权限
Django中内置了权限的功能。他的权限都是针对表或者说是模型级别的。比如对某个模型上的数据是否可以进行增删改查操作。他不能针对数据级别的,比如对某个表中的某条数据能否进行增删改查操作(如果要实现数据级别的,考虑使用django-guardian)。创建完一个模型后,针对这个模型默认就有四种权限,分别是增/删/改/查。可以在执行完migrate命令后,查看数据库中的auth_permission表中的所有权限。
字段:
content_type_id:是一个外键,参考表是django_content_type这个表,django就是根据这个来找到某一个具体的模型的。
codename: 表示权限的名字。
name: 对该权限的描述。
添加权限
通过定义模型添加权限:
如果我们想要增加新的权限,比如查看某个模型的权限,那么我们可以在定义模型的时候在Meta中定义好。
class Article(models.Model): title = models.CharField(max_length=100) content = models.TextField() author = models.CharField(max_length=20) class Meta: permissions = [ ('black_article','拉黑文章的权限'), ]
然后执行makemigrations和migrate命令,就添加好了这一条权限。我们可以数据库中的auth_permission表中看到我们添加的这一条权限。
通过代码来添加权限。
权限都是django.contrib.auth.Permission的实例。这个模型包含三个字段,name、codename以及content_type,其中的content_type表示这个permission是属于哪个app下的哪个models。
定义一个视图函数,然后写入代码:
from django.http import HttpResponse from .models import Article from django.contrib.auth.models import Permission,ContentType # Create your views here. def add_permission(request): content_type = ContentType.objects.get_for_model(Article) permission = Permission.objects.create(codename='white_article',name='将文章加入白名单',content_type=content_type) return HttpResponse('权限创建成功')
然后执行这个视图函数,就能够添加这个权限了。
注意: name字段是不能有重复的,否则会报错。
用户与权限管理:
权限本身只是一个数据,必须和用户进行绑定,才能起到作用。User模型和权限之间的管理,可以通过以下几种方式来管理:
1、myuser.user_permissions.set(permission_list):直接给定一个权限的列表。
2、myuser.user_permissions.add(permission,permission,…):一个个添加权限。这里就不能传入一个列表了,只能一个一个的传入数据了。
3、myuser.user_permissions.remove(permission,permission,…):一个个删除权限。
4、myuser.user_permissions.clear():清除所有的权限。
5、myuser.has_perm('<app_name>.'):判断是否拥有某个权限。权限参数是一个字符串,格式是app_name.codename。
6、myuser.get_all_permissons():获取所有的权限。
注意:
这个地方的User模型并不是我们自定义的User模型,而是Django内置的一个User模型,而我们自定义的模型是不能够这样进行操作的。django内置的User模型我们需要导入:from django.contrib.auth.models import User。
现在,我们给User模型绑定Article模型的一些权限:
执行上面的add方法和remove方法后需要执行一下save()方法,否则将不能保存到数据库中去。
views中新建一个视图:
首先我们需要创建一个User用户:
from django.contrib.auth.models import Permission,ContentType,User def createUser(request): user = User.objects.create_user(username='xujin',email='qq@qq.com',password='111111') return HttpResponse('用户创建成功')
然后对该用户的权限进行操作:
from django.http import HttpResponse from .models import Article from django.contrib.auth.models import Permission,ContentType,User def operate_permission(request): user = User.objects.first() content_type = ContentType.objects.get_for_model(Article) permissions = Permission.objects.filter(content_type=content_type) for permission in permissions: print(permission) # 添加权限 user.user_permissions.set(permissions) # 清除所有的权限 # user.user_permissions.clear() # 查看是否拥有某个权限 if user.has_perm('authority.view_article'): print('这个用户拥有view_article的权限') else: print('这个用户没有view_article的权限') return HttpResponse('操作权限的视图')
权限限定装饰器:
我们可以判断某一个用户是否拥有某个权限,再对它判断是否可以访问某一个页面。
要判断某个用户是否拥有某个权限,我们首先得登录:
from django.contrib.auth import authenticate,login def my_login(request): username = 'xujin' password = '111111' # username和password输入正确后这里会返回一个User对象 user = authenticate(request,username=username,password=password) # 判断是否有该用户 if user: # 使用django内置的一个登录函数来登录,登录成功之后会设置一个session值 login(request,user) else: return HttpResponse('用户名或密码错误')
然后我们再写入添加文章的函数视图:
def add_article(request): # 判断用户是否登录了,这里的用户是指后台管理员的用户,也就是Django的User模型中的用户 # 而不是浏览网站的用户 # 通过这个request.user.is_authenticated可以判断是否登录了 if request.user.is_authenticated: print('已经登录了') # 再判断是否拥有这个权限 if request.user.has_perm('authority.add_article'): return HttpResponse('添加文章的页面') else: # 403表示没有权限的意思 return HttpResponse('你没有访问该页面的权限',status=403) else: return HttpResponse('你还没有登录,请登录!!!')
