python-django-permission

最新推荐文章于 2025-03-23 14:15:00 发布
最新推荐文章于 2025-03-23 14:15:00 发布
阅读量2.8k 收藏 2
点赞数 2
分类专栏: Python 文章标签: python django permission

django-permission

1. Django权限机制概述

权限机制能够约束用户行为,控制页面的显示内容,也能使API更加安全和灵活;用好权限机制,能让系统更加强大和健壮。因此,基于Django的开发,理清Django权限机制是非常必要的。

1.1 Django的权限控制

Django用user, group和permission完成了权限机制,这个权限机制是将属于model的某个permission赋予user或group,可以理解为全局 的权限,即如果用户A对数据模型(model)B有可写权限,那么A能修改model B的所有实例(objects)。group的权限也是如此,如果为group C 赋予model B的可写权限,则隶属于group C 的所有用户,都可以修改model B的所有实例。

这种权限机制只能解决一些简单的应用需求,而大部分应用场景下,需要更细分的权限机制。以博客系统为例,博客系统的用户可分为『管理员』、『编 辑』、『作者』和『读者』四个用户组;博客系统管理员和编辑具有查看、修改和删除所有的文章的权限,作者只能修改和删除自己写的文章,而读者则只有阅读权 限。管理员、编辑和读者的权限,我们可以用全局权限做控制,而对于作者,全局权限无法满足需求,仅通过全局权限,要么允许作者编辑不属于自己的文章,要么 让作者连自己的文章都无法修改。

上述的应用场景,Django自带的权限机制无法满足需求,需要引入另一种更细的权限机制:对象权限(object permission)。

Object Permission是一种对象颗粒度上的权限机制,它允许为每个具体对象授权。仍沿用最开始的例子,如果model B有三个实例 B1,B2 和B3,如果我们把B1的可写权限赋予用户A,则A可以修改B1对象,而对B2,B3无法修改。对group也一样,如果将B2的可写权限赋予group C,则隶属于group C的所有用户均可以修改B2,但无法修改B1和B3。结合Django自带权限机制和object permission,博客系统中作者的权限控制迎刃而解:系统全局上不允许作者编辑文章,而对于属于作者的具体文章,赋予编辑权限即可。

Django其实包含了object permission的框架,但没有具体实现,object permission的实现需要借助第三方app django-guardian ,我们在开发中用调用django guradian封装好的方法即可。

1.2 Django的权限项

Django用permission对象存储权限项,每个model默认都有三个permission,即add model, change model和delete model。例如,定义一个名为『Car』model,定义好Car之后,会自动创建相应的三个permission:add_car,change_car和delete_car。Django还允许自定义permission,例如,我们可以为Car创建新的权限项:drive_car,clean_car,fix_car等等

需要注意的是,permission总是与model对应的,如果一个object不是model的实例,我们无法为它创建/分配权限。

2. Django 自带权限机制的应用

2.1 Permission

如上文所述,Django定义每个model后,默认都会添加该model的add, change和delete三个permission,自定义的permission可以在我们定义model时手动添加:

[python]  view plain  copy
 print ?
  1. class Task(models.Model):  
  2.     ...  
  3.     class Meta:  
  4.         permissions = (  
  5.             ("view_task""Can see available tasks"),  
  6.             ("change_task_status""Can change the status of tasks"),  
  7.             ("close_task""Can remove a task by setting its status as closed"),  
  8.         )  

每个permission都是django.contrib.auth.Permission类型的实例,该类型包含三个字段name,codename和content_type,其中content_type反应了permission属于哪个model,codename如上面的view_task,代码逻辑中检查权限时要用,name是permission的描述,将permission打印到屏幕或页面时默认显示的就是name

在model中创建自定义权限,从系统开发的角度,可理解为创建系统的内置权限,如果需求中涉及到用户使用系统时创建自定义权限,则要通过下面方法:

[python]  view plain  copy
 print ?
  1. from myapp.models import BlogPost  
  2. from django.contrib.auth.models import Permission  
  3. from django.contrib.contenttypes.models import ContentType  
  4.   
  5. content_type = ContentType.objects.get_for_model(BlogPost)  
  6. permission = Permission.objects.create(codename='can_publish',  
  7.                                        name='Can Publish Posts',  
  8.                                        content_type=content_type)  

2.2 User Permission管理

User对象的user_permission字段管理用户的权限:

