一. 权限概述
1. 认识权限
为什么要有权限? 因为权限让不同的用户拥有不同的功能. 权限可以对功能进行划分.
生活中处处有权限. 比如, 腾讯视频会员才有观看某个最新电影的权限, 你有房间钥匙就有了进入这个房间的权限. 同样, 程序开发过程中也有权限, 我们今天所说的权限指的是web网站权限, 对于不同用户访问web服务时应该有不同的功能. 例如: 一个公司有CEO, 销售主管, 销售等等, 不同的用户能访问的服务也不是完全相同的. 处于这样的需求下, 我们就需要权限控制了.
2. 为什么要开发权限组件?
组件可以减少代码的重复, 能提高我们的开发效率--开发一次组件, 那么在以后的项目中可以一直使用.
3. web开发中权限是指什么?
首先我们要认识到, web程序是通过 url 的切换来查看不同的页面(功能)的, 所以权限指的其实就是一个含有正则表达式的URL, 对url控制就是对权限的控制.
结论: 一个人有多少权限就取决于他有多少个URL的访问权限.
二. 权限表结构设计
1.版本一
按照生活中的实际情况来看, 一个用户有多个权限, 一个权限也可以分配给多个用户, 所以我们可以设计出下面的三张表:
分析: 设计完该表结构之后, 我们又考虑到这种情况: 如果我们再新增10个用户, 每个用户都有权限表中的2个权限, 这意味着我们就要在"权限和用户关联表"中新增40条记录. 如果再拓展到我们的实际生活中, 又会出现怎样的情况呢? 生活中一个web网站肯定不止2个url, 这就意味着每新增一个客户, 我们就要在某些表中增加若干条记录. 这样做不仅加重的程序员工作任务, 而且造成了数据库空间的严重浪费. 很显然, 此表有待改进!
2. 版本二
观察生活中的实际情况, 我们发现, 某些网站有普通用户和VIP用户, 部分网站的VIP用户也分了等级. 此时我们思考: 这样的做法实际上是给用户分了类, 把我们的用户分为了不同的角色. 是的, 此时我们再进一步联想: 我们是否也可以对用户进行角色划分, 然后再对不同的角色进行权限的分配呢?
- 分析:
- 一个人可以有多个角色
- 一个角色可以有多个人
- 一个角色可以有多个权限
- 一个权限可以分配给多个角色
以下是我们的表结构设计:
调整以后的表结构, 由原来的基于用户的权限控制转换成基于角色的权限控制(RBAC), 以后再进行权限分配时只需要给指定角色分配一次权限, 给众多用户分配指定角色即可.
三. Django项目中进行权限设置
步骤概述:
- 1.数据库配置(使用Django自带数据库即可)
- 2.models.py文件: 创建三张表, 分别是用户表, 角色表, 权限表
- 3.使用Django自带的admin来对各个表进行数据添加
- 4.路由匹配(urls.py文件)
- 5.视图函数(views.py文件)
- 6.自定义中间件
Django生命周期的回顾
在进行Django权限设置之前, 我们首先要回顾一下Django的生命周期:
1. models.py文件配置
- 创建项目
MyLuffyPermission, app名称为rbac. rbac/models.py: 我们进行权限表结构设计时, 共有5张表, 其中2张是关系表, 所以models.py文件中只有3个model, 分别是权限表, 角色表和用户表.- 数据库迁移指令
python manage.py makemigrations
python manage.py migrate
2. 使用Django自带的admin对表进行数据添加
(1) 创建超级用户
(2) 对rabc/admin.py文件进行配置
from django.contrib import admin
from rbac import models
class PermissionModelAdmin(admin.ModelAdmin):
list_display = ['title', 'url'] # 展示的字段
list_editable = ['url'] # 编辑的字段
admin.site.register(models.Permission, PermissionModelAdmin)
admin.site.register(models.Role)
admin.site.register(models.User)
(3)启动Django项目, 浏览器输入127.0.0.1:8000/admin/, 回车. 对数据库进行相关信息的添加与修改.
