFilterBackend',
    ],
}

登录token获取

from django.contrib import admin
from django.urls import path, include
from rest_framework_simplejwt.views import (
    TokenObtainPairView,
    TokenRefreshView,
)
from rest_framework import routers
from apps.system.views import LogoutView


router = routers.DefaultRouter()

urlpatterns = [
    path('token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),
    path('token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),
    path('token/black/', LogoutView.as_view(), name='token_black'),

    path('system/', include('apps.system.urls')),
    path('blog/', include('apps.blog.urls')),

]

postman测试登录接口

图片

用户管理列表

图片

用户张三的权限列表

图片

用户的权限分配

图片

权限菜单配置

图片

        权限系统可以说是整个系统中最基础,同时也可以很复杂的,在实际项目中,会遇到多个系统,多个用户类型,多个使用场景,这就需要具体问题具体分析,但最核心的RBAC模型是不变的,我们可以在其基础上进行扩展来满足需求。最后,如果您觉得这篇文章对您有帮助,可以点个赞,谢谢支持!

参考

https://github.com/caoqianming/django-vue-admin

希望对大家有所帮助有问题可以联系作者。感兴趣的可以关注作者微信公众号:程序员9527

图片

mid_python
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django REST Framework教程(7): 如何使用JWT认证(神文多图)
大江狗
11-07 7962
在前面的DRF系列文章中,我们介绍了DRF认证(authentication)的本质,以及自带的几种认证方案,包括TokenAuthentication方案。然而JSON Web To...
django restframework-simplejwt 自定义用户模型生成token
qq_45107406的博客
06-09 677
url导入创建的文件Authentication,导入自定义的MyTokenObtainPairView,然后添加路由。文件里写入下面代码,代码中的用户模型model改为自己的,我的模型叫User。四、添加view和url,使用postman测试。用户model添加方框中的内容: 增加。写一个view,测试token
rest framework simplejwt源码解析
HXC_HUANG1的博客
11-11 1585
然后在settings.py中添加: 在settings.py中添加: 添加获取jwt和刷新jwt的路由 二、rest framework simplejwt源码 simplejwt引入的两个视图,分别是TokenObtainPairViewTokenRefreshViewTokenObtainPairViewTokenRefreshView的父类都是TokenViewBase,TokenObtainPairView的as_view方法和restframework中介绍的as_
DjangoRestFramework 使用 simpleJWT登陆认证
mohuisheng的博客
02-27 1834
【代码】DjangoRestFramework 使用 simpleJWT登陆认证
restframework-simpleJWT重写认证机制
roy8666的博客
06-30 1014
simpleJWT重写认证机制
Django restframework 框架认证、权限、限流用法示例
09-18
Django Rest Framework(DRF)是一个为开发高质量API而设计...总结,Django Rest Framework提供了强大的认证、权限和限流机制,使开发者能够构建安全、可控的API。通过合理配置和自定义,可以满足各种复杂的应用场景。
Django Rest framework认证组件详细用法
09-18
Django Rest Framework(DRF)是一个强大的用于构建Web API的工具,它提供了许多开箱即用的功能,包括认证和授权。认证组件是DRF中处理用户身份验证的关键部分,确保只有经过验证的用户才能访问受保护的资源。下面将...
Django REST framework讲义PDF全集,中文文档PDF版
08-11
Django REST Framework(DRF)是基于PythonDjango Web框架的一个强大扩展,专为构建Web API而设计。本讲义全面涵盖了这个框架的核心概念、功能以及最佳实践,旨在帮助开发者快速掌握如何利用DRF创建高效、可维护的...
django-rest-api-jwt-authentication:django rest框架,带有自定义用户的简单jwt auth
04-15
django-rest-api-jwt-authentication django rest框架,带有自定义用户的简单jwt auth专案要求* Python * Django套件安装转到博客所在的项目文件夹(使用控制台,使用cd命令),然后执行以下命令。 创建虚拟环境并...
Django-Rest-Framework 权限管理源码浅析(小结)
