【15.0】DRF之权限控制

【一】ACL的权限控制

  • ACL(访问控制列表)是一种用于权限控制的技术,可以限制用户对系统资源的访问和操作。
  • 在针对互联网用户的产品中,ACL被广泛应用于管理用户对特定功能或数据的权限。
  • ACL(访问控制列表)的权限控制:(针对互联网用户的产品)
用户表
id    name      password
1     zhangsan   123
权限表
id   user_id    权限
1     1         评论权限
2     1          发抖音权限
张三:[评论权限,发抖音权限]
  • 在给出的示例中,存在一个用户表和一个权限表,以及一个用户张三。
    • 用户表包含用户的基本信息,如ID、用户名和密码。
    • 权限表包含了权限的信息,包括ID、用户ID和具体权限名称。
  • 根据权限表中的记录
    • 我们可以得知张三具有评论权限和发抖音权限。
    • 这意味着张三可以评论和发抖音。
  • ACL的工作原理是对每个用户进行身份认证,并根据其身份分配相应的权限。
    • 当用户尝试执行某个操作时,系统会通过检查ACL来确定该用户是否具有执行该操作的权限。
    • 如果用户具有相应的权限,则操作将被允许;否则,将被拒绝。
  • ACL能够有效地管理用户对系统资源的访问权限,帮助确保只有授权用户可以执行特定的操作。
    • 通过仔细设计和配置ACL,可以保护系统的安全性,并防止未经授权的访问和滥用。

【二】RBAC基于角色的访问控制

  • RBAC(Role-Based Access Control)基于角色的访问控制:(针对于公司内部项目)

  • 权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。

    • 这就极大地简化了权限的管理。
    • 这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便
  • django的auth其实就实现了基于角色的访问控制 ---> 通过表控制的

    • auth_user :用户表,存用户信息

    • auth_group:组,角色,存放角色信息

    • auth_permission:权限,存放权限信息

      • 分析:一个组(角色)中,有多个用户,一个用户,属于多种角色----》多对多
    • auth_user_groups:用户和组的多对多中间表

      • 分析:一个组,可能有多个权限,一个权限,也可能属于多个组---》多对多
    • auth_group_permissions:组和权限的多对多中间件

      • django,多了张表:auth_user_user_permissions
      • 分析:一个用户,可以有多个权限,一个权限,可以分配个多个用户---》多对多
    • auth_user_user_permissions:用户和权限多对多中间表

  • 基于角色的访问控制(Role-Based Access Control,RBAC)是一种常用的访问控制策略,它将权限与角色相关联,通过将用户分配到适当的角色,来获得该角色所具有的权限。

  • 这种访问控制方式简化了权限的管理,提高了系统的安全性和可管理性。

  • 在RBAC中,主要涉及以下几个表:

    • auth_user

      • 存储用户信息的表。

      • 每个用户在系统中有唯一标识,并包含其登录凭证、个人信息等。

    • auth_group

      • 存储角色(组)信息的表。

      • 每个角色代表一组具有相似职能或权限的用户集合。

      • 例如,可以定义一个"管理员"角色和一个"普通用户"角色。

    • auth_permission

      • 存储权限信息的表。

      • 每个权限对应系统中的具体操作或资源,如"添加用户"、"编辑数据"等。

    • auth_user_groups

      • 用户与组之间的多对多关系表。

      • 通过该表,将用户分配给不同的角色(组)。

    • auth_group_permissions

      • 组与权限之间的多对多关系表。

      • 通过该表,将权限授予不同的角色(组)。

    • auth_user_user_permissions

      • 用户与权限之间的多对多关系表。
      • 通过该表,将权限直接赋予特定的用户。
  • 使用上述表,可以实现基于角色的访问控制。具体步骤如下:

    • 定义角色:

      • 创建auth_group表中的记录,定义不同的角色(组),如"管理员"、"普通用户"等。
    • 确定权限:

      • 创建auth_permission表中的记录,定义系统中的各项权限,如"添加用户"、"编辑数据"等。
    • 分配角色:

      • 通过在auth_user_groups表中创建相应的记录,将用户分配到对应的角色(组)。
    • 授予权限:

      • 通过在auth_group_permissions表中创建记录,将权限授予不同的角色(组)。
    • 直接赋权:

      • 通过在auth_user_user_permissions表中创建记录,将权限直接授予特定的用户。
  • 这样,当用户登录系统时,系统会检查该用户所分配的角色,并根据角色所拥有的权限来限制用户的操作范围。

  • 通过RBAC的机制,可以灵活地管理和控制用户的权限,实现安全的访问控制。

  • 在Django框架中,django.contrib.auth模块提供了RBAC相关的数据模型和方法,方便进行基于角色的访问控制的实现。

【三】Django中的权限控制是如何使用的

【1】定义权限:

  • 首先,您需要定义应用程序中的权限。
  • 这可以通过在 models.py 文件中使用 Django 的 Permission 类来完成。
  • 您可以为每个视图或特定操作定义自己的权限。
from django.contrib.auth.models import Permission

class MyModel(models.Model):
    # 模型字段定义
    
class Meta:
    permissions = [
        ("can_view_mymodel", "Can view My Model"),
        ("can_change_mymodel", "Can change My Model"),
    ]

【2】授予权限:

