Django-Guardian 对象权限分配指南

Django-Guardian 对象权限分配指南

django-guardian 项目地址: https://gitcode.com/gh_mirrors/dja/django-guardian

前言

在Django开发中，权限管理是一个重要且复杂的主题。标准的Django权限系统提供了模型级别的权限控制，但在实际应用中，我们经常需要对单个对象实例进行细粒度的权限管理。这正是Django-Guardian发挥作用的地方。

准备工作：定义模型权限

在开始使用Django-Guardian分配对象权限之前，我们需要确保模型已经定义了适当的权限。让我们以一个简单的任务管理模型为例：

class Task(models.Model):
    summary = models.CharField(max_length=32)
    content = models.TextField()
    reported_by = models.ForeignKey(User, on_delete=models.CASCADE)
    created_at = models.DateTimeField(auto_now_add=True)

    class Meta:
        permissions = (
            ('assign_task', '分配任务权限'),
            ('complete_task', '完成任务权限'),
        )

在这个例子中，我们定义了两个自定义权限：

• assign_task：允许用户分配任务
• complete_task：允许用户标记任务为完成

注意：Django默认会为每个模型创建4种基本权限：

• add_modelname：添加模型实例
• change_modelname：修改模型实例
• delete_modelname：删除模型实例
• view_modelname：查看模型实例

定义好权限后，需要运行makemigrations和migrate命令将这些权限添加到数据库中。

分配对象权限

Django-Guardian提供了简洁的API来管理对象级别的权限。核心函数是assign_perm，它可以为用户或组分配特定对象的权限。

为用户分配权限

假设我们有以下场景：

• 管理员"Big Boss"创建了一个任务
• 我们需要允许用户"joe"对这个特定任务拥有分配权限

from django.contrib.auth.models import User
from guardian.shortcuts import assign_perm

# 创建用户和任务
boss = User.objects.create(username='Big Boss')
joe = User.objects.create(username='joe')
task = Task.objects.create(summary='重要工作', content='详细内容', reported_by=boss)

# 检查初始权限状态
print(joe.has_perm('assign_task', task))  # 输出: False

# 分配对象权限
assign_perm('assign_task', joe, task)

# 验证权限
print(joe.has_perm('assign_task', task))  # 输出: True

为组分配权限

在实际应用中，更常见的做法是将权限分配给组，然后将用户添加到组中。这种方式更易于管理：

from django.contrib.auth.models import Group

# 创建组
employees = Group.objects.create(name='员工组')

# 为组分配权限
assign_perm('change_task', employees, task)

# 将用户添加到组
joe.groups.add(employees)

# 验证权限
print(joe.has_perm('change_task', task))  # 输出: True

企业场景示例

让我们看一个更复杂的多公司场景：

# 创建公司实例
company_a = Company.objects.create(name="A公司")
company_b = Company.objects.create(name="B公司")

# 创建组
group_a = Group.objects.create(name="A公司员工组")
group_b = Group.objects.create(name="B公司员工组")

# 分配公司特定的权限
assign_perm('change_company', group_a, company_a)
assign_perm('change_company', group_b, company_b)

# 创建用户并测试权限
user_a = User.objects.create(username="张三")
user_a.groups.add(group_a)

print(user_a.has_perm('change_company', company_a))  # 输出: True
print(user_a.has_perm('change_company', company_b))  # 输出: False

信号中的权限分配

在实际开发中，我们经常需要在用户创建时自动分配一些权限。这时可以使用Django的信号机制：

from django.db.models.signals import post_save
from django.dispatch import receiver
from django.conf import settings

@receiver(post_save, sender=User)
def handle_user_creation(sender, **kwargs):
    user, created = kwargs["instance"], kwargs["created"]
    
    # 排除匿名用户
    if created and user.username != settings.ANONYMOUS_USER_NAME:
        # 为用户自己分配修改自己信息的权限
        assign_perm("change_user", user, user)
        
        # 创建并关联用户档案
        profile = Profile.objects.create(user=user)
        assign_perm("change_profile", user, profile)

重要提示：由于Django的匿名用户是在权限表创建之前生成的，在信号处理中必须检查并排除匿名用户，否则会导致权限分配失败。

最佳实践

1. 权限命名：使用清晰、一致的权限命名约定，如动词_模型名格式
2. 组优先：尽量将权限分配给组而非单个用户，便于管理
3. 权限验证：在视图和模板中都应进行权限验证
4. 性能考虑：大量对象权限查询时，注意使用get_objects_for_user等批量查询方法
5. 测试覆盖：为权限逻辑编写充分的测试用例

通过合理使用Django-Guardian的对象权限功能，可以构建出既安全又灵活的应用程序权限体系。

django-guardian 项目地址: https://gitcode.com/gh_mirrors/dja/django-guardian