09-19
Django Rest Framework的权限管理通过`authentication_classes`和`permission_classes`实现了灵活的控制,允许开发者根据应用需求定制认证和授权策略。理解这些概念以及如何配置它们是构建安全RESTful API的关键。...
认证与授权,JWT 认证
qq_40132294的博客
07-17 812
session_key会保存在服务端,有可能是保存在mysql,有可能是保存在redis,服务端会把这个session_key发送给浏览器客户端,下次来自客户端的请求就会带上这个session_key,服务端校验这个key是否存在,并且是否过期,以判断是否认证通过.obtain_jwt_token生成获取token。refresh_jwt_token刷新token。verify_jwt_token校验token。6.4.3全局路由表中注册路由obtain_jwt_token。......
djangorestframework-simplejwt
python_web全栈
09-14 8242
djangorestframework-simplejwt快速使用
DRF JWT 认证:理解 TokenObtainPairSerializer 和 TokenObtainPairView
weixin_46253270的博客
05-12 1302
Django Rest Framework(DRF)中,rest_framework_simplejwt 是一个流行的库,用于处理 JWT 身份验证。这个库提供了一些有用的工具和类,如 TokenObtainPairSerializer 和 TokenObtainPairView,让我们更容易地实现 JWT 认证
四、【Django】基于Jwt的token认证(登录接口)
最新发布
Ataoker的博客
07-18 4092
django 使用jwt token的东西来进行认证
Django JWT认证实现
咖啡花园
10-09 806
配置JWT认证 先通过 pip install djangorestframework 命令下载 Django REST framework 库,再通过 pip install djangorestframework-simplejwt 命令下载 Django REST framework Simple JWT 库。它们提供了 JWT 的 Django 应用。 配置与编码 在 settings.py 文件里加入以下内容,以支持 JWT 认证REST_FRAMEWORK = { 'DEFAULT_
Django】基于JWT的token认证
无邪的博客
03-28 1759
很多对外开放的API需要识别请求者的身份,并据此判断所请求的资源是否可以返回给请求者。token就是一种用于身份验证的机制,基于这种机制,应用不需要在服务端保留用户认证信息或者会话信息,可实现无状态、分布式的Web应用授权,为应用的扩展提供了便利。Json Web Toke(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC7519。
使用Django REST Framework构建基于权限的用户管理系统
weixin_46253270的博客
05-08 1279
本教程将指导你如何使用Django REST Framework构建一个基于权限的用户管理系统。我将从创建项目开始,逐步讲解如何设计数据模型、序列化器、视图、路由、数据库迁移以及使用APIfox测试API。
Django+Vue,前后端分离,实现用户权限认证
qq_33398946的博客
11-23 5977
网上教程一大堆,要么思路不够清晰,要么给你扔一大段代码,只有几行注释。。。。 看来我这个,你奶奶来都能实现前后端分离用户权限认证Django 采用token认证方式,使用 rest_framework_simplejwt 库配置权限认证。 1、安装第三方库: pip install rest_framework pip install rest_framework_simplejwt 2、项目根目录settings.py配置文件中写入以下配置项 //settings.py //INSTALLED_A
DjangoRestFramework【simplejwt认证
qq_35653657的博客
02-07 2025
在userapp目录下面创建一个,然后在里面创建一个自定义认证类,继承重写函数:原始的只实现用户名密码登入"""实现自定义认证类(登入 内容)如果想自定义认证,就需要继承Django原生的auth,重写django认证方式@param kwargs:认证参数@return:如果认证成功返回认证用户 否则返回None。
简述 django rest framework框架的认证流程
03-24
Django Rest Framework (DRF) 框架的认证流程包括以下步骤: 1. 用户发出登录请求。 2. DRF 向用户返回一个包含 csrf_token 的登录表单页面。 3. 用户输入用户名和密码,提交表单。 4. DRF 向认证后端authentication backend)发起 POST 请求。 5. 认证后端用户名和密码与数据库中的记录进行比对。 6. 如果用户名和密码正确,认证后端生成一个 Token,以 JWT(JSON Web Token) 的形式进行编码。 7. DRF 将 JWT 返回给调用方。 8. 调用方将 JWT 存储在客户端(Cookie 或者 LocalStorage 中)。 9. 提交 API 请求时,调用方将 JWT 发送给 DRF,认证成功后返回对应的数据。 需要注意的是,在 JWT 格式的 Token 中包含有用户 ID、签发时间、过期时间等信息,以及加密的算法,这些信息可以有效防止 Token 被伪造。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值