  • 一旦您定义了权限,您需要将其分配给相应的用户角色或具体的用户。
  • 这可以通过 Django 管理界面或程序代码的方式来完成。
  • 对于管理员用户,您可以在创建用户时直接选择用户的权限。
from django.contrib.auth.models import User, Group
from django.contrib.auth.models import Permission

# 创建用户组
group = Group(name='Editors')
group.save()

# 给用户组分配权限
permission = Permission.objects.get(codename='can_view_mymodel')
group.permissions.add(permission)

# 创建用户并关联用户组
user = User.objects.create_user('john', 'john@example.com', 'password')
user.groups.add(group)

【3】验证权限:

  • 在视图函数或类中,您可以使用 Django 提供的装饰器或 mixin 来验证用户是否具有执行特定操作的权限。
  • 使用装饰器:
from django.contrib.auth.decorators import permission_required

@permission_required('app.can_view_mymodel')
def my_view(request):
    # 视图函数逻辑
  • 使用 mixin 类:
from django.contrib.auth.mixins import PermissionRequiredMixin

class MyView(PermissionRequiredMixin, View):
    permission_required = ('app.can_change_mymodel',)  # 可以是单个权限或多个权限元组
    
    def get(self, request):
        # 视图类逻辑

【4】模板中的权限控制:

  • 在模板文件中,您可以使用 Django 提供的模板标签来控制用户对特定内容的访问权限。
{% if perms.app.can_change_mymodel %}
    <a href="#">Edit</a>
{% endif %}
  • 通过以上步骤,您可以使用 Django 中的权限控制系统来管理用户对应用程序资源的访问和操作权限。
  • 请注意,这只是一个基本示例,您还可以根据具体的应用需求进行进一步的自定义和扩展。

【四】开发中如何做权限控制

  • python开发,公司内部项目多,使用基于角色的访问控制的权限,比较多

  • python+django 开发出一套公司内部项目,要带rbac的权限控制

    • 基于django的auth+admin 快速开发,有更多操作,但是没学
    • 基于django的auth+admin+第三方美化 快速开发
      • 国内的:simple-ui,xadmin(弃用了)
      • 国外的:
    • 基于django+vue+自定制权限
      • djagno-vue-admin :第三方开源
    • 完全自己写
  • 在Python开发中,实现权限控制通常可以使用基于角色的访问控制(Role-Based Access Control,RBAC)。

  • 以下是一些在Python开发中实现RBAC权限控制的方法:

    • 基于Django的auth+admin快速开发:

      • Django框架本身提供了内置的用户认证(auth)和管理后台(admin)功能,可通过对用户、组和权限进行管理来实现RBAC。

      • 可以使用Django提供的装饰器和权限类来限制用户的访问和操作权限。

    • 基于Django的auth+admin+第三方美化快速开发:

      • 为了增强管理后台的样式和功能,可以使用一些第三方库来进行美化,如国内的simple-ui、xadmin(已弃用)以及国外的其他选择。
    • 基于Django+Vue+自定制权限:

      • 结合Django和Vue框架,使用自定义的权限控制方式来实现更加灵活的权限控制机制。一个可行的方案是使用第三方库如django-vue-admin,支持自定义权限的分配和管理。
    • 完全自己写:

      • 如果需要更加细粒度的权限控制或者与其他系统进行深度集成,可以根据具体需求完全自己编写权限控制模块。
  • 总之,在选择权限控制方案时,需要综合考虑项目规模、开发周期、开发者熟悉度以及用户需求等因素。

【五】基于django的auth+admin+第三方美化 快速开发

官方文档:Simple UI | Simple UI (72wo.com)

【1】安装

  • 通过使用pip命令安装django-simpleui库,运行以下命令进行安装:
pip3 install django-simpleui

【2】配置文件配置,注册app

  • 在项目的配置文件中,需要将simpleui添加到INSTALLED_APPS列表中。
  • 打开项目的settings.py文件,在INSTALLED_APPS设置项中添加'simpleui'
  • 如下所示:
INSTALLED_APPS = [
    'simpleui',
    ...
]

【3】菜单栏定制:

  • django-simpleui支持自定义菜单栏。
  • settings.py文件中可以设置SIMPLEUI_CONFIG来进行菜单栏的定制。
  • 可以配置菜单的名称、图标、排序、链接等。
  • 具体配置方法可以参考django-simpleui的官方文档。

【4】自定义菜单和页面:

  • 通过在SIMPLEUI_CONFIG中配置自定义菜单和页面,可以实现对管理后台的更多个性化定制。
  • 可以为不同的用户角色设置不同的菜单和页面展示。

【5】自定义按钮:

  • django-simpleui还支持自定义按钮,可以在页面上添加自定义按钮来扩展管理后台的功能。
  • 可以通过配置SIMPLEUI_CONFIG来添加自定义按钮,自定义按钮的配置方式详见官方文档。

【6】切换图标:

  • settings.py文件中,可以通过设置SIMPLEUI_ICON来更改管理后台菜单栏的默认图标。
  • 可以选择使用Font Awesome等图标库的图标,也可以使用自定义图标。

【7】首页显示的隐藏:

  • django-simpleui还提供了配置首页显示或隐藏的选项。
  • 可以在settings.py文件中设置SIMPLEUI_HOME_INFO,将其设置为False来隐藏首页上的一些信息展示。
posted @ 2023-08-01 12:03  Chimengmeng  阅读(78)  评论(0编辑  收藏  举报
/* */