Django 内置权限扩展案例详解


Posted in Python onMarch 04, 2019

当Django的内置权限无法满足需求的时候就自己扩展吧~

背景介绍

overmind项目使用了Django内置的权限系统,Django内置权限系统基于model层做控制,新的model创建后会默认新建三个权限,分别为:add、change、delete,如果给用户或组赋予delete的权限,那么用户将可以删除这个model下的所有数据。

原本overmind只管理了我们自己部门的数据库,权限设置只针对具体的功能不针对细粒度的数据库实例,例如用户A 有审核的权限,那么用户A 可以审核所有的DB,此时使用内置的权限系统就可以满足需求了,但随着系统的不断完善要接入其他部门的数据库管理,这就要求针对不同用户开放不同DB的权限了,例如A部门的用户只能操作A部门的DB,Django内置基于model的权限无法满足需求了。

实现过程

先来确定下需求:

1.  保持原本的基于功能的权限控制不变,例如用户A有查询权限,B有审核权限

2.  增加针对DB实例的权限控制,例如用户A只能查询特定的DB,B只能审核特定的DB

对于上边需求1用内置的权限系统已经可以实现,这里不赘述,重点看下需求2,DB信息都存放在同一个表里,不同用户能操作不同的DB,也就是需要把每一条DB信息与有权限操作的用户进行关联,为了方便操作,我们考虑把DB跟用户组关联,在用户组里的用户都有权限,而操作类型经过分析主要有两类读和写,那么需要给每个MySQL实例添加两个字段分别记录对此实例有读和写权限的用户组

如下代码在原来的model基础上添加 read_groupswrite_groups 字段,DB实例跟用户组应是ManyToManyField多对多关系,一个实例可以关联多个用户组,一个用户组也可以属于多个实例

class Mysql(models.Model):
 Env = (
 (1, 'Dev'),
 (2, 'Qa'),
 (3, 'Prod'),
 )
 create_time = models.DateTimeField(auto_now_add=True, verbose_name='创建时间')
 update_time = models.DateTimeField(auto_now=True, verbose_name='更新时间')

 project_id = models.IntegerField(verbose_name='项目')
 project_tmp = models.CharField(max_length=128, default='')
 environment = models.IntegerField(choices=Env, verbose_name='环境')

 master_host = models.GenericIPAddressField(verbose_name='master主机')
 master_port = models.IntegerField(default=3306, verbose_name='master端口')

 slave_host = models.GenericIPAddressField(null=True, verbose_name='slave主机')
 slave_port = models.IntegerField(null=True, default=3306, verbose_name='slave端口')

 database = models.CharField(max_length=64, verbose_name='数据库')

 read_groups = models.ManyToManyField(Group, related_name='read', verbose_name='读权限')
 write_groups = models.ManyToManyField(Group, related_name='write', verbose_name='写权限')

 description = models.TextField(null=True, verbose_name='备注')

model确定了,接下来我们分三部分详细介绍下权限验证的具体实现

列表页权限控制

Django 内置权限扩展案例详解

如上图列表页,每个用户进入系统后只能查看自己有读权限的MySQL实例列表,管理员能查看所有,代码如下:

def mysql(request):
 if request.method == 'GET':
 if request.user.is_superuser:
 _lists = Mysql.objects.all().order_by('id')
 else:
 # 获取登录用户的所有组
 _user_groups = request.user.groups.all()

 # 构造一个空的QuerySet然后合并
 _lists = Mysql.objects.none()
 for group in _user_groups:
 _lists = _lists | group.read.all()

 return render(request, 'overmind/mysql.index.html', {'request': request, 'lPage': _lists})

实现的思路是:获取登录用户的所有组,然后循环查询每个组有读取权限的数据库实例,最后把每个组有权限读的数据库实例进行合并返回

获取登录用户的所有组用到了ManyToMany的查询方法: request.user.groups.all()

最终返回的一个结果是QuerySet,所以我们需要先构造一个空的Queryset: Mysql.objects.none()

QuerySet合并不能用简单的相加,应为: QuerySet-1 | QuerySet-2

查询接口权限控制

Django 内置权限扩展案例详解

如上图系统中有很多功能是需要根据项目、环境查询对应的DB信息的,对于此类接口也需要控制用户只能查询自己有权限读的DB实例,管理员能查看所有,代码如下:

def get_project_database(request, project, environment):
 if request.method == 'GET':
 _jsondata = {}

 if request.user.is_superuser:
 # 返回所有项目和环境匹配的DB
 _lists = Mysql.objects.filter(
 project_id=int(project),
 environment=int(environment)
 )

 _jsondata = {i.id: i.database for i in _lists}
 else:
 # 只返回用户有权限查询的DB
 _user_groups = request.user.groups.all()

 for group in _user_groups:
 # 循环mysql表中有read_groups权限的所有组
 for mysql in group.read.all():
  if mysql.project_id == int(project) and mysql.environment == int(environment):
  _jsondata[mysql.id] = mysql.database

 return JsonResponse(_jsondata)

实现思路与上边类似,只是多了一步根据项目和环境再进行判断

需要根据group去反查都有哪些DB实例包含了该组,这里用到了M2M的related_name属性: group.read.all()

更多关于Django ORM查询的内容可以看这篇文章 Django model select的各种用法详解 有详细的总结

执行操作权限控制

除了上边的两个场景之外我们还需要在执行具体的操作之前去判断是否有权限,例如执行审核操作前判断用户是否对此DB有写权限

有很多地方都需要做这个判断,所以把这个权限判断单独写个方法来处理,代码如下:

def check_permission(perm, mysql, user):
 # 如果用户是超级管理员则有权限
 if user.is_superuser:
 return True

