权限(1)

一. global_settings.py全局配置文件

1. 所在位置:

from django .conf import settings   进入settings

settings = LazySettings()           进入LazySettings

在LazySettings中引用了global_settings

1. 平常所设置的settings.py的权重大于global_settings.py,所以在settings.py中配置的内容会覆盖掉global_settings.py中的内容,如果settings.py中没有,默认用global_settings.py中的配置
2. 例:session过期时间的设置

Session的默认过期时间为14天:SESSION_COOKIE_AGE = 60 * 60 * 24 * 7 * 2

设置为10秒钟SESSION_COOKIE_AGE = 10

二. Limit_choice_to语法

class ConsultRecord(models.Model):
    customer = models.ForeignKey('Customer',on_delete=models.CASCADE)
    note = models.TextField(verbose_name="跟进内容")
consultant=models.ForeignKey("UserInfo",on_delete=models.CASCADE,limit_choices_to={"pk",3})

正常情况下modelform在渲染前端页面时,有ForeignKey的字段默认会渲染关联表中的所有选项,但是在实际生产中,有时不会需要显示所有选项,如在crm中,添加跟进记录时,不需要让销售从所有的销售中选择一个人,只需固定显示当前登录的销售即可,此处的limit_choices_to相当于UserInfo.objects.filter(pk=3)

三.权限组件

Web网站的访问限制

1.方案

(1).简单方案:

用户表

Id name

1 a1

2 a2

权限表

Id   use      url      title

1   a      /index/   主页

2   a     /customer/ 查看客户

3   a     /customer_add/ 添加

4   b      /index/   主页

此方案的弊端:每次创建用户都要添加多条数据,浪费时间和空间

(2).方案二(RBAC:role based access control)基于角色的访问控制权限

用户表

Id  name

1   a1

2   a2

多对多user2role表

Id   user_id    role_id

1     1        3

1     2        3

角色表

Id    title    

1    ceo

2  销售

多对多role2permission

Id    role_id   permission

1      3        1

1      3        2

1      3        3

1      3        4

权限表permission

Id   use      url      title

1   a      /index/   主页

2   a     /customer/ 查看客户

3   a     /customer_add/ 添加

4   b      /index/   主页

2.admin的使用补充

想让每一个实例显示的内容更丰富一些

(1) 改变模型类的__str__方法的内容

def __str__(self):
    return self.title

(2)在admin.py中添加对用的约束显示内容的类

class PermissionConfig(admin.ModelAdmin):
    list_display=["pk","title","url"]  #显示哪几列
    ordering = ["pk"]   #按照哪种规则排序
admin.site.register(Permission,PermissionConfig)

替代admin.site.register(Permission)

四.一套可插拔式的权限组件

1.为项目创建权限所需要的三张表:用户表,角色表,权限表

在models.py中:

from django.db import models

class User(models.Model):
    name=models.CharField(max_length=32)
    pwd=models.CharField(max_length=32)
    roles=models.ManyToManyField(to="Role")
    def __str__(self):
        return self.name

class Role(models.Model):
    title=models.CharField(max_length=32)
    permissions=models.ManyToManyField(to="Permission")
    def __str__(self):
        return self.title

class Permission(models.Model):
    title=models.CharField(max_length=32)
    url=models.CharField(max_length=32)
    def __str__(self):
        return self.title

2.创建相应的路径

def customer(request):
    return HttpResponse("this is customer.")

def addcustomer(request,id):
    return HttpResponse("this is addcustomer.")

def editcustomer(request,id):
    return HttpResponse("this is editcustomer.")

def delecustomer(request,id):
    return HttpResponse("this is customer.")

def product(request):
    return HttpResponse("this is product.")

def addproduct(request,id):
    return HttpResponse("this is addproduct.")

def editproduct(request,id):
    return HttpResponse("this is editproduct.")

def deleproduct(request,id):
    return HttpResponse("this is deleproduct.")

3.为相应的路径相应的角色分配权限

如果利用admin组件添加,在admin.py中:

from django.contrib import admin

from app01.models import *
admin.site.register(User)
admin.site.register(Role)
class PermissionConfig(admin.ModelAdmin):
    list_display=["pk","title","url"]  #显示哪几列
    ordering = ["-pk"]    #按照哪种规则排序

admin.site.register(Permission,PermissionConfig)

4.登录时验证

def login(request):
    if request.method=="GET":
        return render(request,"login.html")
    else:
        user=request.POST.get("user")
        pwd=request.POST.get("pwd")
        use=User.objects.filter(name=user,pwd=pwd).first()
        if use:
            request.session["user_id"]=use.pk

#注入session用来判断是否登录
            permissions__url=Role.objects.filter(user__name=user).values("permissions__url")
            #判断登录人的角色,根据角色查找权限
            permissions__url_list=[]
            for item in permissions__url:
                print(item["permissions__url"])
                permissions__url_list.append(item["permissions__url"])
            request.session["permission"]=permissions__url_list

#把权限放到列表中,注入session中
            return HttpResponse("登录成功")
        else:
            return HttpResponse("用户名或密码错误")

5.登录各个地址时,都要校验该路径是否在session列表,直接在中间件中判断

在自定义的中间件中:

import re
from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse,redirect
class SessionMiddleware(MiddlewareMixin):
    def process_request(self, request):
        path=request.path
        permission=request.session.get("permission")
        # 白名单
        for reg in ["/login/","/admin/*"]:

#以admin开头的路径问题
            ret=re.search(reg,path)
            if ret:
                return None
        # 判断是否登录
        user_id=request.session.get("user_id")
        if not user_id:
            return redirect("/login/")
        # 校验权限
        for reg in permission:
            reg="^%s$" % reg
            ret=re.search(reg,path)
            if ret:
                return None
        return HttpResponse("无权访问")

不要忘了将中间件的路径告诉配置文件

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    "app01.permission_middleware.SessionMiddleware",
]