这样,我们就实现了对某个用户的权限限制了。
上面这种方法是我们自己手动实现的,Django也内置一个装饰器permission_required,来帮我们实现了这个功能:
from django.contrib.auth.decorators import permission_required # login_url没有登录跳转至的页面 # raise_exception=True,当你没有权限访问这个页面的时候,就会抛出一个403错误 # 如果我们在网站中写了403那个页面的话,就会重定向到403哪一个页面 @permission_required('front.add_article',login_url='front/login',raise_exception=True) def add_article(request): # 判断用户是否登录了,这里的用户是指后台管理员的用户,也就是Django的User模型中的用户 # 而不是浏览网站的用户 # if request.user.is_authenticated: # print('已经登录了') # if request.user.has_perm('authority.add_article'): # return HttpResponse('添加文章的页面') # else: # # 403表示没有权限的意思 # return HttpResponse('你没有访问该页面的权限',status=403) # else: # return HttpResponse('你还没有登录,请登录!!!') return HttpResponse('添加文章的页面')
这样,我们就不用写上面那么多代码了,只需要写入我们的主体函数就可以了。
注意: 如果一个函数视图需要多个权限才能进入的话,我们可以将需要的权限放入一个列表中,然后再将这个列表放在装饰器中。这个时候如果我们手动实现这个装饰器的功能的话,就要使用has_perms方法来判断了。
分组:
权限有很多,一个模型就有最少四个权限,如果一些用户拥有相同的权限,那么每次都要重复添加。这时候分组就可以帮我们解决这种问题了,我们可以把一些权限归类,然后添加到某个分组中,之后再把和把需要赋予这些权限的用户添加到这个分组中,就比较好管理了。分组我们使用的是django.contrib.auth.models.Group模型, 每个用户组拥有id和name两个字段,该模型在数据库被映射为auth_group数据表。
分组操作:
Group.object.create(group_name):创建分组。
group.permissions:某个分组上的权限。多对多的关系。
group.permissions.add:添加权限。
group.permissions.remove:移除权限。
group.permissions.clear:清除所有权限。
user.get_group_permissions():获取用户所属组的权限。
user.groups:某个用户上的所有分组。多对多的关系。
我们首先新建一个分组:
from django.contrib.auth.models import Permission,ContentType,Group from .models import Article def operate_group(request): group = Group.objects.create(name='运营') # 额到Article这个模型的content_type_id content_type = ContentType.objects.get_for_model(Article) permissions = Permission.objects.filter(content_type=content_type) group.permissions.set(permissions) return HttpResponse('操作分组')
这里我们就创建了一个运营的分组,并且将Article这个模型所有的权限都添加进去了。
然后我们可以查看我们的数据库中我们添加的信息。在表auth_group和auth_group_permissions中,因为group和permissions是一个多对多的关系,所以它们拥有一个中间表。
我们创建好了一个组,那么我们就需要添加一个用户进去了。
修改上面的函数为:
def operate_group(request): # group = Group.objects.create(name='运营') # # 额到Article这个模型的content_type_id # content_type = ContentType.objects.get_for_model(Article) # permissions = Permission.objects.filter(content_type=content_type) # group.permissions.set(permissions) group = Group.objects.filter(name='运营').first() user = User.objects.first() user.groups.add(group) user.save() return HttpResponse('操作分组')
