权限管理
权限管理是根据不同的用户有相应的权限功能,通常用到的权限管理理念Rbac.
Rbac
基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。
数据库表体现
在后端数据库rbac的表现是,一张用户表,一张职位表,还有一张权限表,用户多对多职位表,因为同一个人可能拥有多个职位,职位表多对多权限权限表,一个职位可拥有多个权限,权限在web的体现就是url地址,你必须有相对url的权限才能访问页面,从而限制你的功能
简单rbac表例子:
可以看出对于关于用户的增删改查功能的权限就是你能访问对应的url。例如boss职位我可以给他分配所有的权限,在职位权限表中可以看出boss拥有所有的权限。
如何实现
现在你可以给一个用户指定职位以及职位的权限,那么django中如何实现权限管理。首先你的知道django的运作流程,看下面的图:
用过django框架的很容易看懂这张图,简单来说流程如下:
- wsgiref模块负责接受和发送底层的socket消息
- 中间件为全局钩子对django的输入和输出进行操作
- 路由系统根据url执行相应的视图函数
- 视图函数调用数据库和模板语言渲染html文件返回给前段
所以我们可以自己写一个中间件来实现权限管理
实现原理分析
登录后要做的事:
- 登录成功后从数据库中获取当前用户的所有权限,也就是所有的url地址
- 利用session的特点将登录用户的所有url地址以键值对的形式保存
写一个中间件实现以下功能:
- 除了访问白名单中的url,都必须校验权限
- 根据请求的session判断当前用户的权限即获取能访问得url,没有登录则获取不到
- 校验通过则运行执行django下一步流程
- 校验不通过则返回没有权限提示,或返回登录页面
具体实现
数据库
from django.db import models
# Create your models here.
class Permission(models.Model):
title = models.CharField(max_length=22)
url = models.CharField(max_length=32)
def __str__(self):
return self.title
class Meta:
verbose_name ='权限'
verbose_name_plural=verbose_name
class UserInfo(models.Model):
username = models.CharField(max_length=32)
password = models.CharField(max_length=32)
roles = models.ManyToManyField(to='Role')
class Meta:
verbose_name ='用户'
verbose_name_plural=verbose_name
def __str__(self):
return self.username
class Role(models.Model):
title = models.CharField(max_length=32)
permissions =models.ManyToManyField(to='Permission',null=True,blank=True)
class Meta:
verbose_name ='角色'
verbose_name_plural=verbose_name
def __str__(self):
return self.title登录视图
from django.shortcuts import render,HttpResponse,redirect
from django.http import JsonResponse
# Create your views here.
from rbac.models import UserInfo,Permission,Role
def login(request):
ret = {'ret':0}
#获取因权限不足跳转到登录页面的原url,获取不到默认/customer/list/
next_url = request.GET.get('next','/customer/list/')
if request.method=='POST':
#post请求,获取前端发送的账号和密码
name = request.POST.get('email')
pwd = request.POST.get('pwd')
#根据获取到的账号密码去数据库筛选
user_obj = UserInfo.objects.filter(username=name,password=pwd).first()
if user_obj:
ret={'ret':1}
ret['url']=next_url
# 如果筛选成功则跨边将用户所有的权限url取出来
permission_queryset = user_obj.roles.all().filter(permissions__isnull=False).values_list('permissions__url')
#利用生成器保存url
permission_list = [i[0] for i in permission_queryset]
#设置到session中
request.session['permission_list'] = permission_list
else:
ret['msg']='账号密码错误'
return JsonResponse(ret)
#如果是get请求直接返回页面
return render(request,'login.html')
def logout(request):
request.session.flush()
return redirect('login')中间件
class RBACMiddleware(MiddlewareMixin):
def process_request(self, request):
#白名单url
wirte_url = [reverse('login'),reverse('logout')]
#获取当前的url
current_url = request.path_info
print('当前url',current_url)
#如果当前请求的url是白名单的url直接放行:
for url in wirte_url:
if re.match(r'^{}$'.format(url),current_url):
print('白名单通过')
return
#否则判断当前请求url是否在当前登录的用户的权限url中
#获取session中保存的用户权限url表
permission_list = request.session.get('permission_list',[])
for url in permission_list:
if re.match(r'^{}$'.format(url),current_url):
print(permission_list)
print('权限通过')
return
else:
return HttpResponse('没有权限')