Django权限管理
Django用user, group和permission完成了权限机制,这个权限机制是将属于model的某个permission赋予user或group,可以理解为全局的权限,即如果用户A对数据模型(model)B有可写权限,那么A能修改model B的所有实例(objects)。group的权限也是如此,如果为group C 赋予model B的可写权限,则隶属于group C 的所有用户,都可以修改model B的所有实例。
安装
与Django内置认证系统中介绍的一样, Django的权限管理和认证一起打包在 Django 的 django.contrib.auth 应用中。默认情况下,django-admin startproject 生成的 settings.py 中已包含所需的配置,这些配置由 INSTALLED_APPS 设置中列出的两个项目组成:
django.contrib.auth包含认证框架的核心及其默认模型。django.contrib.contenttypes是Django 内容类型系统,它允许将权限与您创建的模型相关联。
以及MIDDLEWARE设置中的以下项目:
SessionMiddleware跨请求管理 会话;AuthenticationMiddleware使用会话将用户与请求相关联。
拥有这些配置后,运行命令python manage.py makemigrations及python manage.py migrate迁移完成数据库之后,根据配置文件settings.py中的数据库段生成的数据表中已经包含了6张进行认证的数据表,分别是:
- auth_user
- auth_group
- auth_group_permissions
- auth_permission
- auth_user_groups
- auth_user_user_permissions
User
User是auth模块中维护用户信息的关系模式(继承了models.Model), 数据库中该表被命名为auth_user.
在Django认证系统 中有对其详细介绍。
Group
django.contrib.auth.models.Group定义了用户组的模型, 每个用户组拥有id和name两个字段, 该模型在数据库被映射为auth_group数据表。
来,看一下其定义的源代码:
class Group(models.Model):
"""
Groups are a generic way of categorizing users to apply permissions, or
some other label, to those users. A user can belong to any number of
groups.
A user in a group automatically has all the permissions granted to that
group. For example, if the group 'Site editors' has the permission
can_edit_home_page, any user in that group will have that permission.
Beyond permissions, groups are a convenient way to categorize users to
apply some label, or extended functionality, to them. For example, you
could create a group 'Special users', and you could write code that would
do special things to those users -- such as giving them access to a
members-only portion of your site, or sending them members-only email
messages.
"""
name = models.CharField(_('name'), max_length=80, unique=True)
permissions = models.ManyToManyField(
Permission,
verbose_name=_('permissions'),
blank=True,
)
objects = GroupManager()
class Meta:
verbose_name = _('group')
verbose_name_plural = _('groups')
def __str__(self):
return self.name
def natural_key(self):
return (self.name,)
可以看到Group对象还有一个名为permissions的多对多的字段,多对多关系由auth_group_permissions数据表维护。
而在User对象中,其继承自AbstractUser,而AbstractUser的父类中有PermissionsMixin,在PermissionsMixin中有一个groups的多对多字段,多对多关系有auth_user_groups数据库表维护。Group对象可以通过user_set反向查询用户组中的用户。
我们可以通过创建删除Group对象来添加或删除用户组:
# add
group = Group.objects.create(name=group_name)
group.save()
# del
group.delete()
我们可以通过标准的多对多字段操作管理用户与用户组的关系:
#用户加入用户组
user.groups.add(group)
#或者
group.user_set.add(user)
#用户退出用户组
user.groups.remove(group)
#或者
group.user_set.remove(user)
#用户退出所有用户组
user.groups.clear()
#用户组中所有用户退出组
group.user_set.clear()
Permisssion
Permisssion
Django的auth系统提供了模型级的权限控制, 即可以检查用户是否对某个数据表拥有增(add), 改(change), 删(delete)权限。 首先,还是来看看其源代码:
class Permission(models.Model):
"""
The permissions system provides a way to assign permissions to specific
users and groups of users.
The permission system is used by the Django admin site, but may also be
useful in your own code. The Django admin site uses permissions as follows:
- The "add" permission limits the user's ability to view the "add" form
and add an object.
- The "change" permission limits a user's ability to view the change
list, view the "change" form and change an object.
- The "delete" permission limits the ability to delete an object.
Permissions are set globally per type of object, not per specific object
instance. It is possible to say "Mary may change news stories," but it's
not currently possible to say "Mary may change news stories, but only the
ones she created herself" or "Mary may only change news stories that have a
certain status or publication date."
Three basic permissions -- add, change and delete -- are automatically
created for each Django model.
