django(权限、认证)系统—— Permissions和Group

最新推荐文章于 2023-04-18 09:56:08 发布
最新推荐文章于 2023-04-18 09:56:08 发布
阅读量99 收藏
点赞数
文章标签: 数据库 python
原文链接:http://www.cnblogs.com/wangwei916797941/p/7398969.html
版权
django(权限、认证)系统—— Permissions和Group

接着上面的3篇讨论文章,我们阐述了Django中如何使用Authentication系统进行,用户的创建,登陆,登出,完成了用户的认证。接下来,我们要看另外一个议题,那就是Authorization授权。在Django中这部分使用Permission来简单完成的。在这篇文章中,我们要对Permission进行一下研究。

Django中的Permissions设置,主要通过Django自带的Admin界面进行维护。主要通过设置某些用户对应于某类模型的add\change\delete三种类型的权限,即是设置某些人对某些模型能够增加、修改、删除的权限设置。

Permission不仅仅能够设置某类模型,还可以针对一个模型的某一个对象进行设置。 

许可(Permissions)

其实,当我们在django中安装好了auth应用之后,Django就会被每一个你安装的app中的Model创建三个权限:add,change,delete;相应的数据,就是在你执行python manage.py syncdb之后插入到数据库中的。每一次你执行syncdb,Django都会为每个用户给新出现的Model增加这三个权限。

例如,你创建了一个应用叫做school,里面有一个模型叫做StudyGroup,那么你可以用任何一个user对象执行下面的程序,其结果都返回True:

user.hash_perm( 'school.add_studygroup' )
user.hash_perm( 'school.change_studygroup' )
user.hash_perm( 'school.delete_studygroup' )

当然,我们也可以自己定义一些许可。方法很简单,就是在Model类的meta属性中添加permissions定义。比方说,创建了一个模型类叫做Discussion,我们可以创建几个权限来对这个模型的权限许可进行控制,控制某些人可以发起讨论、发起回复,关闭讨论。

class  Discussion(models.Model):
     ...
     class  Meta:
         permissions  =  (
             ( "open_discussion" "Can create a discussion" ),
             ( "reply_discussion" "Can reply discussion" ),
             ( "close_discussion" "Can remove a discussion by setting its status as closed" ),
         )

接下来要做的就是最后一步,执行manage.py syncdb,这样数据库中就有了这三个许可了。

我们可以将上面的权限赋予用户,方法有两种:

  1. 通过某一个user的user_permissions属性(文章1中有提及):
    user.user_permissions.add(permission, permission, ...)

      

  2. 通过user的一个组,然后通过Group的permissions属性:
    group.permissions.add(permission, permission, ...)

      

比如我们要判断一个用户是否有发讨论的权限,我们可以用下面的代码:

user.has_perm( 'school.open_discussion' )

 Permission类和User类没什么特殊的,都是普通的DjangoModel。在第一篇文章中我们详细探讨了User模型的属性和方法。在这里我们探讨一下Permission模型和如何用编程的方式而不是通过预定义然后syncdb的方式创建permission。因为也许在某些时候,需要动态创建并分配权限。

Permission 属性:

所属模块:django.contrib.auth.models

属性:

  1. name:必填。小于50个字符。例如:'Can publish'。
  2. content_type:必填。一个指向django_content_type数据库表,对于每一个Django模型,在这个表里面都有一个记录对应。
  3. codename:必填。小于100个字符。例如:'can_publish'。

方法:没有特殊方法。具有所有普通DjangoModel的方法。

编程创建权限:

from  django.contrib.auth.models  import  Group, Permission
from  django.contrib.contenttypes.models  import  ContentType
 
content_type  =  ContentType.objects.get(app_label = 'school' , model = 'Discussion' )
permission  =  Permission.objects.create(codename = 'can_publish' ,
                                        name = 'Can Publish Discussions' ,
                                        content_type = content_type)

在界面中使用许可

接下来,我们需要探讨一下如何在Template(模板)中使用许可。因为有的时候需要在界面上,通过一些许可来控制界面的显示。

在Django中在界面上进行权限设置非常方便,因为Django为你做了很多工作。

在模版代码中,有两个属性,是Django给你提供好的,一个是user,一个是perms。

比方说我们可以这样判断一个用户是否是登陆用户,进而作出不同的显示:

{% if user.is_authenticated %}
     < p >Welcome, {{ user.username }}. Thanks for logging in.</ p >
{% else %}
     < p >Welcome, new user. Please log in.</ p >
{% endif %}

user变量是一个User或者AnoymousUser对象。

perms变量是一个django.contrib.auth.context_processors.PermWrapper对象,对当前用户的User.has_module_perms和User.has_perm进行了封装。这个包装器让你使用perm起来非常的方便。比如,我们需要判断当前用户是否拥有school应用下的所有权限,则使用

{{perms.school}}

我们如果判断当前用户是否拥有school应用下发表讨论的权限,则使用{{perms.school.publish_discussion}}

这样结合template的if标签,我们可以通过判断当前用户所具有的权限,显示不同的界面了:

