溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
權限
Django中內置了權限的功能。他的權限都是針對表或者說是模型級別的。比如對某個模型上的數據是否可以進行增刪改查操作。他不能針對數據級別的,比如對某個表中的某條數據能否進行增刪改查操作(如果要實現數據級別的,考慮使用django-guardian)。創建完一個模型后,針對這個模型默認就有四種權限,分別是增/刪/改/查。可以在執行完migrate命令后,查看數據庫中的auth_permission表中的所有權限。
字段:
content_type_id:是一個外鍵,參考表是django_content_type這個表,django就是根據這個來找到某一個具體的模型的。
codename: 表示權限的名字。
name: 對該權限的描述。
添加權限
通過定義模型添加權限:
如果我們想要增加新的權限,比如查看某個模型的權限,那么我們可以在定義模型的時候在Meta中定義好。
class Article(models.Model):
title = models.CharField(max_length=100)
content = models.TextField()
author = models.CharField(max_length=20)
class Meta:
permissions = [
('black_article','拉黑文章的權限'),
]
然后執行makemigrations和migrate命令,就添加好了這一條權限。我們可以數據庫中的auth_permission表中看到我們添加的這一條權限。
通過代碼來添加權限。
權限都是django.contrib.auth.Permission的實例。這個模型包含三個字段,name、codename以及content_type,其中的content_type表示這個permission是屬于哪個app下的哪個models。
定義一個視圖函數,然后寫入代碼:
from django.http import HttpResponse
from .models import Article
from django.contrib.auth.models import Permission,ContentType
# Create your views here.
def add_permission(request):
content_type = ContentType.objects.get_for_model(Article)
permission = Permission.objects.create(codename='white_article',name='將文章加入白名單',content_type=content_type)
return HttpResponse('權限創建成功')
然后執行這個視圖函數,就能夠添加這個權限了。
注意: name字段是不能有重復的,否則會報錯。
用戶與權限管理:
權限本身只是一個數據,必須和用戶進行綁定,才能起到作用。User模型和權限之間的管理,可以通過以下幾種方式來管理:
1、myuser.user_permissions.set(permission_list):直接給定一個權限的列表。
2、myuser.user_permissions.add(permission,permission,…):一個個添加權限。這里就不能傳入一個列表了,只能一個一個的傳入數據了。
3、myuser.user_permissions.remove(permission,permission,…):一個個刪除權限。
4、myuser.user_permissions.clear():清除所有的權限。
5、myuser.has_perm('<app_name>.'):判斷是否擁有某個權限。權限參數是一個字符串,格式是app_name.codename。
6、myuser.get_all_permissons():獲取所有的權限。
注意:
這個地方的User模型并不是我們自定義的User模型,而是Django內置的一個User模型,而我們自定義的模型是不能夠這樣進行操作的。django內置的User模型我們需要導入:from django.contrib.auth.models import User。
現在,我們給User模型綁定Article模型的一些權限:
執行上面的add方法和remove方法后需要執行一下save()方法,否則將不能保存到數據庫中去。
views中新建一個視圖:
首先我們需要創建一個User用戶:
from django.contrib.auth.models import Permission,ContentType,User
def createUser(request):
user = User.objects.create_user(username='xujin',email='qq@qq.com',password='111111')
return HttpResponse('用戶創建成功')
然后對該用戶的權限進行操作:
from django.http import HttpResponse
from .models import Article
from django.contrib.auth.models import Permission,ContentType,User
def operate_permission(request):
user = User.objects.first()
content_type = ContentType.objects.get_for_model(Article)
permissions = Permission.objects.filter(content_type=content_type)
for permission in permissions:
print(permission)
# 添加權限
user.user_permissions.set(permissions)
# 清除所有的權限
# user.user_permissions.clear()
# 查看是否擁有某個權限
if user.has_perm('authority.view_article'):
print('這個用戶擁有view_article的權限')
else:
print('這個用戶沒有view_article的權限')
return HttpResponse('操作權限的視圖')
權限限定裝飾器:
我們可以判斷某一個用戶是否擁有某個權限,再對它判斷是否可以訪問某一個頁面。
要判斷某個用戶是否擁有某個權限,我們首先得登錄:
from django.contrib.auth import authenticate,login
def my_login(request):
username = 'xujin'
password = '111111'
# username和password輸入正確后這里會返回一個User對象
user = authenticate(request,username=username,password=password)
# 判斷是否有該用戶
if user:
# 使用django內置的一個登錄函數來登錄,登錄成功之后會設置一個session值
login(request,user)
else:
return HttpResponse('用戶名或密碼錯誤')
然后我們再寫入添加文章的函數視圖:
def add_article(request):
# 判斷用戶是否登錄了,這里的用戶是指后臺管理員的用戶,也就是Django的User模型中的用戶
# 而不是瀏覽網站的用戶
# 通過這個request.user.is_authenticated可以判斷是否登錄了
if request.user.is_authenticated:
print('已經登錄了')
# 再判斷是否擁有這個權限
if request.user.has_perm('authority.add_article'):
return HttpResponse('添加文章的頁面')
else:
# 403表示沒有權限的意思
return HttpResponse('你沒有訪問該頁面的權限',status=403)
else:
return HttpResponse('你還沒有登錄,請登錄!!!')
