2. 程式人生 > >簡述權限控制的實現!幹貨!

簡述權限控制的實現!幹貨!

阿新 發佈:2018-10-11
eat 無法 需要 global delet 常用方法 屏幕 expand urn

1. Django權限機制概述

  權限機制能夠約束用戶行為,控制頁面的顯示內容,也能使API更加安全和靈活;用好權限機制,能讓系統更加強大和健壯。因此,基於Django的開發,理清Django權限機制是非常必要的。

1.1 Django的權限控制

Django用user, group和permission完成了權限機制,這個權限機制是將屬於model的某個permission賦予user或group,可以理解為全局的權限,即如果用戶A對數據模型(model)B有可寫權限,那麽A能修改model B的所有實例(objects)。group的權限也是如此,如果為group C 賦予model B的可寫權限,則隸屬於group C 的所有用戶,都可以修改model B的所有實例。

這種權限機制只能解決一些簡單的應用需求,而大部分應用場景下,需要更細分的權限機制。以博客系統為例,博客系統的用戶可分為『管理員』、『編輯』、『作者』和『讀者』四個用戶組;博客系統管理員和編輯具有查看、修改和刪除所有的文章的權限,作者只能修改和刪除自己寫的文章,而讀者則只有閱讀權限。管理員、編輯和讀者的權限,我們可以用全局權限做控制,而對於作者,全局權限無法滿足需求,僅通過全局權限,要麽允許作者編輯不屬於自己的文章,要麽讓作者連自己的文章都無法修改。

上述的應用場景,Django自帶的權限機制無法滿足需求,需要引入另一種更細的權限機制:對象權限(object permission)。

Object Permission是一種對象顆粒度上的權限機制,它允許為每個具體對象授權。仍沿用最開始的例子,如果model B有三個實例 B1,B2 和B3,如果我們把B1的可寫權限賦予用戶A,則A可以修改B1對象,而對B2,B3無法修改。對group也一樣,如果將B2的可寫權限賦予group C,則隸屬於group C的所有用戶均可以修改B2,但無法修改B1和B3。結合Django自帶權限機制和object permission,博客系統中作者的權限控制迎刃而解:系統全局上不允許作者編輯文章,而對於屬於作者的具體文章,賦予編輯權限即可。

Django其實包含了object permission的框架,但沒有具體實現,object permission的實現需要借助第三方app django-guardian,我們在開發中用調用django guradian封裝好的方法即可。

1.2 Django的權限項

Django用permission對象存儲權限項,每個model默認都有三個permission,即add model, change model和delete model。例如,定義一個名為『Car』model,定義好Car之後,會自動創建相應的三個permission:add_car, change_car和delete_car。Django還允許自定義permission,例如,我們可以為Car創建新的權限項:drive_car, clean_car, fix_car等等。

需要註意的是,permission總是與model對應的,如果一個object不是model的實例,我們無法為它創建/分配權限。

2 Django 自帶權限機制的應用

2.1 Permission

如上文所述,Django定義每個model後,默認都會添加該model的add, change和delete三個permission,自定義的permission可以在我們定義model時手動添加:

class Task(models.Model):
...
class Meta:
permissions = (
("view_task", "Can see available tasks"),
("change_task_status", "Can change the status of tasks"),
("close_task", "Can remove a task by setting its status as closed"),
)

每個permission都是django.contrib.auth.Permission類型的實例,該類型包含三個字段name, codename 和 content_type,其中 content_type反應了permission屬於哪個model,codename如上面的view_task,代碼邏輯中檢查權限時要用, name是permission的描述,將permission打印到屏幕或頁面時默認顯示的就是name。

在model中創建自定義權限,從系統開發的角度,可理解為創建系統的內置權限,如果需求中涉及到用戶使用系統時創建自定義權限,則要通過下面方法:

from myapp.models import BlogPost
from django.contrib.auth.models import Permission
from django.contrib.contenttypes.models import ContentType

content_type = ContentType.objects.get_for_model(BlogPost)
permission = Permission.objects.create(codename=‘can_publish‘,
   name=‘Can Publish Posts‘,
   content_type=content_type)

