django认证系统实现自定义权限管理的方法


Posted in Python onJuly 16, 2018

本文记录使用django自带的认证系统实现自定义的权限管理系统,包含组权限、用户权限等实现。

0x01. django认证系统

django自带的认证系统能够很好的实现如登录、登出、创建用户、创建超级用户、修改密码等复杂操作,并且实现了用户组、组权限、用户权限等复杂结构,使用自带的认证系统就能帮助我们实现自定义的权限系统达到权限控制的目的。

0x02. 认证系统User对象

User对象顾名思义即为表示用户的对象,里面的属性包括:

  1. username
  2. password
  3. email
  4. first_name
  5. last_name
  6. is_superuser
  7. is_active

创建好对象后,django会自动生成表,表名为auth_user,包含以上字段。具体的api文档如下所示:

class models.User

User 对象具有如下字段:

username
必选。少于等于30个字符。 用户名可以包含字母、数字、_、@、+、.和- 字符。

first_name
可选。 少于等于30个字符。

last_name
可选。少于30个字符。

email
可选。邮箱地址。

password
必选。 密码的哈希及元数据。(Django 不保存原始密码)。原始密码可以无限长而且可以包含任意字符。参见密码相关的文档。

groups
与Group 之间的多对多关系。

user_permissions
与Permission 之间的多对多关系。

is_staff
布尔值。指示用户是否可以访问Admin 站点。

is_active
布尔值。指示用户的账号是否激活。

is_superuser
布尔值。只是这个用户拥有所有的权限而不需要给他们分配明确的权限。

last_login
用户最后一次登录的时间。

date_joined
账户创建的时间。当账号创建时,默认设置为当前的date/time。

一般在注册操作中会用到该方法,实现注册一个用户,用到的函数是User.objects.create_user(),在新建用户的时候需要判断用户是否存在,我的实现方式是,User.objects.get(username=xxx)去获取一个用户User对象,用try except实现,如果用户不存在则抛出User.DoesNotExist异常,在这个异常中进行创建用户的操作。具体代码如下:

# 注册操作
from django.contrib.auth.models import User

try:
 User.objects.get(username=username)
 data = {'code': '-7', 'info': u'用户已存在'}
except User.DoesNotExist:
 user = User.objects.create_user(username, email, password)
 if user is not None:
  user.is_active = False
  user.save()

该过程中密码字段会自动加密存储。无需关注过多细节。

0x03. 登录登出用户

创建好用户后,就是登录及登出了,django认证系统提供了login()logout()函数,能够自动登录登出,并且修改session值,非常方便。验证用户身份使用authenticate函数能自动进行password字段的hash比对。

具体实现代码如下:

from django.contrib.auth import authenticate, login, logout

# 认证操作
ca = Captcha(request)
if ca.validate(captcha_code):
 user = authenticate(username=username, password=password)
 if user is not None:
  if user.is_active:
   # 登录成功
   login(request, user) # 登录用户
   data = {'code': '1', 'info': u'登录成功', 'url': 'index'}
  else:
   data = {'code': '-5', 'info': u'用户未激活'}
 else:
   data = {'code': '-4', 'info': u'用户名或密码错误'}
else:
 data = {'code': '-6', 'info': u'验证码错误'}

登出操作如下:

from django.contrib.auth import authenticate, login, logout

def logout_system(request):
  """
  退出登录
  :param request:
  :return:
  """
  logout(request)
  return HttpResponseRedirect('/')

0x04. login_required装饰器

通过该装饰器能够使视图函数首先判断用户是否登录,如果未登录会跳到默认在settings.py设置的LOGIN_URL参数对应的url,如:LOGIN_URL = '/'。使用方法如下所示:

from django.contrib.auth.decorators import login_required

@login_required
def user_index(request):
  """
  用户管理首页
  :param request:
  :return:
  """
  if request.method == "GET":
    # 用户视图实现