[python]  view plain  copy
 print ?
  1. myuser.user_permissions = [permission_list]  
  2. myuser.user_permissions.add(permission, permission, ...) #增加权限  
  3. myuser.user_permissions.remove(permission, permission, ...) #删除权限  
  4. myuser.user_permissions.clear() #清空权限  
  5.   
  6. ##############################################################  
  7. # 注:上面的permission为django.contrib.auth.Permission类型的实例  
  8. ##############################################################  

检查用户权限用has_perm()方法:

<span style="line-height: 21.6px;">myuser.has_perm('myapp.fix_car')</span>

has_perm()方法的参数,即permission的codename,但传递参数时需要加上model 所属app的前缀,格式为<app label>.<permission codename>。

无论permission赋予user还是group,has_perm()方法均适用

附注:

user.get_all_permissions()方法列出用户的所有权限,返回值是permission name的list

user.get_group_permissions()方法列出用户所属group的权限,返回值是permission name的list

2.3 Group Permission管理

group permission管理逻辑与user permission管理一致,group中使用permissions字段做权限管理:

[python]  view plain  copy
 print ?
  1. group.permissions = [permission_list]  
  2. group.permissions.add(permission, permission, ...)  
  3. group.permissions.remove(permission, permission, ...)  
  4. group.permissions.clear()  

权限检查:

依然使用user.has_perm()方法。

2.4permission_required装饰器

权限能约束用户行为,当业务逻辑中涉及到权限检查时,decorator能够分离权限验证和核心的业务逻辑,使代码更简洁,逻辑更清晰。permission的decorator为permission_required:

[python]  view plain  copy
 print ?
  1. from django.contrib.auth.decorators import permission_required  
  2.  
  3. @permission_required('car.drive_car')  
  4. def my_view(request):  

2.5 Template中的权限检查

Template中使用全局变量perms存储当前用户的所有权限,权限检查可以参考下面例子:

[python]  view plain  copy
 print ?
  1. {% if perms.main.add_page %}  
  2.             <li class="dropdown">  
  3.               <a href="#" class="dropdown-toggle" data-toggle="dropdown" role="button" aria-expanded="false">Pages <span class="caret"></span></a>  
  4.               <ul class="dropdown-menu" role="menu">  
  5.                 <li><a href="{% url 'main:admin_pages' %}">All Pages</a></li>  
  6.                 <li><a href="{% url 'main:admin_page' %}">New Page</a></li>  
  7.                 <li><a href="{% url 'main:admin_pages' %}?draft=true">Drafts</a></li>  
  8.               </ul>  
  9.             </li>  
  10. {% endif %}  

3. 基于Django-guardian的object permission的应用

Django-guardian 基于django的原生逻辑扩展了django的权限机制,应用django-guardian后,可以使用django-guardian提供的方法以 及django的原生方法检查全局权限,django-guardian提供的object permission机制使django的权限机制更加完善。

django-guardian详细的使用文档请参考官方文档,其object permission常用方法如下:

[python]  view plain  copy
 print ?
  1. from guardian.shortcuts import assign_perm, get_perms  
  2. from guardian.core import ObjectPermissionChecker  
  3. from guardian.decorators import permission_required  

3.1 添加object permission

添加object permission使用assign_perm()方法,如为用户添加对mycar对象的drive_car权限:

assign_perm('myapp.drive_car', request.user, mycar)

assign_perm()方法也可用于group

assign_perm('myapp.drive_car', mygroup, mycar)

3.2 权限检查

3.2.1 Global permission

get_perms()方法用于检查用户的“全局权限”(global permission),与user.has_perm()异曲同工,如:

[python]  view plain  copy
 print ?
  1. #############################  
  2. # It works!   
  3. #############################  
  4.  if not 'main.change_post' in get_perms(request.user, post):  
  5.    raise HttpResponse('Forbidden')  
  6. #############################  
  7. # It works, too!  
  8. #############################  
  9. if not request.user.has_perm('main.change_post')  
  10.   return HttpResponse('Forbidden')  

例子中虽然把post object作为参数传给get_perms()方法,但它只检查user的全局权限中是否有main.change_post权限,很多情况下可用原生的user.has_perm取代,但user和group均可作为get_perms()的传入参数,某些情况下可以使代码更简洁。

3.2.2 Object permission

Django-guardian中使用ObjectPermissionChecker检查用户的object permission,示例如下:

[python]  view plain  copy
 print ?
  1. checker = ObjectPermissionChecker(request.user)  
  2. print checker.has_perm('main.change_post', post)  

