Django 内置权限扩展案例详解


Posted in Python onMarch 04, 2019

当Django的内置权限无法满足需求的时候就自己扩展吧~

背景介绍

overmind项目使用了Django内置的权限系统,Django内置权限系统基于model层做控制,新的model创建后会默认新建三个权限,分别为:add、change、delete,如果给用户或组赋予delete的权限,那么用户将可以删除这个model下的所有数据。

原本overmind只管理了我们自己部门的数据库,权限设置只针对具体的功能不针对细粒度的数据库实例,例如用户A 有审核的权限,那么用户A 可以审核所有的DB,此时使用内置的权限系统就可以满足需求了,但随着系统的不断完善要接入其他部门的数据库管理,这就要求针对不同用户开放不同DB的权限了,例如A部门的用户只能操作A部门的DB,Django内置基于model的权限无法满足需求了。

实现过程

先来确定下需求:

1.  保持原本的基于功能的权限控制不变,例如用户A有查询权限,B有审核权限

2.  增加针对DB实例的权限控制,例如用户A只能查询特定的DB,B只能审核特定的DB

对于上边需求1用内置的权限系统已经可以实现,这里不赘述,重点看下需求2,DB信息都存放在同一个表里,不同用户能操作不同的DB,也就是需要把每一条DB信息与有权限操作的用户进行关联,为了方便操作,我们考虑把DB跟用户组关联,在用户组里的用户都有权限,而操作类型经过分析主要有两类读和写,那么需要给每个MySQL实例添加两个字段分别记录对此实例有读和写权限的用户组

如下代码在原来的model基础上添加 read_groupswrite_groups 字段,DB实例跟用户组应是ManyToManyField多对多关系,一个实例可以关联多个用户组,一个用户组也可以属于多个实例

class Mysql(models.Model):
 Env = (
 (1, 'Dev'),
 (2, 'Qa'),
 (3, 'Prod'),
 )
 create_time = models.DateTimeField(auto_now_add=True, verbose_name='创建时间')
 update_time = models.DateTimeField(auto_now=True, verbose_name='更新时间')

 project_id = models.IntegerField(verbose_name='项目')
 project_tmp = models.CharField(max_length=128, default='')
 environment = models.IntegerField(choices=Env, verbose_name='环境')

 master_host = models.GenericIPAddressField(verbose_name='master主机')
 master_port = models.IntegerField(default=3306, verbose_name='master端口')

 slave_host = models.GenericIPAddressField(null=True, verbose_name='slave主机')
 slave_port = models.IntegerField(null=True, default=3306, verbose_name='slave端口')

 database = models.CharField(max_length=64, verbose_name='数据库')

 read_groups = models.ManyToManyField(Group, related_name='read', verbose_name='读权限')
 write_groups = models.ManyToManyField(Group, related_name='write', verbose_name='写权限')

 description = models.TextField(null=True, verbose_name='备注')

model确定了,接下来我们分三部分详细介绍下权限验证的具体实现

列表页权限控制

Django 内置权限扩展案例详解

如上图列表页,每个用户进入系统后只能查看自己有读权限的MySQL实例列表,管理员能查看所有,代码如下:

def mysql(request):
 if request.method == 'GET':
 if request.user.is_superuser:
 _lists = Mysql.objects.all().order_by('id')
 else:
 # 获取登录用户的所有组
 _user_groups = request.user.groups.all()

 # 构造一个空的QuerySet然后合并
 _lists = Mysql.objects.none()
 for group in _user_groups:
 _lists = _lists | group.read.all()

 return render(request, 'overmind/mysql.index.html', {'request': request, 'lPage': _lists})

实现的思路是:获取登录用户的所有组,然后循环查询每个组有读取权限的数据库实例,最后把每个组有权限读的数据库实例进行合并返回

获取登录用户的所有组用到了ManyToMany的查询方法: request.user.groups.all()

最终返回的一个结果是QuerySet,所以我们需要先构造一个空的Queryset: Mysql.objects.none()

QuerySet合并不能用简单的相加,应为: QuerySet-1 | QuerySet-2

查询接口权限控制

Django 内置权限扩展案例详解

如上图系统中有很多功能是需要根据项目、环境查询对应的DB信息的,对于此类接口也需要控制用户只能查询自己有权限读的DB实例,管理员能查看所有,代码如下:

def get_project_database(request, project, environment):
 if request.method == 'GET':
 _jsondata = {}

 if request.user.is_superuser:
 # 返回所有项目和环境匹配的DB
 _lists = Mysql.objects.filter(
 project_id=int(project),
 environment=int(environment)
 )

 _jsondata = {i.id: i.database for i in _lists}
 else:
 # 只返回用户有权限查询的DB
 _user_groups = request.user.groups.all()

 for group in _user_groups:
 # 循环mysql表中有read_groups权限的所有组
 for mysql in group.read.all():
  if mysql.project_id == int(project) and mysql.environment == int(environment):
  _jsondata[mysql.id] = mysql.database

 return JsonResponse(_jsondata)

实现思路与上边类似,只是多了一步根据项目和环境再进行判断

需要根据group去反查都有哪些DB实例包含了该组,这里用到了M2M的related_name属性: group.read.all()

更多关于Django ORM查询的内容可以看这篇文章 Django model select的各种用法详解 有详细的总结

执行操作权限控制

除了上边的两个场景之外我们还需要在执行具体的操作之前去判断是否有权限,例如执行审核操作前判断用户是否对此DB有写权限

有很多地方都需要做这个判断,所以把这个权限判断单独写个方法来处理,代码如下:

def check_permission(perm, mysql, user):
 # 如果用户是超级管理员则有权限
 if user.is_superuser:
 return True

