快捷導(dǎo)航

Django 權(quán)限管理(permissions)與用戶組(group)詳解

更新時間：2020年11月30日 10:23:34 作者：大江狗

這篇文章主要介紹了Django 權(quán)限管理(permissions)與用戶組(group)詳解，文中通過示例代碼介紹的非常詳細，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

如果你只是利用Django開發(fā)個博客，大部分用戶只是閱讀你的文章而已，你可能根本用不到本節(jié)內(nèi)容。但是如果你想開發(fā)一個內(nèi)容管理系統(tǒng)，或用戶管理系統(tǒng)，你必需對用戶的權(quán)限進行管理和控制。Django自帶的權(quán)限機制(permissions)與用戶組(group)可以讓我們很方便地對用戶權(quán)限進行管理。小編我今天就嘗試以淺顯的語言來講解下如何使用Django自帶的權(quán)限管理機制。

什么是權(quán)限?

權(quán)限是能夠約束用戶行為和控制頁面顯示內(nèi)容的一種機制。一個完整的權(quán)限應(yīng)該包含3個要素: 用戶，對象和權(quán)限，即什么用戶對什么對象有什么樣的權(quán)限。

假設(shè)我們有一個應(yīng)用叫blog，其包含一個叫Article(文章)的模型。那么一個超級用戶一般會有如下4種權(quán)限，而一個普通用戶可能只有1種或某幾種權(quán)限，比如只能查看文章，或者能查看和創(chuàng)建文章但是不能修改和刪除。

查看文章(view)
創(chuàng)建文章(add)
更改文章(change)
刪除文章(delete)

我們在Django的admin中是可以很輕易地給用戶分配權(quán)限的。

Django Admin中的權(quán)限分配

Django中的用戶權(quán)限分配，主要通過Django自帶的Admin界面進行維護的。當(dāng)你編輯某個user信息時, 你可以很輕易地在User permissions欄為其設(shè)置對某些模型查看, 增加、更改和刪除的權(quán)限(如下圖所示)。

Django的權(quán)限permission本質(zhì)是djang.contrib.auth中的一個模型, 其與User的user_permissions字段是多對多的關(guān)系。當(dāng)我們在INSTALLED_APP里添加好auth應(yīng)用之后，Django就會為每一個你安裝的app中的模型(Model)自動創(chuàng)建4個可選的權(quán)限：view, add,change和delete。(注: Django 2.0前沒有view權(quán)限)。隨后你可以通過admin將這些權(quán)限分配給不同用戶。

查看用戶的權(quán)限

權(quán)限名一般有app名(app_label)，權(quán)限動作和模型名組成。以blog應(yīng)用為例，Django為Article模型自動創(chuàng)建的4個可選權(quán)限名分別為:

查看文章(view): blog.view_article
創(chuàng)建文章(add): blog.add_article
更改文章(change): blog.change_article
刪除文章(delete): blog.delete_article

在前例中，我們已經(jīng)通過Admin給用戶A(user_A)分配了創(chuàng)建文章和修改文章的權(quán)限。我們現(xiàn)在可以使用user.has_perm()方法來判斷用戶是否已經(jīng)擁有相應(yīng)權(quán)限。下例中應(yīng)該返回True。

user_A.has_perm('blog.add_article')
user_A.has_perm('blog.change_article')

如果我們要查看某個用戶所在用戶組的權(quán)限或某個用戶的所有權(quán)限(包括從用戶組獲得的權(quán)限)，我們可以使用get_group_permissions()和get_all_permissions()方法。

user_A.get_group_permissions()
user_A.get_all_permissions()

手動定義和分配權(quán)限(Permissions

有時django創(chuàng)建的4種可選權(quán)限滿足不了我們的要求，這時我們需要自定義權(quán)限。實現(xiàn)方法主要有兩種。下面我們將分別使用2種方法給Article模型新增了兩個權(quán)限，一個是publish_article, 一個是comment_article。

方法1. 在Model的meta屬性中添加permissions。

class Article(models.Model):
  ...
  class Meta:
    permissions = (
      ("publish_article", "Can publish article"),
      ("comment_article", "Can comment article"),
    )

