Django之路- 如何开发通用且万能的的权限框架组件

本节内容

需求讨论

权限设计

代码设计

自定义权限钩子 

 

业务场景分析

本节课老男孩教育ALEX教你假设咱们在开发一个培训机构的 客户关系管理系统，系统分客户管理、学员管理、教学管理3个大模块，每一个模块大致功能以下

客户管理
销售人员能够录入客户信息，对客户进行跟踪，为客户办理报名手续
销售人员能够修改本身录入的客户信息
客户信息不能删除
销售主管能够查看销售报表

学员管理 
学员能够在线报名 
学员能够查看本身的报名合同、学习有效期
学员能够在线提交做业 、查看本身的成绩

教学管理
管理员能够建立新课程、班级
讲师能够建立上课纪录
讲师能够在线点名、批做业

从上面的需求中， 咱们至少提取出了5个角色，普通销售、销售主管、学员、讲师、管理员， 他们能作的事情都是不同的

如何设计一套权限组件来实现对上面各类不一样功能进行有效的权限控制呢？咱们确定不能LOW到为每一个动做都一堆代码来控制权限对吧？ 这些表面上看着各类不尽相同的功能,确定是能够提取出一些相同的规律的，仔细分析，其实每一个功能本质上都是一个个的动做，若是能把动做再抽象中具体权限条目，而后把这些权限条目 再跟用户关联，每一个用户进行这个动做，就检查他没有这个权限，不就实现权限的控制了么？因为这个系统是基于WEB的B/S架构，咱们能够把每一个动做的构成 提取成如下的元素

一个动做 = 一条权限 = 一个url + 一种请求方法(get/post/put...) + 若干个请求参数

那咱们接下来须要作的，就是把 一条条的权限条目定义出来，而后跟用户关联上就能够了！

 

开发中须要的权限定义

什么是权限？

权限 就是对 软件系统 中 各类资源 的 访问和操做的控制！

什么时资源？

在软件系统中，数据库、内存、硬盘里数据都是资源，资源就是数据！

 

动做

资源自己是静态的， 必须经过合适的动做对其进行访问和操做，咱们说要控制权限，其实本质上是要对访问 软件中各类数据资源的动做进行控制 

动做又能够分为2种：

资源操做动做：访问和操做各类数据资源，好比访问数据库或文件里的数据

业务逻辑事件动做：访问和操做的目的不是数据源自己，而是借助数据源而产生的一系列业务逻辑，好比批量往远程 主机上上传一个文件，你须要从数据库中访问主机列表，但你真正要操做的是远程的主机，这个远程的主机，严格意义上来并非你的数据资源，而是这个资源表明的实体。

 

权限受权

· 

权限的使用者能够是具体的我的、亦能够是其它程序， 这都不要紧，咱们能够把权限的受权主体，统称为用户， 不管这个用户后面是具体的人，仍是一个程序，对权限控制组件来说，都不影响 。

· 

· 

权限必然是须要分组的，把一组权限 分红一个组，受权给特定的一些用户，分出来的这个组，就能够称为角色。

· 

· 

权限 应该是能够叠加的！

· 

 

 

权限组件的设计与代码实现

咱们把权限组件的实现分3步，权限条目的定义， 权限条目与用户的关联，权限组件与应用的结合

 

权限条目的定义

咱们前面讲过如下概念， 如今须要作的，就是把咱们系统中全部的须要控制的权限 所对应的动做 提取成 一条条 url+请求方法+参数的集合就能够

一个动做 = 一条权限 = 一个url + 一种请求方法(get/post/put...) + 若干个请求参数

 

如下是提取出来的几条权限

1 2 3 4 5 6 7 8

perm_dic={       'crm_table_index':['table_index','GET',[],{},],  #能够查看CRM APP里全部数据库表     'crm_table_list':['table_list','GET',[],{}],    #能够查看每张表里全部的数据     'crm_table_list_view':['table_change','GET',[],{}],#能够访问表里每条数据的修改页     'crm_table_list_change':['table_change','POST',[],{}], #能够对表里的每条数据进行修改       }

字典里的key是权限名， 一会咱们须要用过这些权限名来跟用户进行关联

· 

后面values列表里第一个值如'table_index'是django中的url name，在这里必须相对的url name, 而不是绝对url路径，由于考虑到django url正则匹配的问题，搞绝对路径，很差控制。 

· 

· 

values里第2个值是http请求方法

· 

· 

values里第3个[]是要求这个请求中必须带有某些参数，但不限定对数的值是什么

· 

· 

values里的第4个{}是要求这个请求中必须带有某些参数，而且限定所带的参数必须等于特定的值

· 

 

有的同窗看了上面的几条权限定义后，提出疑问，说你这个权限的控制好像仍是粗粒度的， 好比我想控制用户只能访问 客户 表里的 一条或多条特定的用户怎么办？

哈，这个问题很好，但很容易解决呀，只须要在[] or {}里指定参数就可呀，好比要求http请求参数中必须包括指定的参数，举个例子， 个人客户表以下：

 Customer表

里面的status字段是用来区分客户是否报名的， 我如今的需求是，只容许 用户访问客户来源为qq群且 已报名的 客户，你怎么控制 ？

经过分析咱们得出，这个动做的url为

1	http://127.0.0.1:9000/kingadmin/crm/customer/?source=qq&status=signed

客户来源参数是source,报名状态为status，那个人权限条目就能够配置成

1	'crm_table_list':['table_list','GET',[],{'source':'qq', 'status':'signed'}]