 # 取出用户所属的所有组
 _user_groups = user.groups.all()

 # 取出Mysql对应权限的所有组
 if perm == 'read':
 _mysql_groups = mysql.read_groups.all()
 if perm == 'write':
 _mysql_groups = mysql.write_groups.all()

 # 用户组和DB权限组取交集,有则表示有权限,否则没有权限
 group_list = list(set(_user_groups).intersection(set(_mysql_groups)))

 return False if len(group_list) == 0 else True

实现思路是:根据传入的第三个用户参数,来获取到用户所有的组,然后根据传入的第一个参数类型读取或写入和第二个参数DB实例来获取到有权限的所有组,然后对两个组取交集,交集不为空则表示有权限,为空则没有

M2M的 .all() 取出来的结果是个list,两个list取交集的方法为: list(set(list-A).intersection(set(list-B)))

view中使用就很简单了,如下:

def query(request):
 if request.method == 'POST':
 postdata = request.body.decode('utf-8')
 _host = get_object_or_404(Mysql, id=int(postdata.get('database')))

 # 检查用户是否有DB的查询权限
 if check_permission('read', _host, request.user) == False:
 return JsonResponse({'state': 0, 'message': '当前用户没有查询此DB的权限'})

写在最后

1.  Django有第三方的基于object的权限管理模块Django-guardian,本项目没有使用主要是因为一来权限需求并不复杂,自己实现也很方便,二来个人在非必要的情况下并不喜欢引用过多第三方的包,后续升级维护都是负担

2.  方案和代码不尽完美,各位有更好的方案建议或更优雅的代码写法欢迎与我交流

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Python 相关文章推荐
php使用递归与迭代实现快速排序示例
Jan 23 Python
Python中urllib2模块的8个使用细节分享
Jan 01 Python
Python创建普通菜单示例【基于win32ui模块】
May 09 Python
详解Python中的正斜杠与反斜杠
Aug 09 Python
Python一键安装全部依赖包的方法
Aug 12 Python
Python编写打字训练小程序
Sep 26 Python
python实现坦克大战
Apr 24 Python
使用PyWeChatSpy自动回复微信拍一拍功能的实现代码
Jul 02 Python
总结python 三种常见的内存泄漏场景
Nov 20 Python
python 实现学生信息管理系统的示例
Nov 28 Python
python 用pandas实现数据透视表功能
Dec 21 Python
Pygame游戏开发之太空射击实战敌人精灵篇
Aug 05 Python
python三方库之requests的快速上手
Mar 04 #Python
django的ORM模型的实现原理
Mar 04 #Python
Python中按值来获取指定的键
Mar 04 #Python
python实现合并两个排序的链表
Mar 03 #Python
Python给图像添加噪声具体操作
Mar 03 #Python
django配置连接数据库及原生sql语句的使用方法
Mar 03 #Python
更新修改后的Python模块方法
Mar 03 #Python
You might like
php数组去重的函数代码
2013/02/03 PHP
juqery 学习之三 选择器 层级 基本
2010/11/25 Javascript
jQuery实现可拖动的浮动层完整代码
2013/05/27 Javascript
javascript函数重载解决方案分享
2014/02/19 Javascript
javascript常见数据验证插件大全
2015/08/03 Javascript
jQuery on()方法示例及jquery on()方法的优点
2015/08/27 Javascript
浅谈jQuery中的checkbox问题
2016/08/10 Javascript
深入理解Javascript箭头函数中的this
2017/02/13 Javascript
linux 后台运行node服务指令方法
2018/05/23 Javascript
javascript实现计算指定范围内的质数示例
2018/12/29 Javascript
js中怎么判断两个字符串相等的实例
2019/01/17 Javascript
生产制造追溯系统之再说条码打印
2019/06/03 Javascript
解决layer.confirm快速点击会重复触发事件的问题
2019/09/23 Javascript
layui 监听select选择 获取当前select的ID名称方法
2019/09/24 Javascript
JavaScript数组排序小程序实现解析
2020/01/13 Javascript
JS组件库AlloyTouch实现图片轮播过程解析
2020/05/29 Javascript
[56:47]Ti4 循环赛第三日 iG vs Liquid
2014/07/12 DOTA
Python统计单词出现的次数
2018/04/04 Python
python实现时间o(1)的最小栈的实例代码
2018/07/23 Python
Django JWT Token RestfulAPI用户认证详解
2019/01/23 Python
python opencv 读取图片 返回图片某像素点的b,g,r值的实现方法
2019/07/03 Python
python实现淘宝购物系统
2019/10/25 Python
python3连接mysql获取ansible动态inventory脚本
2020/01/19 Python
深入理解Tensorflow中的masking和padding
2020/02/24 Python
用于ETL的Python数据转换工具详解
2020/07/21 Python
matplotlib.pyplot.plot()参数使用详解
2020/07/28 Python
Python爬虫定时计划任务的几种常见方法(推荐)
2021/01/15 Python
HTML5离线缓存Manifest是什么
2016/03/09 HTML / CSS
Myprotein比利时官方网站:欧洲第一运动营养品牌
2020/10/04 全球购物
村主任个人对照检查材料
2014/10/01 职场文书
寝室长工作失责检讨书
2014/10/06 职场文书
酒店采购员岗位职责
2015/04/03 职场文书
农村老人去世追悼词
2015/06/23 职场文书
《蓝鲸的眼睛》读后感5篇
2020/01/15 职场文书
MySQL into_Mysql中replace与replace into用法案例详解
2021/09/14 MySQL
画错魏国疆域啦!《派对咖孔明》动画因作画失误于官网致歉
2022/04/07 日漫