python笔记(Django 基于中间件的权限管理,权限粒度控制)

最新推荐文章于 2024-04-29 16:49:34 发布
最新推荐文章于 2024-04-29 16:49:34 发布
阅读量2.2k 收藏 12
点赞数 2
分类专栏: web框架Django 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41433183/article/details/88629363
版权

一、基于中间件的权限管理

  1. 权限,角色表的创建

    class User(models.Model):
	name=models.CharField(max_length=32)
	pwd=models.CharField(max_length=32)
	roles=models.ManyToManyField(to="Role")

	def __str__(self): return self.name

class Role(models.Model):
	title=models.CharField(max_length=32)
	permissions=models.ManyToManyField(to="Permission")

	def __str__(self): return self.title

class Permission(models.Model):
	title=models.CharField(max_length=32)
	url=models.CharField(max_length=32)

	def __str__(self):return self.title

  2. 登录成功session数据采集

    sever/perssion.py

    	def initial_session(user,request):
	    permissions = user.roles.all().values("permissions__url").distinct() # .distinct()去重
	
	    permission_list = []
	
	    for item in permissions:
	        permission_list.append(item["permissions__url"])
	    print(permission_list)
	
	    request.session["permission_list"] = permission_list

    views.py

    		request.session["user_id"]=user.pk
	    initial_session(user,request)

  3. 中间件做权限认证(正则表达式)

     import re
 from django.utils.deprecation import MiddlewareMixin
 from django.shortcuts import  HttpResponse,redirect
 
 class ValidPermission(MiddlewareMixin):

 def process_request(self,request):


     # 当前访问路径
     current_path = request.path_info

     # 检查是否属于白名单
     valid_url_list=["/login/","/reg/","/admin/.*"]

     for valid_url in valid_url_list:
         ret=re.match(valid_url,current_path)
         if ret:
             return None


     # 校验是否登录

     user_id=request.session.get("user_id")

     if not user_id:
         return redirect("/login/")


     # 校验权限
     permission_list = request.session.get("permission_list",[])  # ['/users/', '/users/add', '/users/delete/(\\d+)', 'users/edit/(\\d+)']

     flag = False
     for permission in permission_list:

         permission = "^%s$" % permission

         ret = re.match(permission, current_path)
         if ret:
             flag = True
             break
     if not flag:
         return HttpResponse("没有访问权限!")

     return None

  4. 在setting中放入自己的中间件

    MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    "rbac.service.rbac.ValidPermission"
]

小知识:
1、什么时候该给路径加反斜杠:若没有加杠Django会自己加杠给重定向一次,相当于访问了浏览器两次。去除重定向:APPEND_SLASH = False 在setting.py中配置

在这里插入图片描述

二、权限粒度控制

  1. 更改数据库结构

    class Permission(models.Model):
	title=models.CharField(max_length=32)
	url=models.CharField(max_length=32)

	action=models.CharField(max_length=32,default="")
	group=models.ForeignKey("PermissionGroup",default=1)
	def __str__(self):return self.title



class PermissionGroup(models.Model):
	title = models.CharField(max_length=32)

	def __str__(self): return self.title

  2. 登录验证:

    permissions = user.roles.all().values("permissions__url","permissions__group_id","permissions__action").distinct()

  3. 构建permission_dict
    原始permission_dict:

        permissions:
		[

		 {'permissions__url': '/users/add/', 
		 'permissions__group_id': 1, 
		 'permissions__action': 'add'}, 
		 
		 {'permissions__url': '/roles/', 
		 'permissions__group_id': 2, 
		 'permissions__action': 'list'}, 
		 
		 {'permissions__url': '/users/delete/(\\d+)', 
		 'permissions__group_id': 1, 
		 'permissions__action': 'delete'}, 
		 
		 {'permissions__url': 'users/edit/(\\d+)', 
		 'permissions__group_id': 1, 
		 'permissions__action': 'edit'}
		 ]