{% if perms.school %}
     < p >You have permission to do something in the school app.</ p >
     {% if perms.school.publish_discussion %}
         < p >You can discussion!</ p >
     {% endif %}
     {% if perms.school.reply_discussion %}
         < p >You can reply discussion!</ p >
     {% endif %}
{% else %}
     < p >You don't have permission to do anything in the school app.</ p >
{% endif %}

当然,我们不禁要问,在模版中为何会有这两个变量呢?Django是如何做到的呢?答案是:settings 中的TEMPLATE_CONTEXT_PROCESSORS中定义的django.contrib.auth.context_processors.auth处理器。在Django进入解析Template之前,首先要经过这一个个的context_processor。其中django.contrib.auth.context_processors.auth就是将user和perms这俩对象放到TemplateContext中去的。

另外,我们还需要使用RequestContext作为TemplateContext。例如:

from  django.template  import  RequestContext
from  django.shortcuts  import  render_to_response
def  someview(request):
     ...view logic
     ctx  =  {somekey:somevalue}
     return  render_to_response( 'instances/accounts/tparts/update_share_limit_form.html' ,
                                               ctx,
                                               context_instance = RequestContext(request))

  

确保上述两个要点,我们在template中使用权限控制就非常的简单了。

接下来我们简单说一下最后一个核心模型:用户组。

用户组(Group)

用户组模型很简单,和User模型是多对多的关系。用户组顾名思义,就是对用户进行了分组。其作用在权限控制中就是可以批量的对用户的许可进行分配,而不用一个一个的按用户分配,节省维护的工作量。

将一个用户加入到一个Group中,该用户就拥有了该Group所分配的所有许可。例如,如果一个组teachers有许可can_create_lesson。那么所有属于teachers组的用户都会有这个权限。

Group:

属性:

  1. name:必须。少于80个字符。
  2. permissions:多对多引用。和user的user_permissions属性类型相同。我们可以通过:
    group.permissions  =  [permission_list]
    group.permissions.add(permission, permission, ...)
    group.permissions.remove(permission, permission, ...)
    group.permissions.clear()