2.2 User Permission管理

User對象的user_permission字段管理用戶的權限:

myuser.user_permissions = [permission_list]
myuser.user_permissions.add(permission, permission, ...) #增加權限
myuser.user_permissions.remove(permission, permission, ...) #刪除權限
myuser.user_permissions.clear() #清空權限

##############################################################
# 註:上面的permission為django.contrib.auth.Permission類型的實例
##############################################################

檢查用戶權限用has_perm()方法:

myuser.has_perm(‘myapp.fix_car‘)

has_perm()方法的參數,即permission的codename,但傳遞參數時需要加上model 所屬app的前綴,格式為.。

無論permission賦予user還是group,has_perm()方法均適用

附註:

user.get_all_permissions()方法列出用戶的所有權限,返回值是permission name的list
user.get_group_permissions()方法列出用戶所屬group的權限,返回值是permission name的list。

2.3 Group Permission管理

group permission管理邏輯與user permission管理一致,group中使用permissions字段做權限管理:

group.permissions = [permission_list]
group.permissions.add(permission, permission, ...)
group.permissions.remove(permission, permission, ...)
group.permissions.clear()。

權限檢查:

依然使用user.has_perm()方法。

2.4 permission_required 裝飾器

權限能約束用戶行為,當業務邏輯中涉及到權限檢查時,decorator能夠分離權限驗證和核心的業務邏輯,使代碼更簡潔,邏輯更清晰。permission的 decorator為permission_required:

from django.contrib.auth.decorators import permission_required

@permission_required(‘car.drive_car‘)
def my_view(request):
...

2.5 Template中的權限檢查

Template中使用全局變量perms存儲當前用戶的所有權限,權限檢查可以參考下面例子:

{% if perms.main.add_page %}
<li class="dropdown">
  <a href="#" class="dropdown-toggle" data-toggle="dropdown" role="button" aria-expanded="false">Pages <span class="caret"></span></a>
  <ul class="dropdown-menu" role="menu">
<li><a href="{% url ‘main:admin_pages‘ %}">All Pages</a></li>
<li><a href="{% url ‘main:admin_page‘ %}">New Page</a></li>
<li><a href="{% url ‘main:admin_pages‘ %}?draft=true">Drafts</a></li>
  </ul>
</li>
{% endif %}

3 基於Django-guardian的object permission的應用

Django-guardian基於django的原生邏輯擴展了django的權限機制,應用django-guardian後,可以使用django-guardian提供的方法以及django的原生方法檢查全局權限,django-guardian提供的object permission機制使django的權限機制更加完善。

django-guardian詳細的使用文檔請參考官方文檔,其object permission常用方法如下:

from guardian.shortcuts import assign_perm, get_perms
from guardian.core import ObjectPermissionChecker
from guardian.decorators import permission_required
<p></p>

3.1 添加object permission

添加object permission使用assign_perm()方法,如為用戶添加對mycar對象的drive_car權限:

assign_perm(‘myapp.drive_car‘, request.user, mycar)

assign_perm()方法也可用於group

assign_perm(‘myapp.drive_car‘, mygroup, mycar)

3.2 權限檢查

3.2.1 Global permission

get_perms()方法用於檢查用戶的“全局權限”(global permission),與user.has_perm()異曲同工,如:

#############################
# It works! 
#############################
 if not ‘main.change_post‘ in get_perms(request.user, post):
 raise HttpResponse(‘Forbidden‘)

#############################
# It works, too!
#############################
if not request.user.has_perm(‘main.change_post‘)
return HttpResponse(‘Forbidden‘)

例子中雖然把post object作為參數傳給get_perms()方法,但它只檢查user的全局權限中是否有main.change_post權限,很多情況下可用原生的user.has_perm取代,但user和group均可作為get_perms()的傳入參數,某些情況下可以使代碼更簡潔。