0x05. 用户组及权限分配

组对象包含的字段只有name,但是外键了几张表,能够与user、permissions,产生多对多的关系,我在自定义权限实现中,采用的是权限写死的方法,添加用户组权限。

创建组的函数采用Group.objects.create(name=xxx),就能实现了。当然也跟创建用户一样,需要先判断是否组名已经存在。

创建好组名后,下一步就需要为每个组分配权限了,从前端提交过来的权限列表,然后后端采用groups.permissions.add(permission)的方式依次将权限添加进组。

添加完组权限后,最后一步是将组名添加进用户属性,区分用户属于哪个组。

具体实现代码如下:

# 创建组
try:
  Group.objects.get(name=role_name)
  data = {'code': -7, 'info': u'组名已存在'}
except Group.DoesNotExist:
  groups = Group.objects.create(name=role_name)
  if log_manage == 'true':
    permission = Permission.objects.get(codename='access_log')
    groups.permissions.add(permission)
  if role_manage == 'true':
    permission = Permission.objects.get(codename='access_role_manage')
    groups.permissions.add(permission)
  if user_manage == 'true':
    permission = Permission.objects.get(codename='access_user_manage')
    groups.permissions.add(permission)
  if get_users is not None:
    for user in get_users:
      # 每个user添加组属性
      db_user = get_object_or_404(User, username=user)
      db_user.groups.add(groups)
      data = {'code': 1, 'info': u'添加成功'}
  return HttpResponse(json.dumps(data))

0x06. 权限模型及权限控制

在上一点中用到的Permission.objects.get(codename='access_user_manage')是通过权限模型创建,需要在models中创建一个权限类,然后在meta中进行定义codename

class AccessControl(models.Model):
  """
  自定义权限控制
  """
  class Meta:
    permissions = (
      ('access_dashboard', u'控制面板'),
      ('access_log', u'日志管理'),
      ('access_role_manage', u'角色管理'),
      ('access_user_manage', u'用户管理'),
    )

运行后,会自动在数据库中创建相应的表,并且插入数据。

在创建好权限之后,下一步就是在各个视图中插入权限控制代码了。permission_required(),参数为当前应用名.codename。这样就能控制用户访问,如果用户非法访问则会清空session退出登录。

@permission_required('webcenter.access_role_manage')
@login_required
def role_index(request):
  """
  角色管理首页
  :param request:
  :return:
  """

同时在前端模板页面中也需要进行权限控制,前端要获取request对象的话,后端返回就需要使用render函数,render(request,xxx,xxx) ,具体代码就如下:

{% if request.user.is_superuser or 'webcenter.access_user_manage' in request.user.get_group_permissions or 'webcenter.access_role_manage' in request.user.get_group_permissions or 'webcenter.access_log' in request.user.get_group_permissions %}
<li class="treeview">
 <a href="#" rel="external nofollow" rel="external nofollow" >
   <i class="fa fa-fw fa-skyatlas"></i>
   <span>站点管理</span> <i class="fa fa-angle-left pull-right"></i>
 </a>
 <ul class="treeview-menu">
 {% if request.user.is_superuser or 'webcenter.access_log' in request.user.get_group_permissions %}
   <li><a href="#" rel="external nofollow" rel="external nofollow" id="log_view">日志管理</a></li>
 {% endif %}
 {% if request.user.is_superuser or 'webcenter.access_role_manage' in request.user.get_group_permissions %}
   <li><a href="/role/index/" rel="external nofollow" >角色管理</a></li>
 {% endif %}
 {% if request.user.is_superuser or 'webcenter.access_user_manage' in request.user.get_group_permissions %}
   <li><a href="/user/index/" rel="external nofollow" >用户管理</a></li>
 {% endif %}
</ul>
</li>
{% endif %}

