Django点滴(1)xadmin+rule对象级权限的实现

最新推荐文章于 2021-09-10 23:05:52 发布
最新推荐文章于 2021-09-10 23:05:52 发布
阅读量4.3k 收藏 11
点赞数 3
分类专栏: Django python 文章标签: django erp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcyuefan/article/details/77743380
版权

Django-xadmin+rule对象级权限的实现

Django点滴系列是本人Django使用的一个记录,主要用于踩坑填坑,如果能帮到你,就是我荣幸!

1. 需求vs现状

1.1 需求

要求做一个ERP后台辅助管理的程序,有以下几项基本要求:
1. 基本的增删改查功能
2. 基于对象的权限控制(如:系统用户分为平台运营人员和商家用户,商家用户小A只能查看编辑所属商家记录,而管理员可以纵览全局)
3. 数据库记录导入导出(xsl, json等),并且拥有对象级的权限控制(如:小A不能导出小B公司的信息,更不能导入小B公司信息进行更新和新增)

1.2 现状
  1. 实现需求1:Django-admin让我们能够很方便的实现一个管理后台程序。django-xadmin则在拥有admin基本功能的基础上增加了更为丰富的功能、界面也更加漂亮。类似还有django-suit等,本文使用xadmin(功能更丰富);
  2. 实现需求2:django-admin,以及xadmin都只有基于model级的权限控制机制,需要自己扩展或者使用开源解决方案,如django-guardiandjango-rules,本文结合django-rules实现了该功能;
  3. 实现需求3:xadmin虽然自带导出功能,但是导入功能没有实现,django自带后台结合django-import-export可以很容易实现,但是xadmin并不直接兼容,只有通过xadmin的插件机制实现。

2. 功能实现

本节主要展示对象级权限功能实现。django工程、xadmin替换原生admin的设置,请参照官方文档。

2.1 安装并配置rules

pip安装:

$ pip install rules

配置settings.py

# settings.py
INSTALLED_APPS = (
    # ...
    'rules',
)
AUTHENTICATION_BACKENDS = (
    'rules.permissions.ObjectPermissionBackend',
    'django.contrib.auth.backends.ModelBackend',
)
2.2 建立model

新增CompanyUser模型表示商家账户(即对django自带user模块进行扩展,使每个账号绑定自己的公司码),新增Customer模型表示商家的客户信息并包含公司码字段,商家账号只能查看、编辑、导入、导出公司码一致的商家客户信息

# model.py
class CompanyUser(models.Model):
    user = models.OneToOneField(User, verbose_name='用户名')
    is_taixiang_admin = models.BooleanField('是否运营人员', default=False)
    company_code = models.CharField('公司码', max_length=20, blank=True, default='')

    def __unicode__(self):
        return '%s' % self.user

    class Meta:
        verbose_name = '导入账号'
        verbose_name_plural = verbose_name
class Customer(models.Model):
    name = models.CharField('客户姓名', max_length=50)
    phone = models.CharField('客户电话', max_length=12)
    type_choice = ((1, '普通'), (2, '批发'), (3, 'VIP'))
    creator = models.ForeignKey(settings.AUTH_USER_MODEL, verbose_name='创建人', blank=True, null=True)
    company_code = models.CharField('公司码', max_length=20, blank=True, null=True)

    def __unicode__(self):
        return '%s-%s-%s' % (self.company_code, self.name, self.phone1)

    class Meta:
        permissions = (
            ("simulate_import_customer", "允许模拟导入客户"),
            ("import_customer", "允许导入客户至商家系统"),
                       )
        verbose_name = "客户"
        verbose_name_plural = verbose_name
2.2 使用rule

在model统计目录新增rules.py,配置该app相关的对象权限
引用rules

# rules.py
# On Python 2, you must also add the following to the top of your rules.py file, or you'll get import errors trying to import django-rules itself
from __future__ import absolute_import 

import rules

# 使用修饰符@rules.predicate自定义predicates(判断),返回True表示有权限,False表示无权限

# Predicates

@rules.predicate
def is_colleague(user, entry):
    if not entry or not hasattr(user, 'companyuser'):
        return False
    return entry.company_code == user.companyuser.company_code


@rules.predicate
def is_taixiang_admin(user):
    if not hasattr(user, 'companyuser'):
        return False
    return user.companyuser.is_taixiang_admin

# predicates间可以进行运算
is_colleague_or_taixiang_admin = is_colleague | is_taixiang_admin | rules.is_superuser

# 设置Rules

rules.add_rule('can_view_customer', is_colleague_or_taixiang_admin)
rules.add_rule('can_delete_customer', is_colleague_or_taixiang_admin)
rules.add_perm('can_change_customer', is_colleague_or_taixiang_admin)