"""
name = models.CharField(_('name'), max_length=255)
content_type = models.ForeignKey(
ContentType,
models.CASCADE,
verbose_name=_('content type'),
)
codename = models.CharField(_('codename'), max_length=100)
objects = PermissionManager()
class Meta:
verbose_name = _('permission')
verbose_name_plural = _('permissions')
unique_together = (('content_type', 'codename'),)
ordering = ('content_type__app_label', 'content_type__model',
'codename')
def __str__(self):
return "%s | %s | %s" % (
self.content_type.app_label,
self.content_type,
self.name,
该模型在数据库中被保存为auth_permission数据表。可以看到Permisssion包含三个字段name,codename和content_type,其中 content_type反应了permission属于哪个model,codename用于代码逻辑中检查权限,name是permission的描述,将permission打印到屏幕或页面时默认显示的就是name。
Django定义每个model后,默认都会添加该model的add, change和delete三个permission。
权限管理
User Permission
User对象的user_permission字段管理用户的权限:
myuser.user_permissions = [permission_list]
myuser.user_permissions.add(permission, permission, ...) #增加权限
myuser.user_permissions.remove(permission, permission, ...) #删除权限
myuser.user_permissions.clear() #清空权限
上面的permission为django.contrib.auth.Permission类型的实例
Group Permission
group permission管理逻辑与user permission管理一致,group中使用permissions字段做权限管理:
group.permissions = [permission_list]
group.permissions.add(permission, permission, ...)
group.permissions.remove(permission, permission, ...)
group.permissions.clear()
上面的permission为django.contrib.auth.Permission类型的实例. 附注:
- user.get_all_permissions()方法列出用户的所有权限,返回值是permission name的list ;
- user.get_group_permissions()方法列出用户所属group的权限,返回值是permission name的list
权限检查
has_perm
检查用户权限用has_perm()方法,若拥有权限则返回True:
myuser.has_perm('myapp.fix_car')
has_perm()方法的参数,即permission的codename,但传递参数时需要加上model 所属app的前缀,格式为<app label>.<permission codename>。
无论permission赋予user还是group,has_perm()方法均适用。
permission_required 装饰器
has_perm仅是进行权限检查, 即是用户没有权限它也不会阻止程序员执行相关操作。
@permission_required装饰器可以代替has_perm并在用户没有相应权限时重定向到登录页或者抛出异常。
# permission_required(perm[, login_url=None, raise_exception=False])
@permission_required('blog.add_article')
def post_article(request):
pass
Template中的权限检查
Template中使用全局变量perms存储当前用户的所有权限,权限检查可以参考下面例子:
{% if perms.main.add_page %}
<li class="dropdown">
<a href="#" rel="external nofollow" class="dropdown-toggle" data-toggle="dropdown" role="button" aria-expanded="false">Pages <span class="caret"></span></a>
<ul class="dropdown-menu" role="menu">
<li><a href="{% url 'main:admin_pages' %}" rel="external nofollow" >All Pages</a></li>
<li><a href="{% url 'main:admin_page' %}" rel="external nofollow" >New Page</a></li>
<li><a href="{% url 'main:admin_pages' %}?draft=true" rel="external nofollow" >Drafts</a></li>
</ul>
</li>
{% endif %}
自定义权限
定义model时手动添加:
class Task(models.Model):
...
class Meta:
permissions = (
("view_task", "Can see available tasks"),
("change_task_status", "Can change the status of tasks"),
("close_task", "Can remove a task by setting its status as closed"),
)
view_task为codename, Can see available tasks为name
函数逻辑实现
在model中创建自定义权限,从系统开发的角度,可理解为创建系统的内置权限,如果需求中涉及到用户使用系统时创建自定义权限,则要通过下面方法:
from myapp.models import BlogPost
from django.contrib.auth.models import Permission
from django.contrib.contenttypes.models import ContentType
content_type = ContentType.objects.get_for_model(BlogPost)
permission = Permission.objects.create(codename='can_publish',
name='Can Publish Posts',
content_type=content_type)
对象权限
Django自带的权限机制只能解决一些简单的应用需求,而大部分应用场景下,需要更细分的权限机制。以博客系统为例,博客系统的用户可分为『管理员』、『编辑』、『作者』和『读者』四个用户组;博客系统管理员和编辑具有查看、修改和删除所有的文章的权限,作者只能修改和删除自己写的文章,而读者则只有阅读权限。管理员、编辑和读者的权限,我们可以用全局权限做控制,而对于作者,全局权限无法满足需求,仅通过全局权限,要么允许作者编辑不属于自己的文章,要么让作者连自己的文章都无法修改。
上述的应用场景,Django自带的权限机制无法满足需求,需要引入另一种更细的权限机制:对象权限(object permission)。
Object Permission是一种对象颗粒度上的权限机制,它允许为每个具体对象授权。仍沿用最开始的例子,如果model B有三个实例 B1,B2 和B3,如果我们把B1的可写权限赋予用户A,则A可以修改B1对象,而对B2,B3无法修改。
对group也一样,如果将B2的可写权限赋予group C,则隶属于group C的所有用户均可以修改B2,但无法修改B1和B3。结合Django自带权限机制和object permission,博客系统中作者的权限控制迎刃而解:系统全局上不允许作者编辑文章,而对于属于作者的具体文章,赋予编辑权限即可。
Django其实包含了object permission的框架,但没有具体实现,object permission的实现需要借助第三方app django-guardian,我们在开发中用调用django guradian封装好的方法即可。
关于Django-guardian的使用,会在下一篇文章Django-guardian对象权限管理中介绍。