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Python 相关文章推荐
Python远程桌面协议RDPY安装使用介绍
Apr 15 Python
Python实现Sqlite将字段当做索引进行查询的方法
Jul 21 Python
详解常用查找数据结构及算法(Python实现)
Dec 09 Python
Python 专题三 字符串的基础知识
Mar 19 Python
Django如何实现内容缓存示例详解
Sep 24 Python
Pandas实现数据类型转换的一些小技巧汇总
May 07 Python
python: 自动安装缺失库文件的方法
Oct 22 Python
kali中python版本的切换方法
Jul 11 Python
python通过robert、sobel、Laplace算子实现图像边缘提取详解
Aug 21 Python
如何理解Python中包的引入
May 29 Python
Python 中 sorted 如何自定义比较逻辑
Feb 02 Python
Python使用tkinter实现小时钟效果
Feb 22 Python
Sanic框架路由用法实例分析
Jul 16 #Python
Sanic框架安装与简单入门示例
Jul 16 #Python
python 除法保留两位小数点的方法
Jul 16 #Python
Python自定义装饰器原理与用法实例分析
Jul 16 #Python
python 正确保留多位小数的实例
Jul 16 #Python
浅谈Python里面小数点精度的控制
Jul 16 #Python
详解Django中间件执行顺序
Jul 16 #Python
You might like
PHP实现采集程序原理和简单示例代码
2007/03/18 PHP
php+jquery编码方面的一些心得(utf-8 gb2312)
2010/10/12 PHP
PHP中spl_autoload_register函数的用法总结
2013/11/07 PHP
为你总结一些php信息函数
2015/10/21 PHP
php求今天、昨天、明天时间戳的简单实现方法
2016/07/28 PHP
php解决约瑟夫环算法实例分析
2019/09/30 PHP
Prototype使用指南之selector.js说明
2008/10/26 Javascript
容易被忽略的JS脚本特性
2011/09/13 Javascript
iframe父页面获取子页面参数的方法
2014/02/21 Javascript
浅谈JavaScript中的Math.atan()方法的使用
2015/06/14 Javascript
微信小程序 教程之模块化
2016/10/17 Javascript
vue 粒子特效的示例代码
2017/09/19 Javascript
vue根据值给予不同class的实例
2018/09/29 Javascript
vue 源码解析之虚拟Dom-render
2019/08/26 Javascript
Electron 调用命令行(cmd)
2019/09/23 Javascript
vue实现多级菜单效果
2019/10/19 Javascript
JavaScript Window窗口对象属性和使用方法
2020/01/19 Javascript
vue-cli 3如何使用vue-bootstrap-datetimepicker日期插件
2021/02/20 Vue.js
[02:32]DOTA2英雄基础教程 祸乱之源
2013/12/23 DOTA
[00:32]2018DOTA2亚洲邀请赛VG出场
2018/04/03 DOTA
pyside写ui界面入门示例
2014/01/22 Python
简介Python设计模式中的代理模式与模板方法模式编程
2016/02/02 Python
django解决订单并发问题【推荐】
2019/07/31 Python
Python3 pandas 操作列表实例详解
2019/09/23 Python
对python中 math模块下 atan 和 atan2的区别详解
2020/01/17 Python
Python+Opencv实现把图片、视频互转的示例
2020/12/17 Python
HTML5 Canvas锯齿图代码实例
2014/04/10 HTML / CSS
前端水印的简单实现代码示例
2020/12/02 HTML / CSS
英国第一家领先的在线处方眼镜零售商:Glasses Direct
2018/02/23 全球购物
30年同学聚会感言
2014/01/30 职场文书
电脑专业个人求职信范文
2014/02/04 职场文书
试用期转正员工自我评价
2014/09/18 职场文书
小学优秀教师材料
2014/12/15 职场文书
写景作文评语集锦
2014/12/25 职场文书
入学证明
2015/06/23 职场文书
Android学习之BottomSheetDialog组件的使用
2022/06/21 Java/Android