    经过的数据处理函数:

    permission_dict= {}
for i in permissions:
   id = i.get('permissions__group_id')
   if id not in permission_dict:
       permission_dict[id] = {
           'urls':[i.get('permissions__url'),],
           'action':[i.get('permissions__action'),]
       }
   else:
       permission_dict[id].get('urls').append(i.get('permissions__url'))
       permission_dict[id].get('action').append(i.get('permissions__action'))

    得到最终的数据:

    permission_dict =  {
				 
				 1: {
				 'urls': ['/users/', '/users/add/', '/users/delete/(\\d+)', 'users/edit/(\\d+)'], 
				 'actions': ['list', 'add', 'delete', 'edit']
				 }, 
				 
				 2: {
				 'urls': ['/roles/'],
				 'actions': ['list']
				 }
				 
		           }

  4. 中间件校验权限:

    permission_dict=request.session.get("permission_dict")

for item in permission_dict.values():
      urls=item['urls']
      for reg in urls:
          reg="^%s$"%reg
          ret=re.match(reg,current_path)
          if ret:
              print("actions",item['actions'])
              request.actions=item['actions']
              return None

return HttpResponse("没有访问权限!")

  5. 菜单权限

    # 注册菜单权限
permissions = user.roles.all().values("permissions__url","permissions__action","permissions__group__title").distinct()
print("permissions",permissions)

menu_permission_list=[]
for item in permissions:
    if item["permissions__action"]=="list":
        menu_permission_list.append((item["permissions__url"],item["permissions__group__title"]))

