django-Vue搭建博客:用户权限

最新推荐文章于 2024-04-14 09:34:22 发布
最新推荐文章于 2024-04-14 09:34:22 发布
阅读量457 收藏
点赞数
分类专栏: 前后端分离 文章标签: python django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25415097/article/details/117877537
版权

权限是 web 应用的重要组成部分。没有权限控制,任何人的请求都会对数据资源进行操控,那就乱套了。

本章就来学习 drf 中如何进行权限管理。

教程来源杜塞-django-vue系列
博客链接 传送门

文章与用户

依靠用户身份来限制权限是比较通用的做法,在静态模式下存在,drf中那也当然存在。
改写文章模型添加用户外键,确定每篇文章的作者,保险起见,我们要提前删除现有的所有文章。

修改文章model,添加以下:

#article/model.py
from django.contrib.auth.models import User

# 博客文章
class Article(models.Model):
	# 用户
    author = models.ForeignKey(
        User,
        null=True,
        on_delete=models.CASCADE,
        related_name='articles'
    )

执行迁移(每次对模型进行修改都需要!!!):

> python manage.py makemigrations
> python manage.py migrate

启动服务器,然后再次请求:

(venv) E:\drf\drf_vue_blog>http http://127.0.0.1:8000/api/article/
HTTP/1.1 200 OK
Allow: GET, POST, HEAD, OPTIONS
Content-Length: 2
Content-Type: application/json
Date: Sun, 13 Jun 2021 06:22:02 GMT
Referrer-Policy: same-origin
Server: WSGIServer/0.2 CPython/3.9.4
Vary: Accept, Cookie
X-Content-Type-Options: nosniff
X-Frame-Options: DENY

[]

空空如也。

接下来对文章列表接口进行操作.

权限控制

DRF 内置了如IsAuthenticatedIsAdminUserAllowAny等权限控制类。

由于是个人博客,因此只准许管理员发布文章。修改文章列表视图如下:

# article/views.py
from rest_framework.permissions import IsAdminUser


class ArticleList(generics.ListCreateAPIView):
	···
    # 新增
    permission_classes = [IsAdminUser]

permission_classes可以接收一个列表,因此权限控制类可以设置多个,请求必须满足所有控制条件才允许被放行。

测试一下:

(venv) E:\drf\drf_vue_blog>http http://127.0.0.1:8000/api/article/
HTTP/1.1 403 Forbidden
Allow: GET, POST, HEAD, OPTIONS
Content-Length: 58
Content-Type: application/json
Date: Sun, 13 Jun 2021 06:23:43 GMT
Referrer-Policy: same-origin
Server: WSGIServer/0.2 CPython/3.9.4
Vary: Accept, Cookie
X-Content-Type-Options: nosniff
X-Frame-Options: DENY

{
    "detail": "Authentication credentials were not provided."
}



(venv) E:\drf\drf_vue_blog>http POST http://127.0.0.1:8000/api/article/ title=may body=not..
HTTP/1.1 403 Forbidden
Allow: GET, POST, HEAD, OPTIONS
Content-Length: 58
Content-Type: application/json
Date: Sun, 13 Jun 2021 06:24:11 GMT
Referrer-Policy: same-origin
Server: WSGIServer/0.2 CPython/3.9.4
Vary: Accept, Cookie
X-Content-Type-Options: nosniff
X-Frame-Options: DENY

{
    "detail": "Authentication credentials were not provided."
}

可以发现确实起作用了,但是除了管理员之外其他人也无法查看,显然这不是我们最重要的结果。

接下来让我们重写。新建 article/permissions.py:

from rest_framework import permissions


class IsAdminUserOrReadOnly(permissions.BasePermission):
    """
    定义我们需要的权限
        1.进管理员可以进行修改
        2.其他用户仅能查看
    """

    def has_permission(self, request, view):
        # 对所有人允许 GET,HEAD,OPTIONS请求
        if request.method in permissions.SAFE_METHODS:
            return True

        # 仅管理员可进行其他操作
        return request.user.is_superuser

自定义的权限类继承了 BasePermission这个基础的父类,并实现了父类中的钩子方法 def has_permission。此方法在每次请求到来时被唤醒执行,里面简单判断了请求的种类是否安全(即不更改数据的请求),如果安全则直接通过,不安全则只允许管理员用户通过。

再次修改视图:

# article/views.py
from .permissions import IsAdminUserOrReadOnly
permission_classes = [IsAdminUser]
# 改为
permission_classes = [IsAdminUserOrReadOnly]

