python权限控制_[Python学习]Django权限控制

本文为大家讲解 Django 框架里自带的权限模型&＃xff0c;从理论到实战演练&＃xff0c;带领大家了解 Django 里权限是怎么一回事。

主要内容

什么是权限管理&＃xff1f;

Web 权限

Django 权限机制

Django 的权限项

权限应用

Permission(一)

Permission(二)

User Permission 管理(一)

User Permission 管理(二)

Group Permission 管理

权限验证(一)

权限验证(二)

权限验证(三)

权限验证(四)

什么是权限管理

权限管理&＃xff0c;一般指根据系统设置的安全规则或者安全策略&＃xff0c;用户可以访问而且只能访问自己被授权的资源

权限管理好比如钥匙&＃xff0c;有了钥匙就能把门打开&＃xff0c;但是权限设置是有级别之分的&＃xff0c;假如这个系统有多个权限级别就如一间屋有多个门&＃xff0c;想要把所有门都打开您必须要取得所有的钥匙&＃xff0c;就如系统一样。

Web 权限

在 Web 里权限管理是 Web 应用项目中比较关键的环节&＃xff0c;因为浏览器是每一台计算机都已具备的&＃xff0c;如果不建立权限管理系统&＃xff0c;那么一个“非法用户”可以轻而易举通过浏览器访问Web应用项目中的所有功能。因此需要权限管理系统进行权限检测&＃xff0c;让经过授权的用户可以正常合法的使用已授权的功能&＃xff0c;而对那些未授权的非法用户拒之门外。 一个好的权限管理系统应该对每一类或每一个用户&＃xff0c;分配不同的系统操作权限&＃xff0c;并应具有扩展性&＃xff0c;也就是它可以加入到任何一个带有权限管理的 Web 应用项目中&＃xff0c;就像构件一样可以被重复使用。 同时&＃xff0c;还要提醒开发者&＃xff0c;开发一个 Web 应用项目时&＃xff0c;应尽可能的将整个系统细化&＃xff0c;分解为若干个子模块&＃xff0c;最后组合成一个完整的应用。也只有这样&＃xff0c;才容易实现为每一类或每一个用户分配不同的操作权限。

Django 权限机制

Django 权限机制能够约束用户行为&＃xff0c;控制页面的显示内容&＃xff0c;也能使 API 更加安全和灵活&＃xff1b;用好权限机制&＃xff0c;能让系统更加强大和健壮

Django 用 user, group 和 permission 完成了权限机制&＃xff0c;这个权限机制是将属于 model 的某个 permission 赋予 user 或 group&＃xff0c;可以理解为全局的权限&＃xff0c;即如果用户A对数据模型(model)B 有可写权限&＃xff0c;那么 A 能修改model B 的所有实例(objects)。group 的权限也是如此&＃xff0c;如果为 group C 赋予 model B 的可写权限&＃xff0c;则隶属于 group C 的所有用户&＃xff0c;都可以修改model B 的所有实例。

Django 的权限项

Django 用 permission 对象存储权限项&＃xff0c;每个model默认都有三个permission&＃xff0c;即 add model, change model 和 delete model

permission 总是与 model 对应的&＃xff0c;如果一个 object 不是 model 的实例&＃xff0c;我们无法为它创建/分配权限

权限应用

Permission

User Permission

Group Permission

权限检查

◆ Permission(一)

Django 定义每个 model 后&＃xff0c;默认都会添加该 model 的 add, change 和 delete三个 permission&＃xff0c;自定义的 permission 可以在我们定义 model 时手动添加

class Server(models.Model):

...

class Meta:

permissions &＃61; (

("view_server", "can view server"),

("change_server_status", "Can change the status of server"),

)

◆ Permission(二)

每个 permission 都是 django.contrib.auth.Permission 类型的实例&＃xff0c;该类型包含三个字段 name, codename 和 content_type&＃xff0c;

content_type 反应了 permission 属于哪个 model&＃xff0c;

codename 如上面的 view_server&＃xff0c;代码逻辑中检查权限时要用&＃xff0c;

name 是 permission 的描述&＃xff0c;将 permission 打印到屏幕或页面时默认显示的就是 name

◆ User Permission管理(一)

User 对象的 user_permission 字段管理用户的权限

user &＃61; User.objects.get(username&＃61;"rock")

user.user_permissions &＃61; [permission_list]

user.user_permissions.add(permission, permission, …) #增加权限

user.user_permissions.remove(permission, permission, …) #删除权限

user.user_permissions.clear() #清空权限

注&＃xff1a;上面的 permission 为 django.contrib.auth.Permission 类型的实例

# 示例演示&＃xff1a;

In [3]: from django.contrib.auth.models import User #导入用户模块

In [6]: user &＃61; User.objects.get(username&＃61;"nick") #获取用户对象

In [7]: user.user_permissions.all() # 查看用户权限

Out[7]: []