3.2.2 Object permission

Django-guardian中使用ObjectPermissionChecker檢查用戶的object permission,示例如下:

checker = ObjectPermissionChecker(request.user)
print checker.has_perm(‘main.change_post‘, post)

3.3 permission_required裝飾器

guardian.decorators.permission_required是django-guardian權限檢查的decorator,既可以檢查全局權限,又可以檢查對象權限(object permission),其中,accept_global_perms參數指出是否檢查user的global permission,如:

from guardian.decorators import permission_required

class DeletePost(View):
    @method_decorator(permission_required(‘main.delete_post‘, 
                            (models.Post, ‘id‘, ‘pk‘), 
                            accept_global_perms=True))
    def get(self, request, pk):
        try:
            pk = int(pk)
            cur_post = models.Post.objects.get(pk=pk)
            is_draft = cur_post.is_draft

            url = reverse(‘main:admin_posts‘)
            if is_draft:
                url = ‘{0}?draft=true‘.format(url)    
            cur_post.delete()
        except models.Post.DoesNotExist:
            raise Http404

        return redirect(url)

註:

decorator中的(models.Post, ‘id’, ‘pk’)部分,用於指定object實例,如果忽略這個參數,則不論accept_global_perms值為True還是False,均僅僅檢查全局權限。

4 結論

Django原生提供了一種簡單的全局權限(global permission)控制機制,但很多應用場景下,對象權限(object permission)更加有用;django-guardian是目前比較活躍的一個django extension,提供了一種有效的object permission控制機制,與django原生機制一脈相承,推薦使用。

轉載@kyrin https://www.cnblogs.com/kyrin/p/5967618.html 侵刪!

簡述權限控制的實現!幹貨!

相關推薦

簡述控制實現

eat 無法 需要 global delet 常用方法 屏幕 expand urn 1. Django權限機制概述   權限機制能夠約束用戶行為,控制頁面的顯示內容,也能使API更加安全和靈活;用好權限機制,能讓系統更加強大和健壯。因此,基於Django的開發,理清Djan

自己動手實現簡單控制

saweb 權限控制,很多項目會引入 shiro/spring-security。 shiro/spring-security 繼承 servlet-->filter抽象接口,運用合適的設計模式, 通過攔截客戶端請求,來實現各個角色對系統資源的訪問權限。 一時興起,有了自己實現權限控制的想法

spring security 3.1 實現控制

ref bmi sage pan 管理系統 dao 數據庫 ng- nds spring security 3.1 實現權限控制 簡單介紹:spring security 實現的權限控制,能夠分別保護後臺方法的管理,url連接訪問的控制,以及頁面元

vsftpd+pam_ihosts.so實現虛擬用戶控制

ftp port vsftpd pasv ihosts 一、基礎介紹1.vsftpd運行模式分為standalone和xinetd模式,現在生產環境中,絕大多數均采用standalone模式。vsftpd一啟動,standalone模式中進程會一直駐留在內存中,當接收到21端口的請求時vs

linux服務器上搭建gitolite實現對git server的版本庫的控制

搭建gitolite一、環境介紹: 1.1Git賬戶管理機器manageip:10.0.0.56 [root@manage ~]# cat /etc/redhat-release CentOS release 6.7 (Final) [root@manage ~]# hostname manage [roo

shiro 實現登錄認證和控制

depend .sh AR enc core url AS CA pattern 1 添加依賴jar包 <dependency> <groupId>org.apache.shiro</groupId> <artifact

項目一:第十二天 1、常見控制方式 2、基於shiro提供url攔截方式驗證 3、在realm中授權 5、總結驗證方式(四種) 6、用戶註銷7、基於treegrid實現菜單展示

eal 重復數 規則 認證通過 delete get 數據庫 filter 登陸 1 課程計劃 1、 常見權限控制方式 2、 基於shiro提供url攔截方式驗證權限 3、 在realm中授權 4、 基於shiro提供註解方式驗證權限 5、 總結驗證權限方式(四種) 6、