# ArticleList和ArticleDetail添加

改完后进行测试。

首先测试用户未登录状态:


(venv) E:\drf\drf_vue_blog>http http://127.0.0.1:8000/api/article/
HTTP/1.1 200 OK
Allow: GET, POST, HEAD, OPTIONS
Content-Length: 2
Content-Type: application/json
Date: Sun, 13 Jun 2021 06:43:43 GMT
Referrer-Policy: same-origin
Server: WSGIServer/0.2 CPython/3.9.4
Vary: Accept, Cookie
X-Content-Type-Options: nosniff
X-Frame-Options: DENY

[]



(venv) E:\drf\drf_vue_blog>http POST http://127.0.0.1:8000/api/article/ title=may body=not..
HTTP/1.1 403 Forbidden
Allow: GET, POST, HEAD, OPTIONS
Content-Length: 58
Content-Type: application/json
Date: Sun, 13 Jun 2021 06:44:51 GMT
Referrer-Policy: same-origin
Server: WSGIServer/0.2 CPython/3.9.4
Vary: Accept, Cookie
X-Content-Type-Options: nosniff
X-Frame-Options: DENY

{
    "detail": "Authentication credentials were not provided."
}

我们发现,虽然没有文章返回,但是体现出了权限的作用(添加文章测试也是一样的效果,不做多赘述)。
在后台创建普通用户 Obama(这是基础),用普通用户身份进行请求:

# 普通用户Obama密码admin123456

(venv) E:\drf\drf_vue_blog>http -a Obama:admin123456 http://127.0.0.1:8000/api/article/
HTTP/1.1 200 OK 成功
···
[]

(venv) E:\drf\drf_vue_blog>http -a Obama:admin123456 POST http://127.0.0.1:8000/api/article/ title=may body=not..
HTTP/1.1 403 Forbidden 失败
Allow: GET, POST, HEAD, OPTIONS
···
{
    "detail": "您没有执行该操作的权限。"
}

这边中文是因为我更改时区问题,英文为:"detail": "You do not have permission to perform this action.
最后创建超级管理员进行测试,我的为 xianwei

# 管理员在用户 xianwei,密码:admin123456

(venv) E:\drf\drf_vue_blog>http -a xianwei:admin123456 http://127.0.0.1:8000/api/article/
HTTP/1.1 200 OK 请求成功
···
[]

(venv) E:\drf\drf_vue_blog>http -a xianwei:admin123456 POST http://127.0.0.1:8000/api/article/ title=may body=not..
HTTP/1.1 201 Created 请求成功
···
{
    "created": "2021-06-13T15:01:15.586622",
    "id": 8,
    "title": "may"
}