权限条目与用户的关联

咱们并无像其它权限系统同样把权限定义的代码写到了数据里了，也许是由于我懒，不想花时间去设计存放权限的表结构，but anyway,基于现有的设计 ，咱们如何把权限条目与 用户关联起来呢？

good news is 咱们能够直接借用django自带的权限系统 ，你们都知道 django admin 自带了一个简单的权限组件，容许把用户在使用admin过程当中控制到表级别的增删改查程度，但没办法对表里的某条数据控制权限，即要么容许访问整张表，要么不容许访问，实现不了只容许用户访问表中的特定数据的控制。 

咱们虽然没办法对经过自带的django admin 权限系统实现想要的权限控制，可是能够借用它的 权限 与用户的关联 逻辑！自带的权限系统容许用户添加自定义权限条目，方式以下 

1 2 3 4 5 6 7 8

class Task(models.Model):     ...     class Meta:         permissions = (             ("view_task", "Can see available tasks"),             ("change_task_status", "Can change the status of tasks"),             ("close_task", "Can remove a task by setting its status as closed"),         )

这样就添加了3条自定义权限的条目， 而后 manage.py migrate 就能够在django自带的用户表里的permissions字段看到你刚添加的条目。

只要把刚添加 的几条权限 移动的右边的框里，那这个用户就至关于有相应的权限 了！之后，你在代码里经过如下语句，就能够断定用户是否有相应的权限。

1	user.has_perm('app.view_task')

 

看到这，有的同窗还在蒙逼，这个自带的权限跟咱们刚才本身定义的权限条目有半毛钱关系么？聪明的同窗已经看出来了， 只要咱们把刚才本身定义的perm_dic字典里的全部key在这个META类的permissions元组里。就至关于把用户和它能够操做的权限关联起来了！这就省掉了咱们必须本身写权限与用户关联所须要的代码了

 

权限组件与应用的结合

咱们但愿咱们的权限组件是通用的，可插拔的，它必定要与具体的业务代码分离，之后能够轻松把这个组件移植到其它的项目里去，所以这里咱们采用装饰器的模式，把权限的检查、控制封装在一个装饰器函数里，想对哪一个Views进行权限控制，就只须要在这个views上加上装饰器就能够了。

1 2 3

@check_permission def table_change(request,app_name,table_name,obj_id):     .....

 

那这个@check_permission装饰器里干的事情就是如下几步：

1. 

拿到用户请求的url+请求方法+参数到咱们的的perm_dic里去一一匹配

2. 

3. 

当匹配到了对应的权限条目后，就拿着这个条目所对应的权限名，和当前的用户， 调用request.user.has_perm(权限名)

4. 

5. 

若是request.user.has_perm(权限名)返回为True,就认为该用户有权限 ，直接放行，不然，则返回403页面！

6. 

 权限检查代码

 

加入自定义权限

仔细按上面的步骤走下来，并玩了一会的同窗，可能会发现一个问题，这个组件对有些权限是控制不到的， 就是涉及到一些业务逻辑的权限，没办法控制 ， 好比 我只容许 用户访问本身建立的客户数据，这个你怎么控制？ 

经过控制 用户的请求参数 是没办法实现的， 由于你获取到的request.user是个动态的值，你必须经过代码来判断 这条数据 是不是由当前请求用户 建立的。 相似的业务逻辑还有不少？你怎么搞？

仔细思考了10分钟，即然这里必须涉及到必须容许开发人员经过自定义一些业务逻辑代码来判断用户是否有权限的话，那我在个人权限组件里再提供一个权限自定义函数不就能够了，开发者能够把自定的权限逻辑写到函数里，个人权限组件 自动调用这个函数，只要返回为True就认为有权限，就能够啦！

 

 加入了自定义权限钩子的代码

权限配置条目

1 2 3

'crm_can_access_my_clients':['table_list','GET',[],                              {'perm_check':33,'arg2':'test'},                              custom_perm_logic.only_view_own_customers],

看最后面咱们加入的only_view_own_customers就是开发人员自已加的权限控制逻辑，里面想怎么写就怎么写

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

def only_view_own_customers(request,*args,**kwargs):     print('perm test',request,args,kwargs)       consultant_id = request.GET.get('consultant')     if consultant_id:         consultant_id = int(consultant_id)       print("consultant=1",type(consultant_id))       if consultant_id == request.user.id:         print("\033[31;1mchecking [%s]'s own customers, pass..\033[0m"% request.user)         return True     else:         print("\033[31;1muser can only view his's own customer...\033[0m")         return False

 

这样，万通且通用的权限框架就开发完毕了，权限的控制粒度，可粗可细、可深可浅，包君满意！之后要移植到其它django项目时， 你惟一须要改的，就是配置好perm_dic里的权限条目！

 

用完以为好，记得点赞噢！　

 

官网网址：www.oldboyedu.com