Django--权限信息操作
2024-10-15 15:48:56
一 . 权限控制
表结构的设计
rbca(Role Based Access Control) 基于角色的权限控制
3个model 5张表
class User(models.Model):
# 用户表
username = models.CharField(max_length=16)
password = models.CharField(max_length=16)
# 多对多的外键一般写在查询方便的那一边
roles = models.ManyToManyField('Role', verbose_name='用户和角色关系表',blank=True) class Role(models.Model):
# 角色表
username = models.CharField('角色',max_length=16)
permissions = models.ManyToManyField('Permission', verbose_name='角色和权限关系表', blank=True) class Permission(models.Model):
# 权限表
url = models.CharField('权限', max_length=64)
title = models.CharField('标题', max_length=16)
# 权限表里面的url一定要加上 / / , 这样用正则的时候才能匹配成功
二 . 在admin中对表进行操作
# 创建超级用户的命令
python manage.py createsuperuser # 然后在admin文件中创建表
from django.contrib import admin
admin.site.register(models.Permission)
admin.site.register(models.User)
admin.site.register(models.Role
登录admin,样式不是我们想要的,我们需要进行一下操作
然后在admin中写上:
修改之后的结果
还可以在展示页面上直接对字段进行编辑
展示结果
三 . 权限控制的流程
其实我们控制权限的实质就是让某些人能访问特定的url
我们需要把权限控制的验证写到中间件中去
# 视图函数
def login(request):
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
obj = models.User.objects.filter(username=username, password=password).first()
if not obj:
return render(request, 'login.html', {'error': '用户名或密码错误'})
# 跨表查询用双下划线 ORM获取到权限信息 过滤掉权限为空的 去重
permission_query = obj.roles.filter(permissions__url__isnull=False).values('permissions__url', 'permissions__title').distinct() # session的值需要是可序列化的, 需要把QuerySet变成列表
request.session['permission'] = list(permission_query)
request.session['is_login'] = True
return redirect('index')
return render(request,'login.html')
from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse, redirect
from django.conf import settings
import re
class RbacMiddleWare(MiddlewareMixin):
def process_request(self,request):
# 获取当前访问的页面
url = request.path # 白名单
for i in settings.WHITE_LIST:
# match 匹配上得到一个对象,匹配不上返回None
if re.match(i, url):
return
# 获取登录状态
is_login = request.session['is_login']
# 没有登录跳转登录页面
if not is_login:
return redirect('login') # 免认证
for i in settings.NO_PERMISSION_LIST:
# match 匹配上得到一个对象,匹配不上返回None
if re.match(i, url):
return # 获取当前用户的权限, 要用get去拿,没有显示None,[]就会报错
permission_list = request.session.get('permission')
# print(permission_list)
# 权限的校验
for permission in permission_list:
# print('>>>>',permission)
if re.match(f'^{permission["permissions__url"]}$', url):
return
# 没有匹配成功
return HttpResponse('你的level不够!!')
权限认证中间件
我们在其他py文件中引入settings的时候,要用以下方式
from django.conf import settings
最新文章
- js 常用函数收集(基础)
- jQuery学习笔记(五)jQuery中的表单
- 报错记录:getOutputStream() has already been called for this response
- AJax中post与get请求注意事项
- 委托,C#本身的委托(Action Func)
- linux下cat命令详解
- jquery实现点击按钮滑动到指定位置
- 栈的简单应用 HDU 1022 http://acm.hdu.edu.cn/showproblem.php?pid=1022
- css经典布局之左侧固定大小右侧自动适应
- Libevent源码分析—event_set()
- (转)Centos7 Nginx安装
- CLR类型设计之属性
- kerberos环境下spark消费kafka写入到Hbase
- python数据类型、if判断语句
- [PHP] 理解依赖注入
- nGrinder TestRunnerBarrier.groovy / jihedian
- mysql5.7安装(正确安装)实战
- [easyUI] lazyload 懒加载
- 测试快速关闭innodb的方法
- 019 spark on yarn(Job的运行流程,可以对比mapreduce的yarn运行)