Django 用户权限_django权限管理

1. 权限简介

用户权限，指的是一个帐户登录后,有些功能可以使用，有些功能无法使用，这就是管理员对其设置的权限,只有附合权限的人才可以使用对应的功能。权限就是权利的限制范围。比较常见的是VIP用户和非VIP用户之间的权限差距。

2. Django 实现权限管理

用户的权限其实也可以理解为用户对路由访问的权限。我们设定一个用户不能访问某一个路由就相当于限制了用户的权限。那么如何限制用户访问路由，可以创建一个用户可以访问的路由表，查看用户请求的路由是否在该列表内即可。

权限表设计

由于用户的数量很多，不能直接将用户和路由对应，可以创建一张用户身份表，表示某一个用户能访问的路由权限。如下简易示例

用户表

权限表

身份表

用户与身份的关系表

身份与权限的关系表

表外键关系

用户表与身份表之间有多对多关系，假设一个人可以有多个身份
身份表与权限表之间有多对多关系，一个身份有多个权限，一个权限可以被多个人拥有
1
2

ORM 表设计

from django.db import models


# 创建用户表
class User(models.Model):
    name = models.CharField(max_length=32, verbose_name='用户名称')
    pwd = models.IntegerField()
    # 与身份表的多对多外键字段，假设可以跨身份，跨部门
    roles = models.ManyToManyField(to='Role')

    def __str__(self):
        return self.name


# 创建身份表
class Role(models.Model):
    title = models.CharField(max_length=32, verbose_name='身份名称')
    # 和权限表的多对多关系字段，一个身份可以有多个权限，一个权限也可以被多个身份拥有
    permissions = models.ManyToManyField(to='Permission')

    def __str__(self):
        return self.title


# 创建权限表
class Permission(models.Model):
    name = models.CharField(max_length=32, verbose_name='权限名称')
    url = models.CharField(max_length=32, verbose_name='权限url')

    def __str__(self):
        return self.name


class Userinfo(models.Model):
    first_name = models.CharField(max_length=32, verbose_name='姓')
    last_name = models.CharField(max_length=32, verbose_name='名')
    phone = models.IntegerField()
    addr = models.CharField(max_length=64, verbose_name='住址')

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39

代码示例

1. 项目结构

2. url.py 代码

from django.conf.urls import url
from django.contrib import admin
from app01 import views

urlpatterns = [
    url(r'^admin/', admin.site.urls),
    url(r'^login/', views.Login.as_view(), name='login'),
    url(r'^check/', views.Check.as_view(), name='check'),
    url(r'^add/', views.Add.as_view(), name='add'),
    url(r'^set/(\d+)/', views.Set.as_view(), name='set'),
    url(r'^del/(\d+)/', views.Del.as_view(), name='del'),
]
1
2
3
4
5
6
7
8
9
10
11
12

3. check.html 代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="https://cdn.bootcdn.net/ajax/libs/jquery/2.2.4/jquery.min.js"></script>
    <link href="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.3.6/css/bootstrap.min.css" rel="stylesheet">
    <script src="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.3.6/js/bootstrap.min.js"></script>
</head>
<body>
<div class="container">
    <div class="row">
        <table class="table">
            <tr>
                <th>姓</th>
                <th>名</th>
                <th>电话</th>
                <th>地址</th>
                <th>操作</th>

            </tr>
            {% for foo in user_info %}
                <tr>
                    <td>{{ foo.first_name }}</td>
                    <td>{{ foo.last_name }}</td>
                    <td>{{ foo.phone }}</td>
                    <td>{{ foo.addr }}</td>
                    <td>
                        <a href="{% url 'add' %}">新增</a>
                        <a href="{% url 'set' foo.pk %}">修改</a>
                        <a href="{% url 'del' foo.pk %}">删除</a>
                    </td>
                </tr>
            {% endfor %}

        </table>
    </div>
</div>
</body>
</html>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

4. login.html 代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form method="post" action="">
    {% csrf_token %}
    <p><label>账号<input type="text" name="username"></label></p>
    <p><label>密码<input type="text" name="password"></label></p>
    <p><input type="submit"></p>
</form>
</body>
</html>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

