django-权限管理
第一步
#创建表
from django.db import models
class Permission(models.Model):
"""
权限表
"""
title = models.CharField(verbose_name='标题',max_length=32)
url = models.CharField(verbose_name="含正则URL",max_length=64)
is_menu = models.BooleanField(verbose_name="是否是菜单")
class Meta:
verbose_name_plural = "权限表" #添加表到后台中去
def __str__(self):
return self.title
class User(models.Model):
"""
用户表
"""
username = models.CharField(verbose_name='用户名',max_length=32) #verbose_name将在后台页面上显示自定义的名字
password = models.CharField(verbose_name='密码',max_length=64)
email = models.CharField(verbose_name='邮箱',max_length=32)
roles = models.ManyToManyField(verbose_name='具有的所有角色',to="Role",blank=True)
class Meta:
verbose_name_plural = "用户表" #添加用户表到后台中去
def __str__(self):
return self.username
class Role(models.Model):
"""
角色表
"""
title = models.CharField(max_length=32)
permissions = models.ManyToManyField(verbose_name='具有的所有权限',to='Permission',blank=True) #blank=True的作用是关联的角色可以为空
class Meta:
verbose_name_plural = "角色表" #添加角色表到后台中去
def __str__(self):
return self.title
-
x
1
#创建表
2
3
from django.db import models
4
5
class Permission(models.Model):
6
"""
7
权限表
8
"""
9
title = models.CharField(verbose_name='标题',max_length=32)
10
url = models.CharField(verbose_name="含正则URL",max_length=64)
11
is_menu = models.BooleanField(verbose_name="是否是菜单")
12
class Meta:
13
verbose_name_plural = "权限表" #添加表到后台中去
14
15
def __str__(self):
16
return self.title
17
18
class User(models.Model):
19
"""
20
用户表
21
"""
22
username = models.CharField(verbose_name='用户名',max_length=32) #verbose_name将在后台页面上显示自定义的名字
23
password = models.CharField(verbose_name='密码',max_length=64)
24
email = models.CharField(verbose_name='邮箱',max_length=32)
25
roles = models.ManyToManyField(verbose_name='具有的所有角色',to="Role",blank=True)
26
class Meta:
27
verbose_name_plural = "用户表" #添加用户表到后台中去
28
29
def __str__(self):
30
return self.username
31
32
class Role(models.Model):
33
"""
34
角色表
35
"""
36
title = models.CharField(max_length=32)
37
permissions = models.ManyToManyField(verbose_name='具有的所有权限',to='Permission',blank=True) #blank=True的作用是关联的角色可以为空
38
class Meta:
39
verbose_name_plural = "角色表" #添加角色表到后台中去
40
41
def __str__(self):
42
return self.title
43
44
45
46
47
48
49
第二步
根据django自己的admin来登陆
from django.conf.urls import url
from django.contrib import admin
from rbac import views
from app01 import views as app01_views
urlpatterns = [
url(r'^admin/', admin.site.urls),
]xxxxxxxxxx
7
1
from django.conf.urls import url
2
from django.contrib import admin
3
from rbac import views
4
from app01 import views as app01_views
5
urlpatterns = [
6
url(r'^admin/', admin.site.urls),
7
]
在项目目录里创建登陆用户名和密码
#创建用户名和密码
python manage.py createsuperuser
xxxxxxxxxx
3
1
#创建用户名和密码
2
python manage.py createsuperuser
3
然后进行登陆输入你自己创建的用户名和密码
登陆进去,那么怎么显示你的表呢
#在admin.py里导入
from django.contrib import admin
from . import models
admin.site.register(models.Permission)
admin.site.register(models.User)
admin.site.register(models.Role)xxxxxxxxxx
6
1
#在admin.py里导入
2
from django.contrib import admin
3
from . import models
4
admin.site.register(models.Permission)
5
admin.site.register(models.User)
6
admin.site.register(models.Role)
运行结果
可以看到默认是数据库的表名一一对应的,还可以更改名字
class Role(models.Model):
"""
角色表
"""
title = models.CharField(max_length=32)
permissions = models.ManyToManyField(verbose_name='具有的所有权限',to='Permission',blank=True)
class Meta:
verbose_name_plural = "角色表"
def __str__(self):
return self.title
class Meta: #添加 Meta
verbose_name_plural = "角色表" #更改名字xxxxxxxxxx
14
1
class Role(models.Model):
2
"""