在Spring Boot中使用Spring Security實現控制

unicode then add sta spa 攔截器 nco throw views Spring Boot框架我們前面已經介紹了很多了,相信看了前面的博客的小夥伴對Spring Boot應該有一個大致的了解了吧,如果有小夥伴對Spring Boot尚不熟悉

Vue 實現前端控制

角色 -- 插入 示例 tails headers 悖論 如果 管理 為什麽做前端權限控制前端權限控制並不是新生事物,早在後端 MVC 時代,web 系統中就已經普遍存在對按鈕和菜單的顯示 / 隱藏控制,只不過當時它們是由後端程序員在 jsp 或者 php 模板中實現的。隨

Yii2.0實現自定義的RBAC控制

github 管理員 17.1 onf 系統 點擊 img alt main Yii2-Admin 基於Yii2 Advanced開發的RBAC權限控制系統 Github地址, 歡迎star Yii2-Admin 在線體驗 Yii2-Admin 功能 後臺管

基於SpringMVC攔截器和註解實現controller中訪問控制

pattern efi figure super 設置 復制代碼 check pin system SpringMVC的攔截器HandlerInterceptorAdapter對應提供了三個preHandle,postHandle,afterCompletion方法。

Discord在Ubuntu中的安裝方法

下載頁面 軟件包 服務端 linux 客戶端 導讀Discord 不僅僅是一個很好的聊天客戶端。當你安裝它時,你還可以獲得其強大的服務端功能,強力而自足。遊戲玩家和非玩家都可以在幾分鐘內開啟自己的私人聊天服務,這使 Discord 成為團隊、公會和各種社區的明顯選擇。Discord 是一個

Linux下ACL控制以及用sudo設置用戶對命令的執行

以及 執行 nopasswd 設置 userdel file 指定 tool 必須 ACL權限分配 1.setfacl命令設置文件權限 setfacl -m u:user1:rw root.txt setfacl -m u:user2:rwx root.txt 2.getf

linux系統下的控制

str .cn images mod 大小 -1 系統 介紹 pad linux系統下的權限控制 1.文件權限 在我們的linux系統中,文件或目錄的權限可以分為3種: r:4 讀 w:2 寫 x:1 執行 示例: 644:(4+2) (4) (4) 第一個6:表

簡單的登錄驗證實現

prefix void 定向 exceptio clas 攔截 登錄 scrip oca 1.登錄 登錄時需要生成一個自定義的token,token的生成規則一般可以考慮混合多種因素,如userId+生成時間+UUID,再進行一定的編碼 String token=user

根據控制組織機構樹的部分(全部)顯示引發的種種新“姿勢”

select nbsp 分享 分隔 prior conn sort start clob   稍微整理了,下面的SQL是根據權限來展示,只需要傳入code select * from ORGANIZATION a START WITH a.code

基於thinkphp的RBAC控制

名稱 bsp 基於 也有 沒有權限 path 我們 ids images RBAC Role-Based Access Control 權限控制在後臺管理中是十分常見的,它的模型大體上是下面這張圖的形式 我用的字段和上面不一樣,圖只是個示例 一個簡易的權限控制模型只需要

用戶控制

tex 聲明 用戶權限 查詢 當前 earch buffer sea pac 當前用戶只查看當前用戶的創業導師: Action 獲取當前用戶的id: // liwentao 2017-5-18 獲取用戶ID方法 LoginContext loginContext=getL

yii2 rbac控制之菜單menu詳細教程

cheng gda zhong ssl print ads xiv sheng bce %E5%90%91%E9%87%8F%E8%87%AA%E5%9B%9E%E5%BD%92%E6%A8%A1%E5%9E%8BVS%E9%A3%8E%E9%99%A9%E4%BB%B7%

java經典面試套路精講視頻教程免費分享

幹貨!java經典面試套路精講視頻教程免費分享! 不管我們學了什麽專業,學會了哪些技能,結果就是為了就業,就業就需要面試,而在面試過程中,面試技巧是一項很重要的能力。我們java工程師在面試的時候都會遇到技術方面的面試問題,那麽這個時候應該怎麽解決呢?今天給大家分享一個java經典面試套路精