zoukankan      html  css  js  c++  java
  • Xadmin权限管理

    需求分析:
    1.判断用户是否登陆,未登陆就不能进入其他页面
    2.为用户分配不同的权限,用户的操作只能在权限范围之内
    3.将用户可操作的权限显示在页面山,点击能进入该页面操作

      模型表的建立   

    1.对每个用户建立角色,每个角色有着不同的权限
    2.权限的字段要设有相应的权限操作路径和操作名称
    3.用户可有多个角色,每个角色可有多个用户。用户和角色:ManyToMany
    4.每个角色可有多个权限,同一个权限也可被多个用户使用 角色和权限:ManyToMany
    复制代码
    from django.db import models
    # Create your models here.
    class UseInfo(models.Model):
        username=models.CharField(max_length=25,verbose_name='用户名')
        passwd=models.CharField(max_length=25,verbose_name='密码')
        roles=models.ManyToManyField(to="Role",verbose_name='角色')
        def __str__(self):
            return self.username
    class Role(models.Model):
        title=models.CharField(max_length=32,verbose_name='角色')
        permissions=models.ManyToManyField(to="Permission",verbose_name='权限')
        def __str__(self):
            return self.title
    class Permission(models.Model):
        title=models.CharField(max_length=32,verbose_name="权限")
        url=models.CharField(max_length=255,verbose_name="执行路径")
        code=models.CharField(max_length=32,verbose_name='权限代号')
        def __str__(self):
            return self.title
    复制代码
    
    

      2.用户登陆后,设置session  

    用户登陆之后,将用户id和权限注册到session中
    复制代码
    if user:
        # 向session注入user信息
        request.session["user_id"] = user.pk
        # 向session注入当前登录人的权限列表
        from Rbac.service.rbac import init_permission
        init_permission(user,request)
        return redirect("/index/")
    复制代码

    用建个py文件注册用户权限

    复制代码
    def init_permission(user,request):
        ##多对多的关系,因此使用all
        permissions=user.roles.all().values("permissions__url","permissions__title","permissions__code")
        #print(permissions)
        #< QuerySet[{'permissions__url': '/Xadmin/Rbac/useinfo/', 'permissions__title': '查看用户', 'permissions__code': 'list'}
        permission_list=[]
        for perm in permissions:
            permission_list.append(perm.get("permissions__url"))
        #将权限注册到session中
        request.session["permission_list"] = permission_list
    复制代码

      3.设置中间件  

    对用户的请求做出判断,判断出该用户当前请求是否符合要求,对于用户的每次请求,设置中间件来判断
    1.登陆,主页,这些路径不设置验证,让所有用户都可访问
    white_url=["/login/","/index/"]
            if current_path in white_url:
                return None
    2.进入查看,修改页面时,判断是否有这些权限
    ['/Xadmin/Rbac/useinfo/', '/Xadmin/Rbac/useinfo/add/', '/Xadmin/Rbac/useinfo/change/(\d+)/', '/Xadmin/Rbac/useinfo/del/(\d+)/']
      permission_list=request.session.get("permission_list")
            print("他是:",permission_list)
            if  current_path not in permission_list:
                return HttpResponse("没有权限")
    
    
    但是在点击编辑和删除时,却显示没有权限,原因?
    点编辑和删除时由于有参数,回显示具体的值,/Xadmin/Rbac/useinfo/change/1/,而permission_list中给却是'/Xadmin/Rbac/useinfo/change/(\d+)/'
    因此匹配不上,显示无权限。应该用正则匹配完成
    permission_list=request.session.get("permission_list")
    for permission in permission_list:
        ret=re.search(permission,current_path)
        if ret:return None
    return HttpResponse("没有权限")
    此时更换用户,此用户只有查看权限:
    ['/Xadmin/Rbac/useinfo/', '/Xadmin/Rbac/role/']
    在访问/Xadmin/Rbac/role/add/时,却能访问成功,原因?
    在匹配时,匹配的规则是/Xadmin/Rbac/role/,匹配对象/Xadmin/Rbac/role/add/,
    匹配的结果为/Xadmin/Rbac/role/,ret为真,会通过验证

    因此要限制匹配对象开始值和结束值
    for permission in permission_list:
            permission="^%s$"%permission
            ret=re.search(permission,current_path)
            if ret:return None
        return HttpResponse("没有权限")

    3.设置admin

    让所有用户都能进入admin,因此将admin设置到白名单中,此时若仍用下面这种该方法,会出问题
    white_url=["/login/","/index/","/admin/"]
    if current_path in white_url:
    return None
    进入admin后,会发现地址栏出现变化:/admin/login/?next=/admin/
    此时在用in,则当前地址匹配不到admin,因此在匹配时,让用正则进行匹配
    white_url=["/login/","/index/","/admin/*"]
            for url in white_url:
                url="^%s"%url
                ret=re.search(url,current_path)
                if ret:return None
    由于admin有参数,此时不能加$
    设置中间件
     View Code
    
    

    4.页面左侧显示该用户的权限

    显示的权限名是个a标签,当点击时,执行该操作,因此,编辑和删除权限不能显示出来。
    在向session中注册时,将添加和查看的url和对应的操作名也注册进去,但是谮言给判断当前url时哪种操作?
    可以为权限表新添个code字段,来描述url,如增加操作,就将code设置为add,显示操作,设置为list,通过判断code字段进行添加
    复制代码
    def init_permission(user,request):
        ##多对多的关系,因此使用all
        permissions=user.roles.all().values("permissions__url","permissions__title","permissions__code")
        #print(permissions)
        #< QuerySet[{'permissions__url': '/Xadmin/Rbac/useinfo/', 'permissions__title': '查看用户', 'permissions__code': 'list'}
        permission_list=[]
        menu_permission={}
        for perm in permissions:
            permission_list.append(perm.get("permissions__url"))
            if perm.get("permissions__code")=="list" or perm.get("permissions__code")=="add":
                menu_permission[ perm.get("permissions__title")]=perm.get("permissions__url")
        #将权限注册到session中
        request.session["permission_list"] = permission_list
        request.session["menu_permission"]= menu_permission
    复制代码
    在页面上将权限菜单显示在左边,应将其固定,即页面往下拉时,该菜单仍在这个位置,要用到 position: fixed这个属性,
    对于文本内容用到overflow: auto和 position: fixed
  • 相关阅读:
    软件项目功能测试框架(转载自51Testing软件测试)
    【性能测试】服务器资源监测工具sar安装
    Fiddler对https抓包时,提示"HTTPS decryption is disabled."原因及破解
    Postgresql空库发布或者部分空库,模式,表处理备份流程
    PostgreSQL完整备份与还原过程
    Excel:一列是源值随机加减某随机值,变为另一列的数值
    Postgresql个人维护库时,出现有用户在连接又找不到这个用户是谁的强制中断连接的方法;
    切换或者用户登录时 出现 显示 -bash-4.2$ 问题 的解决
    postgresql 9.4.4 源码安装
    搜索项中,文案修改导致搜索无法使用
  • 原文地址:https://www.cnblogs.com/wangchuang/p/10871107.html
Copyright © 2011-2022 走看看