3
角色表
4
"""
5
title = models.CharField(max_length=32)
6
permissions = models.ManyToManyField(verbose_name='具有的所有权限',to='Permission',blank=True)
7
class Meta:
8
verbose_name_plural = "角色表"
9
10
def __str__(self):
11
return self.title
12
13
class Meta: #添加 Meta
14
verbose_name_plural = "角色表" #更改名字
输出结果:
第三步
用户登录程序
- 获取当前用户具有的所有权限(去重)
- 获取权限中的url,放置到session中
初始化权限信息,获取权限信息并放置到session中
import re
from django.shortcuts import render,redirect,HttpResponse
from rbac import models
from rbac.service.init_permission import init_permission #导入自己写的初始化的模块
def login(request):
if request.method == "GET":
return render(request,'login.html')
else:
user = request.POST.get('user')
pwd = request.POST.get('pwd')
user = models.User.objects.filter(username=user,password=pwd).first() #首先先查到用户输入的user字段存不存在找到用户输入的字段
print(request.POST)
if not user: #判断用户在不在
return render(request, 'login.html') #如果不在则返回login页面
init_permission(user,request) #把user的对象和接收的用户信息传过去
return redirect('/index/')
def index(request):
return HttpResponse('欢迎登录')
def userinfo(request):
return HttpResponse('用户列表页面')
def userinfo_add(request):
return HttpResponse('添加用户页面')
def order(request):
return HttpResponse('订单列表页面')
def order_add(request):
return HttpResponse('添加订单页面')x
1
import re
2
3
from django.shortcuts import render,redirect,HttpResponse
4
from rbac import models
5
from rbac.service.init_permission import init_permission #导入自己写的初始化的模块
6
def login(request):
7
if request.method == "GET":
8
return render(request,'login.html')
9
else:
10
user = request.POST.get('user')
11
pwd = request.POST.get('pwd')
12
user = models.User.objects.filter(username=user,password=pwd).first() #首先先查到用户输入的user字段存不存在找到用户输入的字段
13
print(request.POST)
14
if not user: #判断用户在不在
15
return render(request, 'login.html') #如果不在则返回login页面
16
init_permission(user,request) #把user的对象和接收的用户信息传过去
17
return redirect('/index/')
18
19
20
def index(request):
21
22
return HttpResponse('欢迎登录')
23
24
25
def userinfo(request):
26
return HttpResponse('用户列表页面')
27
28
29
def userinfo_add(request):
30
return HttpResponse('添加用户页面')
31
32
def order(request):
33
return HttpResponse('订单列表页面')
34
35
def order_add(request):
36
return HttpResponse('添加订单页面')
def init_permission(user,request): #这里接受了视图函数传过来的user querset对象和request用户的信息
"""
初始化权限信息,获取权限信息并放置到session中。
:param user:
:param request:
:return:
"""
permission_list = user.roles.values('permissions__title', 'permissions__url', 'permissions__is_menu').distinct() # 通过user的对象正向查询向下滑线查询拿到title,url,is_menu字段并进行去重
url_list = [] #定义一个空字典
for item in permission_list: #循环permission_list所有的值
url_list.append(item['permissions__url']) #把url的字段的内容放入定义的空字典中
print(url_list)
request.session['permission_url_list'] = url_list #通过这里通过了说明这个用户名是存在的把所有的url字段权限的信息加入到session中
x
1
def init_permission(user,request): #这里接受了视图函数传过来的user querset对象和request用户的信息
2
"""
3
初始化权限信息,获取权限信息并放置到session中。
4
:param user:
5
:param request:
6
:return:
7
"""
8
permission_list = user.roles.values('permissions__title', 'permissions__url', 'permissions__is_menu').distinct() # 通过user的对象正向查询向下滑线查询拿到title,url,is_menu字段并进行去重
9
url_list = [] #定义一个空字典
10
for item in permission_list: #循环permission_list所有的值
11
url_list.append(item['permissions__url']) #把url的字段的内容放入定义的空字典中
12
print(url_list)
13
request.session['permission_url_list'] = url_list #通过这里通过了说明这个用户名是存在的把所有的url字段权限的信息加入到session中
14
第四步
在通过中间件来进行权限的管理
想要进行权限控制需要login和后台的admin路径对外开放,然后用户能够通过登陆来进行权限的验证,不然就会陷入死循环
白名单:
#自定制的
# ######################### rbac ############################
#白名单
VALID_URL = [
"/login/",
"/admin.*"
