Django RBAC权限组件

最新推荐文章于 2024-06-24 23:15:34 发布
最新推荐文章于 2024-06-24 23:15:34 发布
阅读量2.1k 收藏 16
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47587864/article/details/109316347
版权

Django——权限组件(中间件判断用户权限–URL初级)

大家在学习,写项目的时候或多或少的了解过一些,关于RBAC的知识点。

简单介绍 RBAC

RBAC是什么?

RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。

RBAC介绍。

RBAC 认为授权实际上是Who 、What 、How 三元组之间的关系,也就是Who 对What 进行How 的操作,也就是“主体”对“客体”的操作。

  • Who:是权限的拥有者或主体(如:User,Role)。
  • What:是操作或对象(operation,object)。
  • How:具体的权限(Privilege,正向授权与负向授权)。

然后 RBAC 又分为RBAC0、RBAC1、RBAC2、RBAC3。后期我会介绍。

简单的了解了概念后,我们来看下他基本的使用方法。

问题:

在了解了 RBAC后知道了,角色都有对应的权限,我们大胆的设想下。在 一个项目中,每一个 点击事件资源的请求,都可能是会对用户的权限来进行判断。结合了 Restful的思想,资源的请求,还分为:Get,Post,Put,Delete方法。这些方法的权限也都需要来进行判断。

下面开始演示

Pyhton中RBAC的设计思路

  1. 数据库层面(models)

    用户、角色、权限、权限组、菜单(菜单只是为了在页面展示以及菜单作用)

  2. 中间件层(middlewares)

    中间件层是在用户请求服务器最前面的一层过滤系统,在rbac组件中它的作用是:

    a、让未登录的用户无法访问相应的URL地址。 (用户登录之后 才能拥有特定权限,并且把相关权限格式化成字典格式 存入session)

    b、把当前登录的用户权限和当前URL匹配 是否有权限,如果没有就返回404。

  3. view视图层(view)

    处理:路由系统分配的请求。

  4. HTML层(前端页面显示)

    前端显示页面(users.html)页面的时候,继承了模板页面(extends “layout.html” ),页面“ layout.html ”导入了{% load rbac %}。在rbac组件中templatetags文件下的rbac.py:@register.inclusion_tag。

    在templatetags文件下的rbac.py文件内容中已经把用户相关权限格式化成menu_result,渲染到了rbac下面的menu.html文件里面。在menu.html里面已经根据code判断是是否显示相关的权限。

  • 整个流程如下图:
     
    在这里插入图片描述
Rbac组件的基本目录结构:

在这里插入图片描述

按照写的流程,来讲解rbac组件中的各个部分,以及功能,
  • models数据库表设计(models.py)。

为了在前端页面实现 2方面的控制,还需要引入两个表菜单 menu和分组 group

  1. 在一个页面,当前用户的权限,例如是否显示添加按钮、编辑、删除等按钮。
  2. 左侧菜单栏的创建。所以一共是5个类,7张表。
# models.py

from django.db import models

class Menu(models.Model):
    '''页面中的菜单名'''
    title = models.CharField(max_length=32)

class Group(models.Model):
    '''权限url所属的组'''
    caption = models.CharField(verbose_name='组名称',max_length=32)
    menu =models.ForeignKey(verbose_name='组所属菜单',to='Menu',default=1)  # 组所在的菜单

    class Meta:
        verbose_name_plural = 'Group组表'

    def __str__(self):
        return self.caption

class User(models.Model):
    """
    用户表
    """
    username = models.CharField(verbose_name='用户名',max_length=32)
    password = models.CharField(verbose_name='密码',max_length=64)
    email = models.CharField(verbose_name='邮箱',max_length=32)

    roles = models.ManyToManyField(verbose_name='具有的所有角色',to="Role",blank=True)
    class Meta:
        verbose_name_plural = "用户表"

    def __str__(self):
        return self.username

class Role(models.Model):
    """
    角色表
    """
    title = models.CharField(max_length=32)
    permissions = models.ManyToManyField(verbose_name='具有的所有权限',to='Permission',blank=True)
    class Meta:
        verbose_name_plural = "角色表"

