Django項目中的實現rbac功能
1、什麼是rbac
rbac翻譯意思就是(Role-Based Access Contro)基於角色的權限控制html
2、優點
1.將用戶和權限的關係
2.易擴展,易於維護前端
好比張三李四須要用客戶列表訪問權限,若是上百個用戶,單獨分配權限會麻煩,若是單獨放客戶列表權限在銷售角色裏面,張三李四放到銷售角色裏就OK了python
3、RBAC流程圖
django
第一張:用戶表
第二張:角色表
第三張表:用戶表和角色表多對多的關係,一個用戶能夠有多個角色
第四張表:權限表
第五張表:權限表和角色表多對多的關係,多個權限能夠放到一個角色裏面session
4、效果圖app
5、本章案例
背景:開發一個固定資產管理系統
實現功能:根據不一樣用戶登錄分配不一樣權限,jack是CTO這個角色,CTO對全部頁面有增刪改查的權限,當jack登錄的時候,顯示有增刪改查的按鈕。當登錄lucy,由於是COO的權限,有全部頁面查詢的權限,只能查看,沒法添加修改刪除。ide
1.在django中把rbac作成組件,到別的項目也能夠直接拿來用
2.在項目中新建立一個名爲rbac應用,建立命令startapp rbac
3.在rbac應用裏mode.pyl寫ORM,分別是帳號表,角色表,權限表,權限組表函數
from django.db import models
# Create your models here.
class Account(models.Model):
name=models.CharField(max_length=32)
pwd=models.CharField(max_length=32)
roles=models.ManyToManyField(to="Role")
def __str__(self): return self.name
class Role(models.Model):
title=models.CharField(max_length=32)
permissions=models.ManyToManyField(to="Permission")
def __str__(self): return self.title
class Permission(models.Model):
title=models.CharField(max_length=32)
url=models.CharField(max_length=32)
action=models.CharField(max_length=32,default="")
group=models.ForeignKey("PermissionGroup",default=1,on_delete=models.CASCADE)
def __str__(self):return self.title
class PermissionGroup(models.Model):
title = models.CharField(max_length=32)
def __str__(self): return self.title
4.在rdac的admin文件中添加下面數據,爲了後臺管理url
from django.contrib import admin from .models import * class PerConfig(admin.ModelAdmin): list_display = ["title","url","group","action"] admin.site.register(Account) admin.site.register(Role) admin.site.register(Permission,PerConfig) admin.site.register(PermissionGroup)
5.在後臺分別對應寫入4張表數據
這是權限表,這裏能夠理解爲一個URL等於一個權限
6.開始寫組件
在rbac應用中,建立一個service的python包,而後在下面建立perssions.py文件翻譯
###############################在session註冊權限列表##############################
def initial_session(user,request):
#獲取當前用戶所在的全部角色擁有的權限url,組id,動做,去掉重複
permissions = user.roles.all().values("permissions__url","permissions__group_id","permissions__action").distinct()
#把結果放到一個字典中
permission_dict={}
for item in permissions:
gid=item.get('permissions__group_id')
#判斷當前組id是否已經存在到字典中
if not gid in permission_dict:
#加逗號是由於考慮還有數據
#permission_dict{1:{"url":["/device_list/"],"action":"[search"]},2:{"url":["/device_list/"],"action":["search"}]}
permission_dict[gid]={
"urls":[item["permissions__url"],],
"actions":[item["permissions__action"],]
}
else:
permission_dict[gid]["urls"].append(item["permissions__url"])
permission_dict[gid]["actions"].append(item["permissions__action"])
request.session['permission_dict'] = permission_dict
而後再建立rbac.py,寫一個類,最終寫到setting.py的MIDDLEWARE。
import re
from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse,redirect
class ValidPermission(MiddlewareMixin):
def process_request(self,request):
# 當前訪問路徑
current_path = request.path_info
# 檢查是否屬於白名單,若是是下面路徑url不用校驗
valid_url_list=["/login/","/reg/","/admin/.*","/index/",'/logout/']
for valid_url in valid_url_list:
ret=re.match(valid_url,current_path)
if ret:
return None
# 校驗是否登陸,這步是爲了讓用戶去登錄,而不是返回一個沒有權限的頁面
user_id=request.session.get("user_id")
if not user_id:
return redirect("/index/")
# 校驗url
permission_dict=request.session.get("permission_dict")
for item in permission_dict.values():
urls=item['urls']
for reg in urls:
reg="^%s$"%reg
ret=re.match(reg,current_path)
if ret:
request.actions=item['actions']
return None
return HttpResponse("沒有訪問權限!")
7.寫views.py文件,當用戶在登錄頁面登錄發送帳號密碼過來時,進行校驗,若是存在帳號表中,就在session會話中註冊這個用戶id,調用rbac組件,若是經過了就返回頁面
#登錄函數
def login(request):
if request.method=="POST":
user=request.POST.get("user")
pwd=request.POST.get("pwd")
#獲取Account表裏面去找有沒有當前的用戶名和密碼
user=Account.objects.filter(name=user,pwd=pwd).first()
if user:
############################### 在session中註冊用戶ID######################
request.session["user_id"]=user.pk
#調用組件
initial_session(user,request)
return redirect("/device_list/")
return render(request,"index.html")
8.在view.py視圖文件中添加下面代碼,Per(request.actions)獲取當前用戶動做
class Per(object):
def __init__(self,actions):
self.actions=actions
def add(self):
return "add" in self.actions
def delete(self):
return "delete" in self.actions
def edit(self):
return "edit" in self.actions
def list(self):
return "search" in self.actions
def device_list(request):
ret = models.Device.objects.all()
#在前端頁面顯示用戶名
per = Per(request.actions)
return render(request, 'device/device_list.html', locals())
9.前端頁面寫模板語言,下面代碼是寫在form表單
<div class="col-md-1 pull-right new-add">
#判斷用戶是否有add添加權限,若是有則顯示按鈕,不然不顯示
{% if per.add %}
<a href="/add_device/" class="btn btn-success">
<i class="fa fa-plus fa-fw"></i>新增
</a>
{% endif %}
</div>
一樣是判斷是否有刪除和編輯權限
{% if per.delete %}
<a class="btn btn-danger del" href="/del_device/{{ device.id }}">
<i class="fa fa-trash-o fa-fw"></i>刪除
</a>
{% endif %}
{% if per.edit %}
<a class="btn btn-info" href="/edit_device/{{ device.id }}">
<i class="fa fa-pencil fa-fw"></i>編輯
</a>
{% endif %}
10.顯示圖,登錄jack用戶
再登錄luyc用戶
能夠看到lucy沒有添加刪除編輯的按鈕,就算成功了。
補充一點,url和views.py都寫在項目中,不是寫在應用中喔。
相關文章
- 1. ATM功能實現項目
- 2. vue項目中實現掃碼功能
- 3. django項目:實現一個完整的博客功能(2)
- 4. django項目:實現一個完整的博客功能(1)
- 5. python實戰項目練習-Django商城項目之註冊功能實現
- 6. JAVA項目----ATM的實現功能
- 7. 項目換膚功能的實現
- 8. Django中實現文件上傳功能
- 9. django分頁功能實現
- 10. django 實現分頁功能
- 更多相關文章...
- • 現實生活中的 XML - XML 教程
- • Thymeleaf項目實踐 - Thymeleaf 教程
- • ☆基於Java Instrument的Agent實現
- • SpringBoot中properties文件不能自動提示解決方法
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章