]xxxxxxxxxx
7
1
#自定制的
2
# ######################### rbac ############################
3
#白名单
4
VALID_URL = [
5
"/login/",
6
"/admin.*"
7
]
import re
from django.shortcuts import redirect,HttpResponse
from django.conf import settings #settings是django特有的 在settings中都可以通过django.conf来调用,
class MiddlewareMixin(object):
def __init__(self, get_response=None):
self.get_response = get_response
super(MiddlewareMixin, self).__init__()
def __call__(self, request):
response = None
if hasattr(self, 'process_request'):
response = self.process_request(request)
if not response:
response = self.get_response(request)
if hasattr(self, 'process_response'):
response = self.process_response(request, response)
return response
class RbacMiddleware(MiddlewareMixin):
def process_request(self,request):
# 1. 获取当前请求的URL
# request.path_info
# 2. 获取Session中保存当前用户的权限
# request.session.get("permission_url_list')
current_url = request.path_info #获取到用户输入的Url地址
# 当前请求不需要执行权限验证
for url in settings.VALID_URL: #拿到白名单 进行for循环验证因为白名单是一个列表的形式如果用户输入的url存在于白名单之中的
if re.match(url,current_url): #用循环取出的白名单与用户输入的url路径进行re正则判断,判断成功则有值,没有成功则没有值
return None #成功return None 则继续运行后面的中间件和视图函数
permission_list = request.session.get("permission_url_list") #通过request,get session中的值,如果没有则为空
if not permission_list: #进行判断
return redirect('/login/') #没有的话则重定向login登陆页面中
#如果有的话则继续执行下面代码
flag = False
for db_url in permission_list: #有值则循环取值
regax = "^{0}$".format(db_url) #把循环的值通过.format按索引值穿参进行字符串拼接 注:如果不进行字符串的拼接加上^$的话,匹配的值只要一个正确后面的就不管了,比如addteacher/ addteacher/add/1这样的也能匹配成功,所以通过^$以..开头和以..结尾能够进行精确的匹配
if re.match(regax, current_url): #进行re正则匹配这样就能精确的匹配了,
flag = True #正则匹配成功的话flag=True
break #匹配成功了直接就退出循环了
if not flag: #用户的权限不匹配的话,则进行not false 就是true表示成功则往下执行
return HttpResponse('无权访问') #直接返回无权访问
x
1
import re
2
3
from django.shortcuts import redirect,HttpResponse
4
from django.conf import settings #settings是django特有的 在settings中都可以通过django.conf来调用,
5
6
class MiddlewareMixin(object):
7
def __init__(self, get_response=None):
8
self.get_response = get_response
9
super(MiddlewareMixin, self).__init__()
10
11
def __call__(self, request):
12
response = None
13
if hasattr(self, 'process_request'):
14
response = self.process_request(request)
15
if not response:
16
response = self.get_response(request)
17
if hasattr(self, 'process_response'):
18
response = self.process_response(request, response)
19
return response
20
21
22
class RbacMiddleware(MiddlewareMixin):
23
24
def process_request(self,request):
25
# 1. 获取当前请求的URL
26
# request.path_info
27
# 2. 获取Session中保存当前用户的权限
28
# request.session.get("permission_url_list')
29
current_url = request.path_info #获取到用户输入的Url地址
30
31
# 当前请求不需要执行权限验证
32
for url in settings.VALID_URL: #拿到白名单 进行for循环验证因为白名单是一个列表的形式如果用户输入的url存在于白名单之中的
33
if re.match(url,current_url): #用循环取出的白名单与用户输入的url路径进行re正则判断,判断成功则有值,没有成功则没有值
34
return None #成功return None 则继续运行后面的中间件和视图函数
35
36
permission_list = request.session.get("permission_url_list") #通过request,get session中的值,如果没有则为空
37
if not permission_list: #进行判断
38
return redirect('/login/') #没有的话则重定向login登陆页面中
39
#如果有的话则继续执行下面代码
40
flag = False
41
for db_url in permission_list: #有值则循环取值
42
regax = "^{0}$".format(db_url) #把循环的值通过.format按索引值穿参进行字符串拼接 注:如果不进行字符串的拼接加上^$的话,匹配的值只要一个正确后面的就不管了,比如addteacher/ addteacher/add/1这样的也能匹配成功,所以通过^$以..开头和以..结尾能够进行精确的匹配
43
if re.match(regax, current_url): #进行re正则匹配这样就能精确的匹配了,
44
flag = True #正则匹配成功的话flag=True
45
break #匹配成功了直接就退出循环了
46
47
if not flag: #用户的权限不匹配的话,则进行not false 就是true表示成功则往下执行
48
return HttpResponse('无权访问') #直接返回无权访问
49
权限管理流程图
来自为知笔记(Wiz)