    def __str__(self):
        return self.title


class Permission(models.Model):
    """
    权限表
    """
    title =
最低0.47元/天 解锁文章
Hik-hairi
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django实战【六】—权限管理系统rbac组件实现
饶一熊的博客
03-19 3264
一、权限管理rbac组件 1.权限管理组件的实现思路 表结构分析 rbac的意思之前我详细提过,就是基于角色的访问权限控制,其实说白了啊,就是针对不同的用户角色, 给他们分配了访问哪些url的权利,因为在实际工作场景中,不同分工的人之间的业务也应该是各自来展开的。 也就是说权限本质上是一个url访问路径,而在我们实现的rbac组件中,权限是分配到对应的角色下,然后角色和用户之间又是一层多对多的关系。 有人会问,既然你是想要给用户分配不同的权限,那么为什么不直接单独给用户来分配权限,而是要通过角色表来呢?其实
基于RBAC权限实现Demo
01-26
基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。
基于djangoRBAC权限
m0_58310590的博客
06-24 1101
​ 基于角色的访问控制(RBAC)模型解决了许多与权限管理相关的问题,主要包括以下几个方面:简化权限管理:RBAC模型通过将权限授予角色而不是直接授予用户,简化了权限管理的复杂性。管理员可以根据用户的职责和职位将其分配到适当的角色,而不必为每个用户单独配置权限。这样可以减少管理工作量,提高效率。降低错误和风险:RBAC模型减少了手动配置权限的错误风险。由于权限是基于角色进行管理,管理员只需要为角色定义适当的权限,而不必考虑每个用户的具体权限。这样可以减少配置错误和意外授权的可能性,提高系统的安全性。
Django权限RBAC
她°
05-25 809
一.RBAC概念 RBAC基于角色的权限访问控制(Role-Based Access Control) 在计算机系统安全中,基于角色的访问控制(RBAC)或基于角色的安全性是一种将系统访问限制在授权用户的方法。它被大多数员工超过500人的企业使用并且可以实现强制访问控制(MAC)或自由访问控制(DAC)。 基于角色的访问控制(RBAC)是围绕角色和权限定义的一种与策略无关的访问控制机制。RBAC的角色权限、用户角色和角色关系等组件使执行用户分配变得简单。NIST的一项研究表明,RBAC解决了商业和政府组织的
Django框架的权限组件rbac
菲宇运维
04-01 4052
1.基于rbac权限管理 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间都是多对多的关系。 简单的模型图示如下: 2.Rbac组件的基本目录结构: 3.按照写...
Django+Vue+ElementUI实现RBAC权限管理系统
一米阳光的博客
03-18 153
一款 Python 语言基于Django、Vue2.x、ElementUI、MySQL等框架精心打造的一款模块化、高性能、企业级的敏捷开发框架,本着简化开发、提升开发效率的初衷触发,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮等等一系列个性化、轻量级的组件,是一款真正意义上实现低代码开发的敏捷开发框架。
django自定义rbac权限组件(二级菜单)
weixin_30734435的博客
12-27 196
一、目录结构 二、表结构设计 model.py from django.db import models # Create your models here. class Menu(models.Model): """菜单表 一级菜单""" title = models.CharField(max_length=32) icon =...
python用户权限设计思路_Django RBAC权限管理设计过程详解
weixin_39658019的博客
11-28 200
一.权限简介1. 问:为什么程序需要权限控制?答:生活中的权限限制,① 看灾难片电影《2012》中富人和权贵有权登上诺亚方舟,穷苦老百姓只有等着灾难的来临;② 屌丝们,有没有想过为什么那些长得漂亮身材好的姑娘在你身边不存在呢?因为有钱人和漂亮姑娘都是珍贵稀有的,稀有的人在一起玩耍和解锁各种姿势。而你,无权拥有他们,只能自己玩自己了。程序开发时的权限控制,对于不同用户使用系统时候就应该有不同的功能,...
十一、Django REST framework自定义使用RBAC权限
光明小学王小雨的博客
01-04 2835
参考,主要参考第一个链接的,然后根据自己的场景做了些改动 drf_admin(权限RBAC)后台管理系统(RBAC权限篇) Django实战【六】—权限管理系统rbac组件实现 CRM【第一篇】: 权限组件权限控制 一、流程 根据需求,创建不同角色,例如:admin、visitor 依据角色,给不同的角色分配不同的权限 根据用户的岗位及职责分配角色,使不同用户具有不同的权限 用户请求后端接口时,验证用户权限,通过则放行,否则返回403 操作数据库 二、数据库表设计 Users用户表 Roles
Django RBAC权限管理设计过程详解
12-25
一.权限简介 1. 问:为什么程序需要权限控制? 答:生活中的权限限制,① 看灾难片电影《2012》中富人和权贵有权登上诺亚方舟,穷苦老百姓只有...2. 问:为什么要开发权限组件? 答:假设你今年25岁,从今天开始写代码
基于Django框架的权限组件rbac实例讲解
09-18
在本文中,我们将深入探讨如何在...总之,Django框架中的RBAC系统通过角色和权限的层次化管理,提供了强大且灵活的用户访问控制机制。通过理解并实施这样的系统,开发者可以构建出更加安全、易于维护的Web应用程序。
django_vue_rbac:基于Django,Vue的RBAC权限管理系统,可精确到按钮级权限,轻松添加业务页面
03-07
RBAC权限管理系统项目简介一个基于DjangoDjango REST框架(DRF),Vue的前布局分离的后台管理系统,可轻松添加业务页面及功能。系统预览特别鸣谢感谢提供的非商业开源软件开发授权感谢提供一级Django框架感谢提供...
基于Django+vue3的rbac权限和数据权限管理系统.zip
01-15