    给该组赋予权限。

在下一篇博文中,我们将讨论Django内置的权限控制系统中的核心部件,backend,作为讨论Django内置权限控制的最后的一篇。

posted on 2017-08-20 09:57 _潜行者 阅读( ...) 评论( ...) 编辑 收藏

转载于:https://www.cnblogs.com/wangwei916797941/p/7398969.html

weixin_30883777
关注
Django基础(23): 权限管理(permissions)与用户组(group)详解
大江狗
11-27 4万+
如果你只是利用Django开发个博客,大部分用户只是阅读你的文章而已,你可能根本用不到本节内容。但是如果你想开发一个内容管理系统,或用户管理系统,你必需对用户的权限进行管理和控制。Django自带的权限机制(permissions)与用户组(group)可以让我们很方便地对用户权限进行管理。小编我今天就尝试以浅显的语言来讲解下如何使用Django自带的权限管理机制。 什么是权限? ...
Django--权限Permissions
gy的博客
07-17 2834
权限全局配置: REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.IsAuthenticated', ) } 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过ge...
Django中的许可(Permissions)和用户组(Group
weixin_34026276的博客
10-24 344
Reference: http://www.cnblogs.com/esperyong/archive/2012/12/20/2826690.html 接着上面的3篇讨论文章,我们阐述了Django中如何使用Authentication系统进行,用户的创建,登陆,登出,完成了用户的认证。接下来,我们要看另外一个议题,那就是Authorization授权。在Django中这部分使用Permissio...
python-django-permission
孤饮独醉
03-31 2783
django-permission 1. Django权限机制概述 权限机制能够约束用户行为,控制页面的显示内容,也能使API更加安全和灵活;用好权限机制,能让系统更加强大和健壮。因此,基于Django的开发,理清Django权限机制是非常必要的。 1.1 Django权限控制 Django用user, group和permission完成了权限机制,这个权限机制是将
Django REST Framework 框架」Permissions权限解析及应用举例
qinzuoyu996的博客
08-23 1114
全部 Django Web 开发文章索引目录传送门: 【Django Web 开发】全部文章目录索引 文章目录 内容介绍 Permissions权限 应用举例 内容介绍 代码内容基于「Django REST Framework API框架」源码版本 3.12.x ,更新内容会进行标记说明对应版本。 身份认证权限组合使用,用来确定请求是否返回数据还是拒绝请求数据。 Permissions权限 1.确定权限 # 在运行视图前检查每个请求的权限 # 如果检查失败则会引发 exceptions.Perm
Django permission
cyan-blue
06-23 1149
使用django权限管理系统permission 1、为model添加权限 class OrderList(models.Model): id = BigIntegerAutoField(primary_key=True) buyer_name = models.CharField(default="",max_length=32, verbose_name=u'买手')
django自带的权限管理Permission用法
卡萝尔的博客
04-07 7734
Permission的用法前言默认的权限(add, change, delete, view)使用方法在函数中验证权限,使用user.has_perm在函数上验证权限,使用@permission_required 前言 一些公司内部的CMS系统存在某些内容让指定的用户有权限访问,这时候可以用django自带的权限管理进行限制,比较方便。 缺点:django自带的权限是针对model(模型)的,不能...
django 权限管理permission
weixin_30607029的博客
02-14 245
1.为模型类添加权限 from django.db import models from django.utils.translation import ugettext_lazy as _ class Monitor(models.Model): ...... class Meta: verbose_name = _(u'设备信...
django权限管理(Permission)
weixin_30419799的博客
06-13 260
什么是权限管理 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自 己被授权的资源 权限管理好比如钥匙,有了钥匙就能把门打开,但是权限设置是有级别之分的,假如这个 系统有多个权限级别就如一间屋有多个门,想要把所有门都打开您必须要取得所有的钥 匙,就如系统一样。 django权限机制 django权限机制能够约束用户行为,控制页面的显示内容,也能使API更加安全和灵...
django权限管理系统permission
jazywoo_在路上
03-11 1771
1.为model添加权限 [html] view plaincopy class Task(models.Model):       .......       class Meta:           permissions = (               ('oprater_task','can change the tasks'), 
Django权限Permissions的例子
12-26
权限全局配置: REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.IsAuthenticated', ) } 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object()获取具体对象时,会进行对象访问权限的判断 如果不指定就用默认的配置: 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.Allo
django自带的权限管理Permission用法说明
12-17
前言 一些公司内部的CMS系统存在某些内容让指定的用户有权限访问,这时候可以用django自带的权限管理进行限制,比较方便。 缺点:django自带的权限是针对model(模型)的,不能针对单条数据,要针对单条数据需要额外的操作。 默认的权限(add, change, delete, view) django针对每个模型,生成了四个默认的权限(add, change, delete, view)。例如,我有一个model叫Log,那么这四个默认权限数据库的存储格式为: 表auth_permission(注:id字段的值是随便取的,使用python manage.py migrate的时候会自
django-admin-permissions:非常简单的扩展,在admin字段中添加了权限检查
05-09
django-admin-permissions 非常简单的扩展,在admin字段中添加了权限检查 要求 Python 2.7+或Python 3.3+ Django 1.8以上 安装 使用您喜欢的Python软件包管理器从PyPI安装应用程序,例如 例子: pip install django-admin-permissions 将admin_permissions添加到INSTALLED_APPS : 例子: INSTALLED_APPS = ( ... ' admin_permissions ', ... ) 用法示例 使用ModelAdminPermission类,并使用fields_permissions设置权限: class ArticleAdmin ( ModelAdminPermission ): fieldsets = [
Django权限系统auth
css0602的博客
06-21 250
auth模块是Django提供的标准权限管理系统,可以提供用户身份认证, 用户组和权限管理。 auth可以和admin模块配合使用, 快速建立网站的管理系统。 在INSTALLED_APPS中添加'django.contrib.auth'使用该APP, auth模块默认启用. User User是auth模块中维护用户信息的关系模式(继承了models.Model), 数据库中该表被命名为auth_user. User表的SQL描述: CREATE TABLE "auth_user" (
Django rest framework Permissions
ls_ange的博客
12-27 365
AllowAny:任何人都可以访问 IsAdminUser:除了user.is_staff是true以外的都会被拒绝,也就是管理员才可以访问 IsAuthenticated:只有注册用户才能访问 IsAuthenticatedOrReadOnly:注册用户可以以任何方法访问,没有注册的用户只能以安全方法(GET,HEAD,OPTIONS)访问.就是说api可以被任何用户read,但是只能被注册用户...
用源码告诉你django权限管理是怎么回事
热门推荐
yangyihongyangjiying的专栏
05-10 1万+
本文将从以下几方面讲述以下django权限管理: 1、系统默认的权限管理使用,讲解django权限管理的本质 2、自定义USER应该如果使用权限管理 3、如何定义自己想要的权限 系统默认的权限管理使用 用户的权限为:auth_user_user_permissions中记录的具体权限 跟 所在群对应的权限的并集
Django Model中的字段类型、参数、Meta选项详解
D先生的博客
10-11 3303
model field 类型 AutoField 一个自增的IntegerField 一般不直接使用,Django会自动给每张表添加一个自增的primary key。 BigIntegerField 64位整数, -9223372036854775808 到 9223372036854775807。默认的显示widget 是 TextInput. BinaryField ( Django 1...
Django REST Framework(DRF)框架之认证Authentication与权限Permission
最新发布
积跬步,至千里。
04-18 2899
Django REST Framework (DRF)提供了一系列的认证权限功能来保护Web API不被未授权用户访问或滥用。
Django用户认证:深入理解组与权限机制
Django的用户认证系统通过组和权限的结合,提供了一套强大且灵活的权限管理系统,使得开发者能够根据项目需求轻松地管理用户访问权限,从而确保系统的安全性和合规性。理解和熟练掌握这一系统,对于构建复杂、安全的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值