5. views.py 代码

from django.shortcuts import render, HttpResponse, redirect
from django.views import View
from app01 import models

class Check(View):
    def get(self, request):
        user_info = models.Userinfo.objects.filter()
        return render(request, 'check.html', locals())

class Login(View):
    def get(self, request):
        return render(request, 'login.html')

    def post(self, request):
        username = request.POST.get('username')
        password = request.POST.get('password')
        user_obj = models.User.objects.filter(name=username, pwd=password).first()
        if user_obj:
            # 获取当前用户的权限列表，由于用户可能有多个身份，也就是会有重叠的路由，需要使用去重 distinct
            permissions_list = models.User.objects.filter(name=username).values('roles__permissions__url').distinct()
            # 将权限列表添加到session中
            permissions_list = [i.get('roles__permissions__url') for i in permissions_list]
            request.session['permissions_list'] = permissions_list
            return redirect('/check/')
        else:
            return HttpResponse('用户不存在')

class Add(View):
    def get(self, request):
        return HttpResponse('新增')
        
class Set(View):
    def get(self, request, *args):
        return HttpResponse('修改')
        
class Del(View):
    def get(self, request, *args):
        return HttpResponse('删除')
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

6. mypermissions.py 代码

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import render, HttpResponse, redirect
import re


class MyPermission(MiddlewareMixin):
    def process_request(self, request):
        # 获取用户请求的url
        target_url = request.path
        # 定义路由白名单
        white_list = ['/login/', '/register/']
        for white_url in white_list:
            # 循环白名单并将路由变成正则形式，因为有些路由含有其他后缀
            re_path = f'^{white_url}$'
            # 调用re模块search方法，查看请求的路由是否满足这种表达式
            # re.search(pattern, string, flags=0)
            res = re.search(re_path, target_url)
            if res:
                return
        permissions_list = request.session.get('permissions_list')
        for url in permissions_list:
            # 循环白名单并将路由变成正则形式，因为有些路由含有其他后缀
            re_path = f'^{url}$'
            # 调用re模块search方法，查看用户请求的路由是否满足正则表达式
            # re.search(pattern, string, flags=0)
            res = re.search(re_path, target_url)
            if res:
                return
        return HttpResponse('您没有权限')

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

7. settings 中间件配置

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'app01.permissions.mypermissions.MyPermission'
]
1
2
3
4
5
6
7
8
9
10

流程

上述代码只是简易的实现权限的分级。

1. 首先对每个用户进行分级，每一个身份等级有不同的访问路由权限，将路由添加到权限表中

2. 在login.html渲染的表单中登录，登录验证成功后查询当前用户身份对应的权限（如果一个用户只能有一个身份可以不
   去重），将所有的路由权限添加到一个列表中，并将其储存在session中便于校验。

3. 在登录成功后我设定的是直接转向 /check/ 路由，但是肯定需要判断用户是否有权限，最好的方式是在自定义中间件中
   判断，创建 permissions文件夹，并在该文件夹下定义 mypermissions.py文件用于自定义中间件

4. 在 mypermissions.py文件中创建 MyPermission类并继承 MiddlewareMixin类。然后编写校验逻辑，首先需要使
   用 process_request方法，该方法是自定义中间件提供的用户请求来的时候执行。

5. 当用户请求时，首先获取用户请求的路由，使用 request.path获取。然后需要定义一个路由白名单，该名单中的路由
   不论是哪一个用户都可以登录，这里添加的是 /login/，否则不好访问登录路由。

6. 对路由白名单进行循环，并将循环出来的路由变成正则表达式形式，由于用户访问的路由有可能带有其他后缀数据，用正
   则比较合适。获得正则表达式后导入 re模块，并使用 re.search()方法，该方法第一个参数是正则表达式，第二个是
   待匹配文本。若是匹配失败返回 None

7. 然后从session中取出路由列表，并进行比对，同样使用循环加正则的形式比对。如果路由列表内路由全都匹配失败这
   里简易的返回 HttpResponse对象
   
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23