【标题】"基于Django+vue3的rbac权限和数据权限管理系统" 是一个现代Web应用的实现,它结合了Python的Django框架与前端的Vue.js 3框架,用于构建一套完整的角色基础访问控制(Role-Based Access Control,RBAC)和...
python Django权限控制之rbac应用源码
qq_35911309的博客
11-23 553
文章目录一、权限管理的访问控制二、RBAC设计理念2.1.RBAC模型概述2.2 RBAC的组成2.3 RBAC设计理念二、Pyhton中RBAC的设计思路 一、权限管理的访问控制 一、权限管理的访问控制   权限管理,一般指控制用户的访问权限,使得用户可以访问而且只能访问自己被授权的资源,不能多也不能少。现在的软件系统里基本上都用到了权限管理,只是控制的粒度、层面和侧重点会有所不同,比较完善的权限管理包括四个方面的访问控制: 1.功能(最基础):以用户完成某一功能为准。如“添加用户”、“删除用户”
[毕业设计]VB.NET网络聊天应用开发及其优化(源代码+论文+开题报告+答辩PPT).zip
08-03
[毕业设计]VB.NET网络聊天应用开发及其优化(源代码+论文+开题报告+答辩PPT)
带直播电商功能,可以DIY前端,可以H5和小程序一般商城常用功能齐全
08-03
第一次接触这个系统,感觉和微擎有点像。也是一个主体,也很多插件的那种。 测试了下。安装成功了,站长亲测没有问题,一切都挺完善的,不过系统比较庞大,可能新手熟悉起来要一定的过程。 站长整理了一份简要的搭建说明,以及调试说明。
RT-Thread温湿度检测示例
最新发布
08-03
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
基于django实现rbac权限管理
04-07
RBAC(Role-Based Access Control)是一种基于角色的访问控制,它将权限授予角色,然后将角色授予用户。在Django中,可以使用django-guardian或django-rules等第三方库来实现RBAC权限管理,也可以自己编写代码实现。 下面是一个基于Django自己编写的简单RBAC权限管理系统的实现过程: 1. 定义权限模型 在Django中,可以通过定义模型来表示权限。例如,可以定义一个Permission模型,用来表示系统中的所有权限: ``` from django.db import models class Permission(models.Model): name = models.CharField(max_length=255, unique=True) codename = models.CharField(max_length=100, unique=True) ``` 其中name字段表示权限的名称,codename字段表示权限的代码名称。 2. 定义角色模型 同样地,可以定义一个Role模型,用来表示系统中的所有角色: ``` from django.db import models class Role(models.Model): name = models.CharField(max_length=255, unique=True) permissions = models.ManyToManyField('Permission') ``` 其中name字段表示角色的名称,permissions字段表示角色拥有的权限。 3. 定义用户模型 可以使用Django自带的User模型或者自己定义一个用户模型。在用户模型中,可以添加一个roles字段,用来表示用户所拥有的角色: ``` from django.contrib.auth.models import AbstractUser from django.db import models class User(AbstractUser): roles = models.ManyToManyField('Role') ``` 4. 编写权限检查装饰器 在Django中,可以使用装饰器来检查用户是否拥有某个权限。下面是一个简单的权限检查装饰器的实现: ``` from functools import wraps from django.http import HttpResponseForbidden def permission_required(perm): def decorator(view_func): @wraps(view_func) def _wrapped_view(request, *args, **kwargs): if not request.user.has_perm(perm): return HttpResponseForbidden() return view_func(request, *args, **kwargs) return _wrapped_view return decorator ``` 在上面的代码中,permission_required装饰器接受一个权限codename作为参数,返回一个装饰器函数。这个装饰器函数接受一个视图函数作为参数,返回一个新的视图函数。新的视图函数在执行前会检查用户是否拥有该权限,如果没有则返回403禁止访问状态码。 5. 在视图函数中使用权限检查装饰器 在需要进行权限检查的视图函数上加上permission_required装饰器即可: ``` @permission_required('app.view_model') def my_view(request): # do something ``` 在上面的代码中,my_view函数需要拥有view_model权限才能访问。 6. 编写角色管理视图 可以编写一个简单的角色管理视图,用来管理系统中的角色和权限: ``` from django.shortcuts import render from .models import Role, Permission def role_list(request): roles = Role.objects.all() return render(request, 'role_list.html', {'roles': roles}) def role_detail(request, role_id): role = Role.objects.get(id=role_id) permissions = Permission.objects.all() return render(request, 'role_detail.html', {'role': role, 'permissions': permissions}) ``` 在上面的代码中,role_list函数返回所有角色的列表,role_detail函数返回指定角色的详细信息和所有权限的列表。 