1.权限,说白了就是你有资格访问这个网址,而别人每一资格;你有资格进行增删改查,而别人只有查的权限
2.新建是3张表:
#用户表 class User(models.Model): name = models.CharField(max_length=32) pwd = models.CharField(max_length=32) #和Role(角色表)建立多对多的关系 role = models.ManyToManyField('Role') def __str__(self): return self.name #角色表 class Role(models.Model): title = models.CharField(max_length=32) #和Permission(权限表)建立多对多的关系 permission=models.ManyToManyField('Permission') def __str__(self): return self.title class Permission(models.Model): title = models.CharField(max_length=32) #不同的角色的人有不同的访问网址 url = models.CharField(max_length=32) def __str__(self): return self.title
3.进行数据的迁移
makemigrations
migrate
4.表的关系已经生成,可是表里现在没有数据,也就是没有我们现在测试不出来效果,不多说,直接登录后台录入数据
admin.py from django.contrib import admin #把表引过来 #from app01.models import User #from app01.models import Role #from app01.models import Permission admin.site.register(User)admin.site.register(Role)admin.site.register(Permission) #以上三种情况也可以进行插入数据,但是显示出来的是一个个的对象,建议使用下面的代码: admin.site.register(User) class RoleConfig(admin.ModelAdmin): # 按照指定的字段 显示 list_display=["title"] admin.site.register(Role,RoleConfig) #自定义的类,让它按照我想要的字段进行展示,啥名字都可以,但是一定要记得继承ModelAdmin这个类 class PermissionConfig(admin.ModelAdmin): list_display=["pk","title","url"] ordering = ["pk"] admin.site.register(Permission,PermissionConfig)
5.好,现在创建一个超级管理,然后登陆admin后台进行插入数据
6.创建之后直接跑项目,进入后台
######http://127.0.0.1:8000/admin/####### #http://127.0.0.1:8000这是我的本地的ip和端口号 #/admin/就是后台管理系统,回车之后就会有登录窗口,用创建的超级用户进行登录,插入数据
7.
权限,用户,角色就是我们刚刚创建的3张表
8.对应的权限,也就是哪个角色有什么网址现在都已处理好,剩下的都类似哈
9.创建对应的路由
urlpatterns = [ path('admin/', admin.site.urls), path('login/',views.login), path('orders/', views.order), path('orders/add/', views.addorder), re_path('orders/edit/(d+)/', views.editorder), re_path('orders/delete/(d+)/', views.deleteorder), path('customers/', views.customers), path('customers/add/', views.addcustomers), re_path('customers/edit/(d+)/', views.editcustomers), re_path('customers/delete/(d+)/', views.deletecustomers), ]
10.对应的函数,简写了就
from django.shortcuts import render,HttpResponse,redirect from app01.models import User,Role # Create your views here. def order(request): return HttpResponse("order...") def addorder(request): return HttpResponse("addorder...") def editorder(request,id): return HttpResponse("editorder...") def deleteorder(request,id): return HttpResponse("deleteorder...") def customers(request): return HttpResponse("customers...") def addcustomers(request): return HttpResponse("addcustomers...") def editcustomers(request,id): return HttpResponse("editcustomers...") def deletecustomers(request,id): return HttpResponse("deletecustomers...")
11.ok,现在开始我们的测试内容
创建用户登录
#urls.py path('login/',views.login), #views.py def login(request): if request.method == 'POST': user = request.POST.get('user') pwd = request.POST.get('pwd') user = User.objects.filter(name=user,pwd=pwd).first() if user: #把用户的信息保存在session中 request.session['user_id']=user.pk #查看当前等路人的权限 ,distinct()去重 permission=Role.objects.filter(user=user).values('permission__url').distinct() print(permission) #新建列表把权限进行循环,取到里面的每一个url permission_list = [] for item in permisssion: permission_list .append(item['permission__url']) # 把当前登录人的全县列表加入到列表中 request.session['permission_list']=permissions_list return HttpResponse('ok') return render(request,'login.html') #templates新建一个HTML <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> {#form自带提交功能,不用写什么Ajax,还有,必须有name字段,没有name字段前段接收不到#} <form action="" method="post"> {% csrf_token %} 用户名<input type="text" name="user"> 密码<input type="text" name="pwd"> <input type="submit"> </form> </body> </html>
12.重头器,现在我们访问哪个页面都可以,因为我们还没有进行校验,现在的情况下就是没有权限,而我们现在就需要中间件,因为不管啥时候,都必须要走中间件,在中间件进行判断
12.1创建一个py文件-----
#middlewares.py from django.utils.deprecation import MiddlewareMixin import re class PermissionMiddleWare(MiddlewareMixin): def process_request(self,request): current_path = request.path #社会白名单 for reg in ['/login/','/admin/*'] #search 用法:在整个current_path中查询reg ret = re.search(reg,current_path) if ret: return None #直接判断有没有登录 user_id = request.session.get('user_id') if not user_id: return redirect('/login/') #j校验数据 permission_list = reuqest.session.get('permission_list') for reg in permission_list: reg = '^%s$'%reg ret = re.search(reg,current_path) if ret: return None return HttpResponse('无权访问')
ok,现在就可以了 大功告成