 # 取出用户所属的所有组
 _user_groups = user.groups.all()

 # 取出Mysql对应权限的所有组
 if perm == 'read':
 _mysql_groups = mysql.read_groups.all()
 if perm == 'write':
 _mysql_groups = mysql.write_groups.all()

 # 用户组和DB权限组取交集,有则表示有权限,否则没有权限
 group_list = list(set(_user_groups).intersection(set(_mysql_groups)))

 return False if len(group_list) == 0 else True

实现思路是:根据传入的第三个用户参数,来获取到用户所有的组,然后根据传入的第一个参数类型读取或写入和第二个参数DB实例来获取到有权限的所有组,然后对两个组取交集,交集不为空则表示有权限,为空则没有

M2M的 .all() 取出来的结果是个list,两个list取交集的方法为: list(set(list-A).intersection(set(list-B)))

view中使用就很简单了,如下:

def query(request):
 if request.method == 'POST':
 postdata = request.body.decode('utf-8')
 _host = get_object_or_404(Mysql, id=int(postdata.get('database')))

 # 检查用户是否有DB的查询权限
 if check_permission('read', _host, request.user) == False:
 return JsonResponse({'state': 0, 'message': '当前用户没有查询此DB的权限'})

写在最后

1.  Django有第三方的基于object的权限管理模块Django-guardian,本项目没有使用主要是因为一来权限需求并不复杂,自己实现也很方便,二来个人在非必要的情况下并不喜欢引用过多第三方的包,后续升级维护都是负担

2.  方案和代码不尽完美,各位有更好的方案建议或更优雅的代码写法欢迎与我交流

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Python 相关文章推荐
python中wx将图标显示在右下角的脚本代码
Mar 08 Python
python提示No module named images的解决方法
Sep 29 Python
Python使用matplotlib绘制余弦的散点图示例
Mar 14 Python
python3解析库BeautifulSoup4的安装配置与基本用法
Jun 26 Python
在python里从协程返回一个值的示例
Feb 19 Python
python机器学习库scikit-learn:SVR的基本应用
Jun 26 Python
Python获取时间戳代码实例
Sep 24 Python
基于Python爬取爱奇艺资源过程解析
Mar 02 Python
Python实现钉钉/企业微信自动打卡的示例代码
Feb 02 Python
浅谈matplotlib默认字体设置探索
Feb 03 Python
python四个坐标点对图片区域最小外接矩形进行裁剪
Jun 04 Python
使用pandas生成/读取csv文件的方法实例
Jul 09 Python
python三方库之requests的快速上手
Mar 04 #Python
django的ORM模型的实现原理
Mar 04 #Python
Python中按值来获取指定的键
Mar 04 #Python
python实现合并两个排序的链表
Mar 03 #Python
Python给图像添加噪声具体操作
Mar 03 #Python
django配置连接数据库及原生sql语句的使用方法
Mar 03 #Python
更新修改后的Python模块方法
Mar 03 #Python
You might like
php 从一个数组中随机的取出若干个不同的数实例
2016/12/31 PHP
PHP 文件锁与进程锁的使用示例
2017/08/07 PHP
PHP之认识(二)关于Traits的用法详解
2019/04/11 PHP
PHP如何解决微信文章图片防盗链
2020/12/09 PHP
控制打印时页眉角的代码
2007/02/08 Javascript
使用IE的地址栏来辅助调试Web页脚本
2007/03/08 Javascript
Prototype Hash对象 学习
2009/07/19 Javascript
JS判断元素为数字的奇异写法分享
2012/08/01 Javascript
Js实现双击鼠标自动滚动屏幕的示例代码
2013/12/14 Javascript
JS关闭窗口与JS关闭页面的几种方法小结
2013/12/17 Javascript
JS获取各种浏览器窗口大小的方法
2014/01/14 Javascript
纯javascript实现四方向文本无缝滚动效果
2015/06/16 Javascript
简单快速的实现js计算器功能
2017/08/17 Javascript
用最简单的方法判断JavaScript中this的指向(推荐)
2017/09/04 Javascript
实例分析js事件循环机制
2017/12/13 Javascript
详解element-ui日期时间选择器的日期格式化问题
2019/04/08 Javascript
微信公众号开发之微信支付代码记录的实现
2019/10/16 Javascript
Vue简单封装axios之解决post请求后端接收不到参数问题
2020/02/16 Javascript
vue如何在用户要关闭当前网页时弹出提示的实现
2020/05/31 Javascript
简介Django框架中可使用的各类缓存
2015/07/23 Python
Python的math模块中的常用数学函数整理
2016/02/04 Python
Python、PyCharm安装及使用方法(Mac版)详解
2017/04/28 Python
Python科学画图代码分享
2017/11/29 Python
python垃圾回收机制(GC)原理解析
2019/12/30 Python
OpenCV Python实现拼图小游戏
2020/03/23 Python
哈工大自然语言处理工具箱之ltp在windows10下的安装使用教程
2020/05/07 Python
python实现猜单词游戏
2020/05/22 Python
python框架flask入门之环境搭建及开启调试
2020/06/07 Python
详解Scrapy Redis入门实战
2020/11/18 Python
缓解脚、腿和背部疼痛:Z-CoiL鞋
2019/03/12 全球购物
中医药大学毕业生自荐信
2013/11/08 职场文书
建筑系毕业生自我鉴定
2014/01/24 职场文书
研讨会致辞
2015/07/31 职场文书
员工规章制度范本
2015/08/07 职场文书
2020年元旦祝福语录,总有适合你的
2019/12/31 职场文书
mysql主从复制的实现步骤
2021/10/24 MySQL