3. rbac组件的开发
在rabc应用中创建一个middlewares的文件夹, 在该文件夹中新建rabc.py, 它就是我们自定义的一个中间件, 作用是权限校验.
rabc/middlewares/rabc.py: 该中间件的编写分三步走:- (1)获取当前访问的url
- (2)获取当前用户权限信息
- (3)权限校验
- 具体代码如下所示:
from django.utils.deprecation import MiddlewareMixin
from django.conf import settings
from django.shortcuts import HttpResponse
import re
class RabcMiddleware(MiddlewareMixin):
def process_request(self, request):
# 1.获取当前访问的URL
url = request.path_info
print(111111)
# 如果当前的url是白名单中的内容,return None,即允许该url通过校验
for i in settings.WHITE_LIST:
if re.match(i, url): # 如果匹配成功
return # 通过校验
# 2.获取当前用户的权限信息 注意session中的键值对是在登录的时候(web/views/account)设置的
permission_list = request.session.get(settings.PERMISSION_SESSION_KEY)
print(222222)
# 3.权限的校验
for i in permission_list:
# URL权限 匹配成功
if re.match(r"^{}$".format(i['permissions__url']), url):
print(333333)
return
# 校验失败,拒绝访问
return HttpResponse('没有访问权限')
4. 路由匹配, 视图函数
(1) MyluffyPermission/urls.py
(2) 创建一个名叫web的app应用, 并在该应用中创建urls.py文件
# 创建app
python manage.py startapp app的名称
# 注册app
找到MyluffyPermission/settings.py文件下的INSTALLED_APPS项,然后注册app
(3) 在web/urls.py文件中写我们的路由匹配
(4) 在web应用下创建一个名为views的python包, 对视图函数进行分类, 每个角色的功能单独用一个.py文件来写.
5. 登录功能
在成功配置完我们的rbac组件之后(主要包括rbac/middlewares/rbac.py和rbac/migrations/middles.py), 我们现在开始进行对登录功能的编写.
(1)路由匹配: web/urls.py
from django.conf.urls import url
from web.views import account
urlpatterns = [
# 用户登录
url(r'^login/$', account.login, name='login'),
]
(2)视图函数: web/views/account.py
from django.shortcuts import HttpResponse, redirect, render, reverse
from rbac import models
from django.conf import settings
def login(request):
if request.method == 'POST':
# 获取提交的数据
user = request.POST.get('user')
pwd = request.POST.get('pwd')
# 数据库匹配管理对象
obj = models.User.objects.filter(name=user, password=pwd).first()
if not obj: # 错误优先
return render(request, 'login.html', {'error_msg': '用户名或密码错误'})
# 登录成功,保存用户权限信息:
ret = obj.roles.all().filter(permissions__url__isnull=False).values(
'permissions__url',
'permissions__title',).distinct()
request.session[settings.PERMISSION_SESSION_KEY] = list(ret)
return HttpResponse("登录成功")
return render(request, 'login.html')
对account.py文件中其中两行代码的解释:
ret = obj.roles.all().filter(permissions__url__isnull=False).values(
'permissions__url',
'permissions__title',).distinct()
"""
obj -- User对象
.roles.all() -- 通过User对象拿到该用户的所有角色对象(roles)
.filter(permissions__url__isnull=False)
-- permissions__url ==> 角色对象(roles)跨表查询Permission表的 URL权限(url)信息
-- isnull=False ==> isnull表示空,那么isnull=False表示不为空,也就是说 整个ORM语句筛选出了"URL权限不为空的角色对象"
.values('permissions__url','permissions__title')
-- 拿到角色的 URL权限和权限标题 组成的字典
.distinct() -- 去重
"""
request.session[settings.PERMISSION_SESSION_KEY] = list(ret)
# request.session[key] = value表示设置session数据
# 由ret=xxx.values(xxx)可知:ret是一个QuerySet对象.
# 由于request.session设置session时,会把数据转换为json格式,而ret却是一个QuerySet,因此我们把ret转换为列表后,就可以设置session了
# PERMISSION_SESSION_KEY是我们自定义的一个配置信息,我们把它写在settings.py文件里. 配置它的目的是:今后我们再次设置session时,它的key就是一个动态的可变的,如果需要修改key,我们只需要在settings.py文件里重新配置即可,而不再需要找到对应的函数,重复修改.从而达到简化我们代码修改的工作量.
(3)模板文件: web/templates/login.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="" method="post">
{% csrf_token %}
<p>
用户名:<input type="text" name="user">
</p>
<p>
密码:<input type="password" name="pwd">
</p>
<p style="color: red">{{ error_msg }}</p>
<button>登录</button>
</form>
</body>
</html>