3.3 permission_required装饰器

guardian.decorators.permission_required是django-guardian权限检查的decorator,既可以检查全局权限,又可以检查对象权限(object permission),其中,accept_global_perms参数指出是否检查user的global permission,如:

[python]  view plain  copy
 print ?
  1. from guardian.decorators import permission_required  
  2. class DeletePost(View):  
  3.   @method_decorator(permission_required('main.delete_post',   
  4.               (models.Post, 'id''pk'),   
  5.               accept_global_perms=True))  
  6.   def get(self, request, pk):  
  7.     try:  
  8.       pk = int(pk)  
  9.       cur_post = models.Post.objects.get(pk=pk)  
  10.       is_draft = cur_post.is_draft  
  11.       url = reverse('main:admin_posts')  
  12.       if is_draft:  
  13.         url = '{0}?draft=true'.format(url)    
  14.       cur_post.delete()  
  15.     except models.Post.DoesNotExist:  
  16.       raise Http404  
  17.     return redirect(url)  

注:

decorator中的(models.Post, 'id', 'pk')部分,用于指定object实例,如果忽略这个参数,则不论accept_global_perms值为True还是False,均仅仅检查全局权限。

4. 结论

Django原生提供了一种简单的全局权限(global permission)控制机制,但很多应用场景下,对象权限(object permission)更加有用;django-guardian是目前比较活跃的一个django extension,提供了一种有效的object permission控制机制,与django原生机制一脉相承,推荐使用。