最终完成了我们要的效果,任何人可以查看,只有管理员进行新增(CREATE)、更新(PUT)、删除(DELETE)等修改操作

献伟吖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django-vue-admin学习笔记】前端页面按钮权限控制
Mr数据杨
12-01 1082
前端页面权限控制是一种重要的安全措施,它需要与后端的安全策略紧密结合,共同构成一个全面的应用安全体系。安全性: 仅依赖前端权限控制是不够的,因为客户端代码可以被篡改或绕过。后端的权限验证是必不可少的。用户体验: 合理设计权限控制可以提升用户体验,避免无权限的用户看到不应该看到的功能或信息。数据保护: 前端不应加载用户无权访问的数据,即使这些数据在界面上不可见。
django-vue-admin-pro-master.zip
12-10
django-vue-admin-pro-master.zip
django_vue_rbac:基于DjangoVue的RBAC权限管理系统,可精确到按钮级权限,轻松添加业务页面
03-07
RBAC权限管理系统 项目简介 一个基于DjangoDjango REST框架(DRF),Vue的前布局分离的后台管理系统,可轻松添加业务页面及功能。 系统预览 特别鸣谢 感谢提供的非商业开源软件开发授权 感谢提供一级Django框架 感谢提供设想DRF框架 感谢提供的页面布局及前端模板
django-vue-admin:基于RBAC模型的权限控制的一整套基础开发平台,前拆分分离,采用django + django-rest-framework,前端采用ruoyi-ui + vue + ElementUI
03-07
Django-Vue-管理员 平台简介 Django-Vue-Admin是一套完整开源的快速开发平台,无需保留给个人及企业免费使用。 前端采用ruoyi-ui,Vue,Element UI。 率先采用Python语言Django框架。 权限认证使用Jwt,支持多终端认证系统。 支持加载动态权限菜单,多方式轻松权限控制。 高效率开发,使用代码生成器可以一键生成前的代码。 特别鸣谢: , , , 。 QQ群 QQ群号:812482043 由于项目正在启步阶段,第一版预计3月底发,后序会慢慢维护其他版本,有什么不到位的请大家担待〜 原始地址 gitee地址: ://gitee.com/liqianglog/django-vue-admin github地址: : 内置功能 用户管理:用户是系统操作者,该功能主要完成系统用户配置。 部门管理:配置系统组织机构(公司,部门,小组),树
Django Vue Admin: 打造现代化后台管理界面的利器
最新发布
gitblog_00079的博客
04-14 447
Django Vue Admin: 打造现代化后台管理界面的利器 项目地址:https://gitcode.com/liqianglog/django-vue-admin 在快速发展的Web开发领域中,高效、美观且易于维护的后台管理系统是每个开发者梦寐以求的工具。Django Vue Admin正是这样一个项目,它结合了PythonDjango框架和前端的Vue.js,为开发者提供了一套完整的后...
django-vue-admin:基于RBAC模型权限控制的中小型应用的基础开发平台,前拆分分离,采用采用django + django-rest-framework,前端采用vue + ElementUI,移动端采用uniapp + uView(可发布) h5和小程序)
02-04
简介 基于RBAC模型权限控制的中小型应用的基础开发平台,前拆分,替代采用django + django-rest-framework,前端采用vue + ElementUI,移动端采用uniapp + uView(可发布h5和小程序)。 JWT认证,可使用simple_history实现审计功能,支持 内置模块有组织机构\用户\角色\职位\数据字典\文件库\定时任务 支持功能权限(控权到每个接口)和简单的数据权限(全部,本级及以下,同级及以下,本人等) 部分截图 启动(以下是在windows下开发操作步骤) django革命 定位到服务器文件夹 建立虚拟环境python -m venv v
Django-Vue-Admin基于Django+Vue前后端分离权限管理框架
一米阳光的博客
10-23 486
一款 Python 语言基于DjangoVue、ElementUI、MySQL等框架精心打造的一款模块化、高性能、企业级的敏捷开发框架,本着简化开发、提升开发效率的初衷触发,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮等等一系列个性化、轻量级的组件,是一款真正意义上实现低代码开发的敏捷开发框架。
vue django 的权限控制
QDY5945的博客
11-23 630
vue做前端页面, Django 提供api, 写了一个后台系统,结合方式是vue打包后的dist目录直接作为Django的静态目录, 这样的好处是不用配置Nginx 具体的做法不在这里写了,记一下...
基于 Django + Vue 实现的 用户信息管理系统
01-02
可修改用户信息,头像,个性签名等
Django+Vue写一个权限管理系统
一夜白头催人泪
03-16 1509
由于博主能力有限,博文中提及的方法即使经过试验,也难免会有疏漏之处。希望您能热心指出其中的错误,以便下次修改时能以一个更完美更严谨的样子,呈现在大家面前。同时如果有更好的实现方法也请您不吝赐教。
Django+Vue+AntDesign实现RBAC权限管理系统
一米阳光的博客
03-24 269
一款 Python 语言基于DjangoVue3.x、AntDesign、MySQL等框架精心打造的一款模块化、高性能、企业级的敏捷开发框架,本着简化开发、提升开发效率的初衷触发,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮等等一系列个性化、轻量级的组件,是一款真正意义上实现低代码开发的敏捷开发框架。
vue+django前后端分离权限控制之django权限控制
qq_32656561的博客
08-10 2001