In [8]: from django.contrib.auth.models import Permission #导入权限模块

In [10]: Permission.objects.get(pk&＃61;43) #获取权限信息

Out[10]:

In [11]: Permission.objects.filter(pk&＃61;43) #获取权限信息(以列表形式输出)

Out[11]: []

In [12]: user.user_permissions &＃61; Permission.objects.filter(pk&＃61;43) #赋予用户权限(赋予权限不需要保存)

In [13]: user.user_permissions.all() #查看用户当前权限

Out[13]: []

In [18]: user.user_permissions.add(Permission.objects.get(pk&＃61;43)) #add添加权限(必须是一个Permission实例&＃xff0c;否则报错)

In [40]: user.user_permissions.all()

Out[40]: [, ]

In [41]: user.user_permissions.remove(Permission.objects.get(pk&＃61;43)) #remove移除权限(必须是一个Permission实例&＃xff0c;否则报错)

In [42]: user.user_permissions.all()

Out[42]: []

◆ User Permission 管理(二)

检查用户权限用 has_perm() 方法&＃xff1a;

myuser.has_perm(’dashboard.view_server&＃39;)

has_perm() 方法的参数&＃xff0c;即 permission 的 codename&＃xff0c;但传递参数时需要加上 model 所属 app 的前缀&＃xff0c;无论 permission 赋予 user 还是 group&＃xff0c;has_perm()方法均适用

列出用户的所有权限

user.get_all_permissions()

列出用户所属group的权限

user.get_group_permissions()

◆ Group Permission 管理

group permission 管理逻辑与 user permission 管理一致&＃xff0c;group 中使用permissions 字段做权限管理&＃xff1a;

group.permissions &＃61; [permission_list]

group.permissions.add(permission, permission, …)

group.permissions.remove(permission, permission, …)

group.permissions.clear()

◆ 权限验证(一)

在视图中验证权限—— permission_required

当业务逻辑中涉及到权限检查时&＃xff0c;decorator 能够分离权限验证和核心的业务逻辑&＃xff0c;使代码更简洁&＃xff0c;逻辑更清晰。permission 的 decorator 为permission_required

from django.contrib.auth.decorators import permission_required

&＃64;permission_required(’dashboard.view_server&＃39;)

def my_view(request):

...

◆ 权限验证(二)

在类视图中验证

from django.utils.decorators import method_decorator

from django.contrib.auth.decorators import login_required, permission_required

class ServerView(TemplateView):

&＃64;method_decorator(login_required)

&＃64;method_decorator(permission_required(“dashboard.view_server”)

def get(self, request, *args, **kwargs):

……

◆ 权限验证(三)

views 中验证

if not request.user.has_perm(’dashboard.view_server&＃39;)

return HttpResponse(&＃39;Forbidden&＃39;)

◆ 权限验证(四)

Template 中的权限检查

{% if perms.dashboard.view_server %}

有权限

{% endif %}

◆ 扩展阅读&＃xff1a;

Python 实战班第16期火热报名进行中

招生要求&＃xff1a;

想往开发或者运维开发方向发展&＃xff0c;Python 基础为零或薄弱&＃xff0c;但能读懂 shell 或者其它任何一门语言的同学。

课程内容&＃xff1a;

◆精简版 CMDB

1、html&＃43;css&＃43;js 多种前端技术结合

2、ajax 异步请求操作

3、分页搜索功能

4、常见数据库设计原则、CMDB 表结构实战、Mysql 实操

5、独立完项目、了解完整的 Web(LAMP) 架构

◆Nginx 日志统计分析与多维可视化

1、用 Python 处理 Nginx 日志文件&＃xff0c;进行多维度数据统计分析

2、根据 ip、访问地址和访问状态等数据统计&＃xff0c;统计结果存入数据库

3、Highcharts 等流行前端技术多维度&＃xff0c;将分析结果可视化展示

◆快速构建实用监控系统

1、Python 读取机器的实时使用数据&＃xff0c;通过 Http 请求将数据入库

2、设计数据入库的 API&＃xff0c;收集不同机器的数据

3、前端将内存数据读出&＃xff0c;视化展示折线图

4、独立完成项目&＃xff0c;掌握 Python 常用的 time 等模块

咨询报名联系&＃xff1a;

QQ(1)&＃xff1a;979950755 小月

QQ(2)&＃xff1a;279312229 ada

WeChat : 1902433859 小月

WeChat : 1251743084 小单

开课时间&＃xff1a;9月9日