Django基础(23): 权限管理(permissions)与用户组(group)详解
大江狗
11-27 4万+
如果你只是利用Django开发个博客,大部分用户只是阅读你的文章而已,你可能根本用不到本节内容。但是如果你想开发一个内容管理系统,或用户管理系统,你必需对用户的权限进行管理和控制。Django自带的权限机制(permissions)与用户组(group)可以让我们很方便地对用户权限进行管理。小编我今天就尝试以浅显的语言来讲解下如何使用Django自带的权限管理机制。 什么是权限? ...
Python-Django-视图
sinat_61909096的博客
04-19 1848
Django 框架》课程第 1 次教学 - 视图高级 一、内置错误视图 1 、视图 一个视图函数,简称视图,是一个简单的Python函数,它接受Web请求并且返回Web响应。代码写在哪里也无所 谓,只要它在你的应用目录下面。但是为了方便视图一般被定义在“应用/views.py”文件中。 视图的第一个参数必须为HttpRequest实例,还可能包含下参数如: 通过正则表达式组获得参数 视图必须返回一个HttpResponse对象或子对象作为响应。 2 、错误视图 Django内置处理HTTP错误的视图,
Django中的许可(Permissions)和用户组(Group)
weixin_34026276的博客
10-24 377
Reference: http://www.cnblogs.com/esperyong/archive/2012/12/20/2826690.html 接着上面的3篇讨论文章,我们阐述了Django中如何使用Authentication系统进行,用户的创建,登陆,登出,完成了用户的认证。接下来,我们要看另外一个议题,那就是Authorization授权。在Django中这部分使用Permissio...
Django系列教程(20)——权限详解
最新发布
软件开发
03-23 1389
权限是能够约束用户行为和控制页面显示内容的一种机制。一个完整的权限应该包含3个要素: 用户,对象和权限,即什么用户对什么对象有什么样的权限。假设我们有一个应用叫blog,其包含一个叫Article(文章)的模型。那么一个超级用户一般会有如下4种权限,而一个普通用户可能只有1种或某几种权限,比如只能查看文章,或者能查看和创建文章但是不能修改和删除。查看文章(view)创建文章(add)更改文章(change)删除文章(delete)
django权限管理(Permission)
weixin_30419799的博客
06-13 291
什么是权限管理 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自 己被授权的资源 权限管理好比如钥匙,有了钥匙就能把门打开,但是权限设置是有级别之分的,假如这个 系统有多个权限级别就如一间屋有多个门,想要把所有门都打开您必须要取得所有的钥 匙,就如系统一样。 django权限机制 django权限机制能够约束用户行为,控制页面的显示内容,也能使API更加安全和灵...
Django permission
cyan-blue
06-23 1202
使用django的权限管理系统permission 1、为model添加权限 class OrderList(models.Model): id = BigIntegerAutoField(primary_key=True) buyer_name = models.CharField(default="",max_length=32, verbose_name=u'买手')
django自带的权限管理Permission用法说明
12-17
前言 一些公司内部的CMS系统存在某些内容让指定的用户有权限访问,这时候可以用django自带的权限管理进行限制,比较方便。 缺点:django自带的权限是针对model(模型)的,不能针对单条数据,要针对单条数据需要额外的操作。 默认的权限(add, change, delete, view) django针对每个模型,生成了四个默认的权限(add, change, delete, view)。例如,我有一个model叫Log,那么这四个默认权限在数据库的存储格式为: 表auth_permission(注:id字段的值是随便取的,使用python manage.py migrate的时候会自
基于python3-Django和Bootstrap的简易博客系统源码+部署说明+详细注释.zip
08-18
基于`python 3.11`,`django 4.0`和`bootstrap 4` 简介 - 这是一个由 Django, bootstrap和其它开源项目构建的简易博客系统。 - 该系统实现了基本的发表及修改文章,评论,用户管理,文章分类功能,同时集成了...
Python-Django的RESTful API开发:构建可扩展与灵活的接口
## 章节一:介绍RESTful API和Python-Django ### 1.1 RESTful API的概念和优势 在现代Web开发中,RESTful API成为了不可或缺的一部分。REST指的是"Representational State Transfer",它是一种软件架构风格,定义了...
Python库 | django-permission-0.4.1.tar.gz
04-08
资源分类:Python库 所属语言:Python 资源全名:django-permission-0.4.1.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.youkuaiyun.com/article/details/101784059
Python-Django的用户认证与权限控制:保护网站与用户数据
# 章节一:理解Python-Django中的用户认证 ## 1.1 用户认证的概念 用户认证是指在Web应用程序中验证用户的身份和权限的过程。通过用户认证,可以确保只有经过身份验证的用户才能访问特定的功能和数据。 ## 1.2 ...
Django–权限Permissions的例子
12-26
权限全局配置: REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.IsAuthenticated', ) } 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object()获取具体对象时,会进行对象访问权限的判断 如果不指定就用默认的配置: 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.Allo
django-admin-permissions:非常简单的扩展,在admin字段中添加了权限检查
05-09
django-admin-permissions 非常简单的扩展,在admin字段中添加了权限检查 要求 Python 2.7+或Python 3.3+ Django 1.8以上 安装 使用您喜欢的Python软件包管理器从PyPI安装应用程序,例如 例子: pip install django-admin-permissions 将admin_permissions添加到INSTALLED_APPS : 例子: INSTALLED_APPS = ( ... ' admin_permissions ', ... ) 用法示例 使用ModelAdminPermission类,并使用fields_permissions设置权限: class ArticleAdmin ( ModelAdminPermission ): fieldsets = [
Django--权限Permissions
gy的博客
07-17 2887
权限全局配置: REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( 'rest_framework.permissions.IsAuthenticated', ) } 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过ge...
django自带的权限管理Permission用法
卡萝尔的博客
04-07 8285
Permission的用法前言默认的权限(add, change, delete, view)使用方法在函数中验证权限,使用user.has_perm在函数上验证权限,使用@permission_required 前言 一些公司内部的CMS系统存在某些内容让指定的用户有权限访问,这时候可以用django自带的权限管理进行限制,比较方便。 缺点:django自带的权限是针对model(模型)的,不能...
django 权限管理permission
weixin_30607029的博客
02-14 277
1.为模型类添加权限 from django.db import models from django.utils.translation import ugettext_lazy as _ class Monitor(models.Model): ...... class Meta: verbose_name = _(u'设备信...
Django REST Framework 框架」Permissions权限解析及应用举例
qinzuoyu996的博客
08-23 1183
全部 Django Web 开发文章索引目录传送门: 【Django Web 开发】全部文章目录索引 文章目录 内容介绍 Permissions权限 应用举例 内容介绍 代码内容基于「Django REST Framework API框架」源码版本 3.12.x ,更新内容会进行标记说明对应版本。 身份认证和权限组合使用,用来确定请求是否返回数据还是拒绝请求数据。 Permissions权限 1.确定权限 # 在运行视图前检查每个请求的权限 # 如果检查失败则会引发 exceptions.Perm
django的权限管理系统permission
jazywoo_在路上
03-11 1810
1.为model添加权限 [html] view plaincopy class Task(models.Model):       .......       class Meta:           permissions = (               ('oprater_task','can change the tasks'), 
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值