# 设置Permissions

rules.add_perm('data_import.view_customer', is_colleague_or_taixiang_admin)
rules.add_perm('data_import.delete_customer', is_colleague_or_taixiang_admin)
rules.add_perm('data_import.add_customer', is_colleague_or_taixiang_admin)
rules.add_perm('data_import.change_customer', is_colleague_or_taixiang_admin)
2.3 admin.py以及adminx.py设置

如果使用原生的django-admin,admin.py做如下设置:

# admin.py
from __future__ import absolute_import

from django.contrib import admin
from rules.contrib.admin import ObjectPermissionsModelAdmin
from .models import Customer

# ModelAdmin class继承ObjectPermissionsModelAdmin即可
class CustomerAdmin(ObjectPermissionsModelAdmin):
    pass

admin.site.register(Customer, CustomerAdmin)

使用xadmin,由于ObjectPermissionsModelAdmin无法直接使用,故参照源码重写has_change_permission和has_delete_permission方法即可。
注意:必须引用rules文件,权限规则才会生效,对于xadmin,添加
from .rules import *即可

# adminx.py
class CustomerAdmin(object):
    def has_change_permission(self, obj=None):
        codename = get_permission_codename('change', self.opts)
        return self.user.has_perm('%s.%s' % (self.app_label, codename), obj)

    def has_delete_permission(self, obj=None):
        codename = get_permission_codename('delete', self.opts)
        return self.user.has_perm('%s.%s' % (self.app_label, codename), obj)

    # 重写queryset()或者get_list_display(),list view的权限也做到了对象级隔离
    def queryset(self):
        qs = super(CustomerAdmin, self).queryset()
        if self.request.user.is_superuser or is_taixiang_admin(self.request.user):
            return qs
        try:
            return qs.filter(company_code=self.request.user.companyuser.company_code)
        except AttributeError:
            return None

class CompanyUserAdmin(object):
    pass

xadmin.sites.site.register(Customer, CustomerAdmin)
xadmin.sites.site.register(CompanyUser, CompanyUserAdmin)
2.4 效果展示