为什么要使用vue+jwt? 原来项目是使用原生html+css+jquery开发,每次访问网站都会加载全部文件,登录后根据权限内容显示对应权限的页面。这样会导致访问时间变长,而且页面切换很麻烦。 使用vue可以进行数据绑定,一旦数据发生改变,可以更快地展示出来,vue系列的一些组件(称为vue全家桶)如vue-router,vuex等可以对项目有很好的扩展。 后端权限认证 jwt(json web token),主要用于用户认证(前后端分离/微信小程序/app开发) Json web token (JW
django认证系统实现自定义权限管理的方法
12-25
本文记录使用django自带的认证系统实现自定义的权限管理系统,包含组权限、用户权限等实现。 0x01. django认证系统 django自带的认证系统能够很好的实现如登录、登出、创建用户、创建超级用户、修改密码等复杂操作,并且实现了用户组、组权限、用户权限等复杂结构,使用自带的认证系统就能帮助我们实现自定义的权限系统达到权限控制的目的。 0x02. 认证系统User对象 User对象顾名思义即为表示用户的对象,里面的属性包括: username password email first_name last_name is_superuser is_active 创建好对象后,django
django-vue-admin 依赖包
04-23
vue 依赖包,省的每次自己安装依赖,一堆报错 项目地址:https://gitee.com/liqianglog/django-vue-admin 项目介绍: django-vue-admin-pro 是一套全部开源的快速开发平台,毫无保留给个人及企业免费使用。 前端采用D2Admin 、Vue。 后端采用Python语言Django框架。 权限认证使用Jwt,支持多终端认证系统。 支持加载动态权限菜单,多方式轻松权限控制。
django-vue-template:Django Rest + Vue JS模板
02-05
Django Vue模板 :victory_hand: :snake: 该模板是使用VueDjango的应用程序的最小示例。 VueDjango在此项目中明显分开。 Vue,Yarn和Webpack处理所有前端逻辑和捆绑评估。 DjangoDjango REST框架可管理数据...
cookiecutter-django-vue:Cookiecutter Django VueDjango-Vue项目的模板
02-04
Cookiecutter Django-Vue 由提供支持,受启发。 产品特点 服务器: 前端: + + 后端: 数据库: API:REST或GraphQL 可选集成 可以在初始项目设置期间启用这些功能。 与集成以进行本地电子邮件测试 与集成以...
一、django-vue-admin开源项目二次开发——环境调试
喵酱
05-31 3293
2. 在项目根目录中,复制 ./conf/env.example.py 文件为一份新的到 ./conf 文件夹下,并重命名为 env.py。使用pycharm打开 后端项目的时候,要直接打开backend项目,而不是打开django-vue-admin-pro目录。后端接口文档地址:http://127.0.0.1:8000/swagger。5、浏览器访问 http://localhost:8080。注意,这个项目node 18 版本,会报错。下载项目,前端和后端是在一起的。再使用cnpm安装依赖。
django vue admin服务器部署
wxlly06的博客
12-21 1078
服务器配置
django-vue-admin:基于RBAC模型权限控制的前后端分离基础开发平台
baidu_35888196的博客
11-05 2874
django-vue-admin 项目地址:https://github.com/caoqianming/django-vue-admin 简介 基于RBAC模型的权限控制的基础开发平台,前后端分离,后端采用django+django-rest-framework,前端采用vue+ElementUI. JWT认证,具有审计功能 内置模块有组织机构\用户\角色\岗位\数据字典\文件库 支持功能权限(控权到每个接口)和简单的数据权限(全部、本级及以下、同级及以下、本人等) 部分截图 启动..
django-vue-admin项目搭建
08-20
搭建一个django-vue-admin项目,你可以按照以下步骤进行操作: 1. 首先,创建一个Django项目,并安装所需的依赖。在设置文件中,确保你的TEMPLATES配置中包含了以下内容:'BACKEND': 'django.template.backends.django.DjangoTemplates'。 2. 接下来,配置Django的模板上下文处理器。在设置文件中,确保你的TEMPLATES配置中包含了以下内容:'django.contrib.auth.context_processors.auth'和'django.template.context_processors.request'。 3. 然后,安装django-vue-admin库。你可以使用pip安装它:pip install django-vue-admin。 4. 在你的Django项目中创建一个新的应用程序。你可以使用以下命令创建一个名为"admin"的应用程序:python manage.py startapp admin。 5. 在你的项目设置文件中注册新创建的应用程序。将'app名'admin'添加到你的INSTALLED_APPS配置中。 6. 在admin应用程序的目录中创建一个名为"templates"的文件夹,并在其中创建一个名为"admin"的子文件夹。 7. 在"admin"文件夹中创建一个名为"base.html"的模板文件,该文件将作为你的项目的基础模板。 8. 在"base.html"模板文件中,使用Vue.js编写前端代码,以实现你希望在项目中看到的功能和样式。 9. 在你的admin应用程序的视图中,定义需要的后端逻辑和模型操作。 10. 最后,运行你的Django服务器并访问项目的URL,以查看django-vue-admin项目的效果。 请按照以上步骤进行操作,你就可以成功地搭建一个django-vue-admin项目了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Django+Vue环境搭建](https://blog.csdn.net/WeirdoGiraffe/article/details/124863602)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值