7. 编写用户角色管理视图 可以编写一个简单的用户角色管理视图,用来管理用户和角色的关联关系: ``` from django.shortcuts import render from django.contrib.auth.models import User from .models import Role def user_list(request): users = User.objects.all() return render(request, 'user_list.html', {'users': users}) def user_detail(request, user_id): user = User.objects.get(id=user_id) roles = Role.objects.all() return render(request, 'user_detail.html', {'user': user, 'roles': roles}) ``` 在上面的代码中,user_list函数返回所有用户的列表,user_detail函数返回指定用户的详细信息和所有角色的列表。 8. 编写用户角色管理视图的表单处理函数 可以编写一个简单的表单处理函数,用来处理用户和角色的关联关系: ``` from django.shortcuts import redirect from django.contrib.auth.models import User from .models import Role def assign_role(request, user_id): if request.method == 'POST': user = User.objects.get(id=user_id) role_ids = request.POST.getlist('roles') roles = Role.objects.filter(id__in=role_ids) user.roles.set(roles) return redirect('user_detail', user_id=user_id) ``` 在上面的代码中,assign_role函数接受一个用户ID作为参数,从POST请求中获取选中的角色ID,将这些角色和用户关联起来,然后重定向到用户详细信息页面。 9. 编写角色管理视图的表单处理函数 可以编写一个简单的表单处理函数,用来处理角色和权限的关联关系: ``` from django.shortcuts import redirect from .models import Role, Permission def assign_permission(request, role_id): if request.method == 'POST': role = Role.objects.get(id=role_id) permission_ids = request.POST.getlist('permissions') permissions = Permission.objects.filter(id__in=permission_ids) role.permissions.set(permissions) return redirect('role_detail', role_id=role_id) ``` 在上面的代码中,assign_permission函数接受一个角色ID作为参数,从POST请求中获取选中的权限ID,将这些权限和角色关联起来,然后重定向到角色详细信息页面。 10. 编写模板 最后,可以编写一些简单的模板来渲染上述视图函数返回的数据。 例如,可以编写role_list.html模板来渲染角色列表: ``` <ul> {% for role in roles %} <li><a href="{% url 'role_detail' role.id %}">{{ role.name }}</a></li> {% endfor %} </ul> ``` 可以编写role_detail.html模板来渲染角色详细信息和权限列表: ``` <h1>{{ role.name }}</h1> <h2>Permissions</h2> <form method="post" action="{% url 'assign_permission' role.id %}"> {% csrf_token %} {% for permission in permissions %} <label> <input type="checkbox" name="permissions" value="{{ permission.id }}" {% if permission in role.permissions.all %}checked{% endif %}> {{ permission.name }} </label> {% endfor %} <button type="submit">Save</button> </form> ``` 可以编写user_list.html模板来渲染用户列表: ``` <ul> {% for user in users %} <li><a href="{% url 'user_detail' user.id %}">{{ user.username }}</a></li> {% endfor %} </ul> ``` 可以编写user_detail.html模板来渲染用户详细信息和角色列表: ``` <h1>{{ user.username }}</h1> <h2>Roles</h2> <form method="post" action="{% url 'assign_role' user.id %}"> {% csrf_token %} {% for role in roles %} <label> <input type="checkbox" name="roles" value="{{ role.id }}" {% if role in user.roles.all %}checked{% endif %}> {{ role.name }} </label> {% endfor %} <button type="submit">Save</button> </form> ``` 至此,一个简单的RBAC权限管理系统就完成了。当然,实际应用中可能需要更复杂的权限管理需求,可以根据具体情况进行扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值