本文详细介绍了Django中的权限管理机制,包括权限的基本概念、Django Admin中的权限分配、查看和验证用户权限的方法,以及用户组的使用。通过用户组可以批量管理用户权限,实现更灵活的权限控制。同时,文章也提到了Django自带权限机制的不足,并暗示了第三方库django guardian在单个对象权限管理上的作用。
如果你只是利用Django开发个博客,大部分用户只是阅读你的文章而已,你可能根本用不到本节内容。但是如果你想开发一个内容管理系统,或用户管理系统,你必需对用户的权限进行管理和控制。Django自带的权限机制(permissions)与用户组(group)可以让我们很方便地对用户权限进行管理。小编我今天就尝试以浅显的语言来讲解下如何使用Django自带的权限管理机制。
什么是权限?
权限是能够约束用户行为和控制页面显示内容的一种机制。一个完整的权限应该包含3个要素: 用户,对象和权限,即什么用户对什么对象有什么样的权限。
假设我们有一个应用叫blog,其包含一个叫Article(文章)的模型。那么一个超级用户一般会有如下4种权限,而一个普通用户可能只有1种或某几种权限,比如只能查看文章,或者能查看和创建文章但是不能修改和删除。
-
查看文章(view)
-
创建文章(add)
-
更改文章(change)
-
删除文章(delete)
我们在Django的admin中是可以很轻易地给用户分配权限的。
Django Admin中的权限分配
Django中的用户权限分配,主要通过Django自带的Admin界面进行维护的。当你编辑某个user信息时, 你可以很轻易地在User permissions栏为其设置对某些模型查看, 增加、更改和删除的权限(如下图所示)。
Django的权限permission本质是djang.contrib.auth中的一个模型, 其与User的user_permissions字段是多对多的关系。当我们在INSTALLED_APP里添加好auth应用之后,Django就会为每一个你安装的app中的模型(Model)自动创建4个可选的权限:view, add,change和delete。(注: Django 2.0前没有view权限)。随后你可以通过admin将这些权限分配给不同用户。
查看用户的权限
权限名一般有app名(app_label),权限动作和模型名组成。以blog应用为例,Django为Article模型自动创建的4个可选权限名分别为:
-
查看文章(view): blog.view_article
-
创建文章(add): blog.add_article
-
更改文章(change): blog.change_article
-
删除文章(delete): blog.delete_article
在前例中,
最低0.47元/天 解锁文章
扫一扫
1554
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