print(menu_permission_list)
request.session["menu_permission_list"]=menu_permission_list
背后——NULL
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python权限验证装饰器
panyis_的博客
07-30 287
在实际应用中,权限验证可能更为复杂,可能需要结合数据库、RBAC(Role-Based Access Control)等方法来实现全面的权限管理。你可以编写一个中间件来验证用户的权限,并在需要时拒绝访问或执行其他操作。:为每个用户分配角色,并将角色与相应的权限进行关联。在访问URL之前,检查用户的角色是否具有访问该URL的权限。:在Python中,你可以使用装饰器来包装你的视图函数,并在每次请求进入视图函数之前进行权限验证。在实际应用中,你需要根据你的身份验证系统来获取用户权限
Django 自定义权限管理系统详解(通过中间件认证)
marraybug的博客
06-10 1668
1. 创建工程文件, 修改setting.py文件 django-admin.py startproject project_name 特别是在 windows 上,如果报错,尝试用 django-admin 代替 django-admin.py 试试 setting.py 最终的配置文件 ​ import os import sys # Build paths inside the project like this: os.path.join(BASE_DIR, ....
企业级项目|用Python进行web开发企业统一用户认证和权限控制平台_python web流程审批
最新发布
2301_82241983的博客
04-29 918
更多Python视频、源码、资料加群683380553免费获取。
Django设置权限管理
gongzairen的博客
07-20 4655
django实现不同用户访问不同的网页,只有拥有特定权限的用户才能访问对应的网页
Django 不到20行代码实现用户认证及权限管理完整功能
Python技术探索
12-08 4356
django auth 用户认证、鉴权、登录管理、权限管理,内置视图,不到20行代码完成
django 如何编写控制登录和访问权限控制中间件
云中不知人的专栏
01-12 5271
django中,很多时候我们都需要有一个地方来进行更加详细的权限控制,例如说哪些用户可以访问哪些页面,检查登录状态等,这里的话就涉及到了中间件的编写了。 在django项目下的setting.py文件中,有一个MIDDLEWARE_CLASSES的字段,这里存放的就是中间件,用户的访问会先经过这些中间件的处理之后再给各种views函数进行处理。在这个参数中加入我们接下来要编写的中间件: MID
Python基于Django的旅游信息管理系统源码
05-21
Python基于Django的旅游信息管理系统源码Python基于Django的旅游信息管理系统源码Python基于Django的旅游信息管理系统源码Python基于Django的旅游信息管理系统源码Python基于Django的旅游信息管理系统源码Python基于...
Python基于Django框架的文档管理系统源码.zip
07-09
Python基于Django框架的文档管理系统源码是一个用于创建、存储和管理文档的Web应用程序,它利用了Python的强大功能和Django框架的高效开发特性。Django是一个开源的、基于模型-视图-控制器(MVC)设计模式的高级Web...
基于Django和Vue的RBAC权限控制后台管理系统源码
03-25
项目概述:本源码为基于角色基础访问控制(RBAC)模型的中小型应用开发平台,采用前后端分离架构。...该平台为开发人员提供了一个具有完善权限控制的后台管理系统,支持快速开发具有复杂权限需求的中后台应用。
Python基于Django学生宿舍管理系统源码.zip
05-08
Python基于Django学生宿舍管理系统源码 Python基于Django学生宿舍管理系统源码 Python基于Django学生宿舍管理系统源码 Python基于Django学生宿舍管理系统源码 Python基于Django学生宿舍管理系统源码 Python基于...
Python基于Django的图书管理系统源码.zip
05-08
Python基于Django的图书管理系统源码 Python基于Django的图书管理系统源码 Python基于Django的图书管理系统源码 Python基于Django的图书管理系统源码 Python基于Django的图书管理系统源码 Python基于...
django 实现编写控制登录和访问权限控制中间件方法
09-19
今天小编就为大家分享一篇django 实现编写控制登录和访问权限控制中间件方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django 中间件详解
szial的专栏
03-01 506
本文介绍了 Django 中间件的机制和原理。中间件是一种在视图函数执行前后拦截并处理 HTTP 请求和响应的机制,可以对请求进行预处理和响应进行处理。Django 框架提供了很多内置的中间件,同时也支持自定义中间件来实现特定的功能需求。
Django 基于RBAC的通用权限管理实现
weixin_47631745的博客
04-07 901
RBAC(Role-Based Access Control)是指基于角色的权限访问控制,是信息系统应用最广泛的权限控制方式。在RBAC中有3个要素:用户、角色、权限
Django实战【六】—权限管理系统rbac组件实现
饶一熊的博客
03-19 3246
一、权限管理rbac组件 1.权限管理组件的实现思路 表结构分析 rbac的意思之前我详细提过,就是基于角色的访问权限控制,其实说白了啊,就是针对不同的用户角色, 给他们分配了访问哪些url的权利,因为在实际工作场景中,不同分工的人之间的业务也应该是各自来展开的。 也就是说权限本质上是一个url访问路径,而在我们实现的rbac组件中,权限是分配到对应的角色下,然后角色和用户之间又是一层多对多的关系。 有人会问,既然你是想要给用户分配不同的权限,那么为什么不直接单独给用户来分配权限,而是要通过角色表来呢?其实
Django(十三):中间件组件和auth模块
道可道 非常道
09-17 324
中间组件 一 什么是中间件 中间件顾名思义,是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出。因为改变的是全局,所以需要谨慎实用,用不好会影响到性能。 二 中间件有什么用 如果你想修改请求,例如被传送到view中HttpRequest对象。或者你想修改view返回的HttpResponse对象,这些都可以通过中间件...
权限控制设计思路
热门推荐
12-30 1万+
<br /> 最近的一个项目做了一个权限控制,大概来说下思路:权限控制具体的目的是不仅要控制页面,还要可以控制到页面上的某一个按钮是否有权限操作或页面的某一个模块是否可以显示或是否有权限写等等 <br /> <br />      数据库表设计:管理员,角色,页面,模块 <br /> <br />(1)、模块是属于页面,模块可以是页面上的一个按钮或某一块内容 <br />(2)、页面分为一级页面和二级页面,一级页面作为导航页面,二级页面是导航下的子页面 <br />(3)、角色可以根据需要来选择页面和页面
基于PythonDjango框架的智能设备管理系统设计与实现
该系统的实现基于Django框架提供的强大功能,如数据库管理、用户权限管理和网页模板等,能够实现设备管理、设备状态监测、远程控制等核心功能。 **知识点7: 系统测试与评估** 系统测试与评估是指对系统进行测试和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值