Django项目中的实现rbac功能
1、什么是rbac
rbac翻译意思就是(Role-Based Access Contro)基于角色的权限控制html
2、优点
1.将用户和权限的关系
2.易扩展,易于维护前端
好比张三李四须要用客户列表访问权限,若是上百个用户,单独分配权限会麻烦,若是单独放客户列表权限在销售角色里面,张三李四放到销售角色里就OK了python
3、RBAC流程图
django
第一张:用户表
第二张:角色表
第三张表:用户表和角色表多对多的关系,一个用户能够有多个角色
第四张表:权限表
第五张表:权限表和角色表多对多的关系,多个权限能够放到一个角色里面session
4、效果图app
5、本章案例
背景:开发一个固定资产管理系统
实现功能:根据不一样用户登录分配不一样权限,jack是CTO这个角色,CTO对全部页面有增删改查的权限,当jack登录的时候,显示有增删改查的按钮。当登录lucy,由于是COO的权限,有全部页面查询的权限,只能查看,没法添加修改删除。ide
1.在django中把rbac作成组件,到别的项目也能够直接拿来用
2.在项目中新建立一个名为rbac应用,建立命令startapp rbac
3.在rbac应用里mode.pyl写ORM,分别是帐号表,角色表,权限表,权限组表函数
from django.db import models
# Create your models here.
class Account(models.Model):
name=models.CharField(max_length=32)
pwd=models.CharField(max_length=32)
roles=models.ManyToManyField(to="Role")
def __str__(self): return self.name
class Role(models.Model):
title=models.CharField(max_length=32)
permissions=models.ManyToManyField(to="Permission")
def __str__(self): return self.title
class Permission(models.Model):
title=models.CharField(max_length=32)
url=models.CharField(max_length=32)
action=models.CharField(max_length=32,default="")
group=models.ForeignKey("PermissionGroup",default=1,on_delete=models.CASCADE)
def __str__(self):return self.title
class PermissionGroup(models.Model):
title = models.CharField(max_length=32)
def __str__(self): return self.title
4.在rdac的admin文件中添加下面数据,为了后台管理url
from django.contrib import admin from .models import * class PerConfig(admin.ModelAdmin): list_display = ["title","url","group","action"] admin.site.register(Account) admin.site.register(Role) admin.site.register(Permission,PerConfig) admin.site.register(PermissionGroup)
5.在后台分别对应写入4张表数据
这是权限表,这里能够理解为一个URL等于一个权限
6.开始写组件
在rbac应用中,建立一个service的python包,而后在下面建立perssions.py文件翻译
###############################在session注册权限列表##############################
def initial_session(user,request):
#获取当前用户所在的全部角色拥有的权限url,组id,动做,去掉重复
permissions = user.roles.all().values("permissions__url","permissions__group_id","permissions__action").distinct()
#把结果放到一个字典中
permission_dict={}
for item in permissions:
gid=item.get('permissions__group_id')
#判断当前组id是否已经存在到字典中
if not gid in permission_dict:
#加逗号是由于考虑还有数据
#permission_dict{1:{"url":["/device_list/"],"action":"[search"]},2:{"url":["/device_list/"],"action":["search"}]}
permission_dict[gid]={
"urls":[item["permissions__url"],],
"actions":[item["permissions__action"],]
}
else:
permission_dict[gid]["urls"].append(item["permissions__url"])
permission_dict[gid]["actions"].append(item["permissions__action"])
request.session['permission_dict'] = permission_dict
而后再建立rbac.py,写一个类,最终写到setting.py的MIDDLEWARE。
import re
from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse,redirect
class ValidPermission(MiddlewareMixin):
def process_request(self,request):
# 当前访问路径
current_path = request.path_info
# 检查是否属于白名单,若是是下面路径url不用校验
valid_url_list=["/login/","/reg/","/admin/.*","/index/",'/logout/']
for valid_url in valid_url_list:
ret=re.match(valid_url,current_path)
if ret:
return None
# 校验是否登陆,这步是为了让用户去登录,而不是返回一个没有权限的页面
user_id=request.session.get("user_id")
if not user_id:
return redirect("/index/")
# 校验url
permission_dict=request.session.get("permission_dict")
for item in permission_dict.values():
urls=item['urls']
for reg in urls:
reg="^%s$"%reg
ret=re.match(reg,current_path)
if ret:
request.actions=item['actions']
return None
return HttpResponse("没有访问权限!")
7.写views.py文件,当用户在登录页面登录发送帐号密码过来时,进行校验,若是存在帐号表中,就在session会话中注册这个用户id,调用rbac组件,若是经过了就返回页面
#登录函数
def login(request):
if request.method=="POST":
user=request.POST.get("user")
pwd=request.POST.get("pwd")
#获取Account表里面去找有没有当前的用户名和密码
user=Account.objects.filter(name=user,pwd=pwd).first()
if user:
############################### 在session中注册用户ID######################
request.session["user_id"]=user.pk
#调用组件
initial_session(user,request)
return redirect("/device_list/")
return render(request,"index.html")
8.在view.py视图文件中添加下面代码,Per(request.actions)获取当前用户动做
class Per(object):
def __init__(self,actions):
self.actions=actions
def add(self):
return "add" in self.actions
def delete(self):
return "delete" in self.actions
def edit(self):
return "edit" in self.actions
def list(self):
return "search" in self.actions
def device_list(request):
ret = models.Device.objects.all()
#在前端页面显示用户名
per = Per(request.actions)
return render(request, 'device/device_list.html', locals())
9.前端页面写模板语言,下面代码是写在form表单
<div class="col-md-1 pull-right new-add">
#判断用户是否有add添加权限,若是有则显示按钮,不然不显示
{% if per.add %}
<a href="/add_device/" class="btn btn-success">
<i class="fa fa-plus fa-fw"></i>新增
</a>
{% endif %}
</div>
一样是判断是否有删除和编辑权限
{% if per.delete %}
<a class="btn btn-danger del" href="/del_device/{{ device.id }}">
<i class="fa fa-trash-o fa-fw"></i>删除
</a>
{% endif %}
{% if per.edit %}
<a class="btn btn-info" href="/edit_device/{{ device.id }}">
<i class="fa fa-pencil fa-fw"></i>编辑
</a>
{% endif %}
10.显示图,登录jack用户
再登录luyc用户
能够看到lucy没有添加删除编辑的按钮,就算成功了。
补充一点,url和views.py都写在项目中,不是写在应用中喔。
相关文章
- 1. ATM功能实现项目
- 2. vue项目中实现扫码功能
- 3. django项目:实现一个完整的博客功能(2)
- 4. django项目:实现一个完整的博客功能(1)
- 5. python实战项目练习-Django商城项目之注册功能实现
- 6. JAVA项目----ATM的实现功能
- 7. 项目换肤功能的实现
- 8. Django中实现文件上传功能
- 9. django分页功能实现
- 10. django 实现分页功能
- 更多相关文章...
- • 现实生活中的 XML - XML 教程
- • Thymeleaf项目实践 - Thymeleaf 教程
- • ☆基于Java Instrument的Agent实现
- • SpringBoot中properties文件不能自动提示解决方法
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章