CompanyUser设置:
这里写图片描述
商家账号只有所属公司信息权限
这里写图片描述
运营人员拥有所有记录权限
这里写图片描述

zcyuefan
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
django-rules:很棒的Django授权,没有数据库
02-05
django-rules:很棒的Django授权,没有数据库
django权限的问题
python_jw的博客
03-21 2104
django-permission本文涉及的技术,已应用于我基于django 1.8+ 开发的博客系统——MayBlog,欢迎交流。1. Django权限机制概述权限机制能够约束用户行为,控制页面的显示内容,也能使API更加安全和灵活;用好权限机制,能让系统更加强大和健壮。因此,基于Django的开发,理清Django权限机制是非常必要的。1.1 Django权限控制Django用user, g...
django的缓存机制
zhoulin753的博客
05-26 1132
知识预览一 Django的form组件二 Django的model form组件三 Django的缓存机制四 Django的信号五 Django的序列化一 Django的form组件二 Django的model form组件这是一个神奇的组件,通过名字我们可以看出来,这个组件的功能就是把model和form组合起来三 Django的缓存机制1.1 缓存介绍1.缓存的简介在动态网站,用户所有的请求...
django xadmin 实现自定义页面并且权限控制
pzl_pzl的博客
08-19 1492
1写一些内部工具, 自定也页面效果图 代码如下 class GlobalSettings(object): # 修改title site_title = 'VIP权益服务后台' # 修改footer site_footer = '橡树黑卡网络科技有限公司' # 收起菜单 menu_style = 'accordion' def get_site_menu(self): return [ { .
Django权限机制的实现
钟爱技术
08-02 1351
本文涉及的技术,已应用于我基于django 1.8+ 开发的博客系统——MayBlog,欢迎交流。 1. Django权限机制概述 权限机制能够约束用户行为,控制页面的显示内容,也能使API更加安全和灵活;用好权限机制,能让系统更加强大和健壮。因此,基于Django的开发,理清Django权限机制是非常必要的。 1.1 Django权限控制 Django用user, group和pe
Django admin实现用户权限自动分配
weixin_44623662的博客
11-19 2594
Django admin,用户权限是对不同用户设置不同的功能使用权限,而每个功能主要以模型来划分。 在Admin后台系统有可视化界面可以进行修改,但需要手动进行修改,比较麻烦怎么才能实现在注册的时候自动给用户分配权限呢? 1.超用户可以看见所有的应用 2.普通用户可以看见超用户指定的应用(应用1、应用2) 一、普通手动方法 通过超用户登陆admin后台,然后一个一个分派权限给普通用户。最大的问题是:在普通用户登陆时,他是没有后台权限的,而需要超管理员手动在Admin后台分配权限后,普通用户再
43.Django权限系统auth模块详解
热门推荐
孤寒者的博客
09-10 2万+
昨天我们为了登录admin,通过命令创建了超用户,你是不是有个疑问——这创建的超用户的信息是存放在哪里了呢?   这就想到了我们映射数据库时,Django自动创建的一些表(这也是之前进行数据库迁移时没有提到的那些表)!!! 0.初接触   如上图就是Django自带的auth系统对应的表,也就是存放了之前创建的超用户信息的表(也也就是之前没有提及到的数据库迁移生成的表~) 注意点:上面所示表有多对多表关系生成的间表,而Django很人性化的一点是:如果是多对多关系产生的间表,其命名方式是.
【AMAD】django-rules -- 强大的Django鉴权库,不需要数据库
weixin_30260399的博客
05-24 442
动机 简介 个人评分 动机 Django默认的权限原子别是model。但是一些时候我们像针对model每条数据库记录都进行权限空,也就是对象权限控制。 简介 django-rules是一个Django微型app,可以用来对象权限控制,而且不需要数据库的支持。 相反,django-guradian必须有一张数据表来确认权限。有时候这是一种取舍,使用权限数据表,可以不用改...
Django 后台管理xadmin
weixin_30436891的博客
07-23 130
一. xadmin的使用   后台管理在开发可以给我们提供很大的便利,django自带了一个后台管理admin,不过还有一个xadmindjango自带的好用一些,功能更加强大,为模型提供了版本控制,可以回滚数据。django权限主要靠六表实现,首先是基础的user、group、permission三表,然后分别是user与group的多对多关系表、group与permission的多对多...
Django Xadmin自定义插件:字段别的权限控制
qq_27868819的博客
04-08 1174
一直苦于xadmin在字段别上的权限控制的小伙伴有福啦~之前我也是苦苦搜寻针对字段别的权限控制的解决方案,今天终于自己写了个灵活的字段权限控制插件。我们都知道,虽然xadmin现有的权限控制功能很强大,但是还无法对一张表的部分字段来进行权限控制。在网上搜索相关的资料也是凤毛麟角,所以终于下定决心要自己写一个一直精确到字段别的灵活的权限控制插件。 首先来上使用效果: class Online...
Python-djangorules一个小巧但是强大的应用提供对象别的权限管理且不需要使用数据库
08-11
django-rules:一个小巧但是强大的应用,提供对象别的权限管理,且不需要使用数据库
Django Xadmin使用手册(文字_目录_高清)(官方教程)
11-03
Django Xadmin使用手册(目录_高清),详细的xadmin使用说明.
Django后台自定义页面、权限设置
11-18
最近工作开发主要利用Django搭建公司后台系统,在开发遇到数据分页(django原生翻页),后台自定义页面、搜索功能(基于日期单搜索和日期项目名称多选项搜索)、数据显示(BootstrapTable翻页)、权限(控制表)等问题,在开发过程有一点项目积累,若遇到相似问题,可下载参考,希望对学习Django的你有所帮助
Django-xadmin+rule对象权限实现方式
09-17
今天小编就为大家分享一篇Django-xadmin+rule对象权限实现方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
django+xadmin+djcelery实现后台管理定时任务
12-25
1.安装 redis==2.10.6 celery==3.1.23 django-celery==3.1.17 flower==0.9.2 supervisor==3.3.4 flower用于监控定时任务,supervisor管理进程,可选 2.配置 settings.py添加以下几行: #最顶头加上 from __future...
基于Python3.6+Django1.11+xadmin+Redis+Mysql的天天生鲜商城.zip
最新发布
02-15
对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】: 有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 鼓励下载和使用,并欢迎大家互相学习,共同...
Django点滴(2)xadmin+django-import-export导入导出的实现
zcyuefan的博客
08-31 1万+
Django-xadmin+django-import-export导入导出的实现Django点滴系列是本人Django使用的一个记录,主要用于踩坑填坑,如果能帮到你,就是我荣幸! 书接上回, 上一篇博客 Django点滴(1)xadmin+rule对象权限实现记录了xadmin对象权限相关应用,本篇将目光投向xadmin的导入导出功能。 1. 需求vs现状1.1 需求要求做一个ERP后台
locust启动后打不开WebUI监控页面
zcyuefan的博客
03-13 4518
现象如题。找了好久找不到方法,也可能是我本地网络设置有问题,但最后查看源码还是找到了一个解决方案 解决方案 增加–web-host参数 locust -f load_test.py --web-host="127.0.0.1" ...
django 4.2 安装xadmin
05-27
Django 4.2 ,xadmin 已经不再被推荐使用,推荐使用 Django 自带的 admin 后台管理系统。如果您坚持要使用 xadmin,可以按照以下步骤进行安装: 1. 安装 xadmin: ``` pip install ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值