这样,我们就对运营这个组添加了一个用户进去了。
判断某个group下的某个用户的所有权限:
def operate_group(request): # group = Group.objects.create(name='运营') # # 额到Article这个模型的content_type_id # content_type = ContentType.objects.get_for_model(Article) # permissions = Permission.objects.filter(content_type=content_type) # group.permissions.set(permissions) # group = Group.objects.filter(name='运营').first() # user = User.objects.first() # user.groups.add(group) # user.save() user = User.objects.first() permissions = user.get_group_permissions() print(permissions) return HttpResponse('操作分组')
在模板中使用权限:
在settings.TEMPLATES.OPTIONS.context_processors下,因为添加了django.contrib.auth.context_processors.auth上下文处理器,因此在模板中可以直接通过perms来获取用户的所有权限。
我们新建一个index.html的文件,然后渲染一下这个页面:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h1>首页</h1> {#如果拥有这个权限,我就显示这个标签#} {% if perms.authority.add_article %} <a href="#" rel="external nofollow" >添加文章</a> {% endif %} </body> </html>
然后新建一个视图来渲染这个页面:
def index(request): return render(request,'index.html')
然后添加url,就可以了。当我们没有登录的时候,也不会显示出来。
以上这篇对Django中的权限和分组管理实例讲解就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持。
Django,权限,分组管理
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
稳了!魔兽国服回归的3条重磅消息!官宣时间再确认!
昨天有一位朋友在大神群里分享,自己亚服账号被封号之后居然弹出了国服的封号信息对话框。
这里面让他访问的是一个国服的战网网址,com.cn和后面的zh都非常明白地表明这就是国服战网。
而他在复制这个网址并且进行登录之后,确实是网易的网址,也就是我们熟悉的停服之后国服发布的暴雪游戏产品运营到期开放退款的说明。这是一件比较奇怪的事情,因为以前都没有出现这样的情况,现在突然提示跳转到国服战网的网址,是不是说明了简体中文客户端已经开始进行更新了呢?
更新日志
- 雨林唱片《赏》新曲+精选集SACD版[ISO][2.3G]
- 罗大佑与OK男女合唱团.1995-再会吧!素兰【音乐工厂】【WAV+CUE】
- 草蜢.1993-宝贝对不起(国)【宝丽金】【WAV+CUE】
- 杨培安.2009-抒·情(EP)【擎天娱乐】【WAV+CUE】
- 周慧敏《EndlessDream》[WAV+CUE]
- 彭芳《纯色角3》2007[WAV+CUE]
- 江志丰2008-今生为你[豪记][WAV+CUE]
- 罗大佑1994《恋曲2000》音乐工厂[WAV+CUE][1G]
- 群星《一首歌一个故事》赵英俊某些作品重唱企划[FLAC分轨][1G]
- 群星《网易云英文歌曲播放量TOP100》[MP3][1G]
- 方大同.2024-梦想家TheDreamer【赋音乐】【FLAC分轨】
- 李慧珍.2007-爱死了【华谊兄弟】【WAV+CUE】
- 王大文.2019-国际太空站【环球】【FLAC分轨】
- 群星《2022超好听的十倍音质网络歌曲(163)》U盘音乐[WAV分轨][1.1G]
- 童丽《啼笑姻缘》头版限量编号24K金碟[低速原抓WAV+CUE][1.1G]