這樣,我們就實現了對某個用戶的權限限制了。
上面這種方法是我們自己手動實現的,Django也內置一個裝飾器permission_required,來幫我們實現了這個功能:
from django.contrib.auth.decorators import permission_required
# login_url沒有登錄跳轉至的頁面
# raise_exception=True,當你沒有權限訪問這個頁面的時候,就會拋出一個403錯誤
# 如果我們在網站中寫了403那個頁面的話,就會重定向到403哪一個頁面
@permission_required('front.add_article',login_url='front/login',raise_exception=True)
def add_article(request):
# 判斷用戶是否登錄了,這里的用戶是指后臺管理員的用戶,也就是Django的User模型中的用戶
# 而不是瀏覽網站的用戶
# if request.user.is_authenticated:
# print('已經登錄了')
# if request.user.has_perm('authority.add_article'):
# return HttpResponse('添加文章的頁面')
# else:
# # 403表示沒有權限的意思
# return HttpResponse('你沒有訪問該頁面的權限',status=403)
# else:
# return HttpResponse('你還沒有登錄,請登錄!!!')
return HttpResponse('添加文章的頁面')
這樣,我們就不用寫上面那么多代碼了,只需要寫入我們的主體函數就可以了。
注意: 如果一個函數視圖需要多個權限才能進入的話,我們可以將需要的權限放入一個列表中,然后再將這個列表放在裝飾器中。這個時候如果我們手動實現這個裝飾器的功能的話,就要使用has_perms方法來判斷了。
分組:
權限有很多,一個模型就有最少四個權限,如果一些用戶擁有相同的權限,那么每次都要重復添加。這時候分組就可以幫我們解決這種問題了,我們可以把一些權限歸類,然后添加到某個分組中,之后再把和把需要賦予這些權限的用戶添加到這個分組中,就比較好管理了。分組我們使用的是django.contrib.auth.models.Group模型, 每個用戶組擁有id和name兩個字段,該模型在數據庫被映射為auth_group數據表。
分組操作:
Group.object.create(group_name):創建分組。
group.permissions:某個分組上的權限。多對多的關系。
group.permissions.add:添加權限。
group.permissions.remove:移除權限。
group.permissions.clear:清除所有權限。
user.get_group_permissions():獲取用戶所屬組的權限。
user.groups:某個用戶上的所有分組。多對多的關系。
我們首先新建一個分組:
from django.contrib.auth.models import Permission,ContentType,Group
from .models import Article
def operate_group(request):
group = Group.objects.create(name='運營')
# 額到Article這個模型的content_type_id
content_type = ContentType.objects.get_for_model(Article)
permissions = Permission.objects.filter(content_type=content_type)
group.permissions.set(permissions)
return HttpResponse('操作分組')
這里我們就創建了一個運營的分組,并且將Article這個模型所有的權限都添加進去了。
然后我們可以查看我們的數據庫中我們添加的信息。在表auth_group和auth_group_permissions中,因為group和permissions是一個多對多的關系,所以它們擁有一個中間表。
我們創建好了一個組,那么我們就需要添加一個用戶進去了。
修改上面的函數為:
def operate_group(request):
# group = Group.objects.create(name='運營')
# # 額到Article這個模型的content_type_id
# content_type = ContentType.objects.get_for_model(Article)
# permissions = Permission.objects.filter(content_type=content_type)
# group.permissions.set(permissions)
group = Group.objects.filter(name='運營').first()
user = User.objects.first()
user.groups.add(group)
user.save()
return HttpResponse('操作分組')
這樣,我們就對運營這個組添加了一個用戶進去了。
判斷某個group下的某個用戶的所有權限:
def operate_group(request):
# group = Group.objects.create(name='運營')
# # 額到Article這個模型的content_type_id
# content_type = ContentType.objects.get_for_model(Article)
# permissions = Permission.objects.filter(content_type=content_type)
# group.permissions.set(permissions)
# group = Group.objects.filter(name='運營').first()
# user = User.objects.first()
# user.groups.add(group)
# user.save()
user = User.objects.first()
permissions = user.get_group_permissions()
print(permissions)
return HttpResponse('操作分組')
在模板中使用權限:
在settings.TEMPLATES.OPTIONS.context_processors下,因為添加了django.contrib.auth.context_processors.auth上下文處理器,因此在模板中可以直接通過perms來獲取用戶的所有權限。
我們新建一個index.html的文件,然后渲染一下這個頁面:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h2>首頁</h2>
{#如果擁有這個權限,我就顯示這個標簽#}
{% if perms.authority.add_article %}
<a href="#" rel="external nofollow" >添加文章</a>
{% endif %}
</body>
</html>
然后新建一個視圖來渲染這個頁面:
def index(request): return render(request,'index.html')
然后添加url,就可以了。當我們沒有登錄的時候,也不會顯示出來。
以上這篇對Django中的權限和分組管理實例講解就是小編分享給大家的全部內容了,希望能給大家一個參考,也希望大家多多支持億速云。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