方法2. 使用ContentType程序化創(chuàng)建permissions。

from blog.models import Article
from django.contrib.auth.models import Permission
from django.contrib.contenttypes.models import ContentType
 
content_type = ContentType.objects.get_for_model(article)
permission1 = Permission.objects.create(
  codename='publish_article',
  name='Can publish articles',
  content_type=content_type,
)
 
permission2 = Permission.objects.create(
  codename='comment_article',
  name='Can comment articles',
  content_type=content_type,
)

當(dāng)你使用python manage.py migrate命令后，你會發(fā)現(xiàn)Django admin的user permissions欄又多了兩個可選權(quán)限。

如果你不希望總是通過admin來給用戶設(shè)置權(quán)限，你還可以在代碼里手動給用戶分配權(quán)限。這里也有兩種實現(xiàn)方法。

方法1. 使用user.user_permissions.add()方法

myuser.user_permissions.add(permission1, permission2, ...)

方法2. 通過user所在的用戶組(group)給用戶增加權(quán)限

mygroup.permissions.add(permission1, permission2, ...)

如果你希望在代碼中移除一個用戶的權(quán)限，你可以使用remove或clear方法。

myuser.user_permissions.remove(permission, permission, ...)
myuser.user_permissions.clear()

注意權(quán)限的緩存機制

Django會緩存每個用戶對象，包括其權(quán)限user_permissions。當(dāng)你在代碼中手動改變一個用戶的權(quán)限后，你必須重新獲取該用戶對象，才能獲取最新的權(quán)限。

比如下例在代碼中給用戶手動增加了change_blogpost的權(quán)限，如果不重新載入用戶，那么將顯示用戶還是沒有change_blogpost的權(quán)限。

from django.contrib.auth.models import Permission, User
from django.contrib.contenttypes.models import ContentType
from django.shortcuts import get_object_or_404
 
from myapp.models import BlogPost
 
def user_gains_perms(request, user_id):
  user = get_object_or_404(User, pk=user_id)
  # any permission check will cache the current set of permissions
  user.has_perm('myapp.change_blogpost') 
 
  content_type = ContentType.objects.get_for_model(BlogPost)
  permission = Permission.objects.get(
    codename='change_blogpost',
    content_type=content_type,
  )
  user.user_permissions.add(permission)
 
  # Checking the cached permission set
  user.has_perm('myapp.change_blogpost') # False
 
  # Request new instance of User
  # Be aware that user.refresh_from_db() won't clear the cache.
  user = get_object_or_404(User, pk=user_id)
 
  # Permission cache is repopulated from the database
  user.has_perm('myapp.change_blogpost') # True

用戶權(quán)限的驗證(Validation)

我們前面講解了用戶權(quán)限的創(chuàng)建和設(shè)置，現(xiàn)在我們將進入關(guān)鍵一環(huán)，用戶權(quán)限的驗證。我們在分配好權(quán)限后，我們還需要在視圖views.py和模板里驗證用戶是否具有相應(yīng)的權(quán)限，否則前面設(shè)置的權(quán)限形同虛設(shè)。這就是為什么我們前面很多django實戰(zhàn)案例里，沒有給用戶分配某個模型的add和change權(quán)限，用戶還是還能創(chuàng)建和編輯對象的原因。

1. 視圖中驗證

在視圖中你當(dāng)然可以使用user.has_perm方法對一個用戶的權(quán)限進行直接驗證。當(dāng)然一個更好的方法是使用@permission_required這個裝飾器。

permission_required(perm, login_url=None, raise_exception=False)

你如果指定了login_url, 用戶會被要求先登錄。如果你設(shè)置了raise_exception=True, 會直接返回403無權(quán)限的錯誤，而不會跳轉(zhuǎn)到登錄頁面。使用方法如下所示:

from django.contrib.auth.decorators import permission_required
 
@permission_required('polls.can_vote')
def my_view(request):
  ...

如果你使用基于類的視圖(Class Based View), 而不是函數(shù)視圖，你需要繼承PermissionRequiredMixin這個類，如下所示:

from django.contrib.auth.mixins import PermissionRequiredMixin
 
class MyView(PermissionRequiredMixin, View):
  permission_required = 'polls.can_vote'
  # Or multiple of permissions:
  permission_required = ('polls.can_open', 'polls.can_edit')

2. 模板中驗證

在模板中驗證用戶權(quán)限主要需要學(xué)會使用perms這個全局變量。perms對當(dāng)前用戶的user.has_module_perms和user.has_perm方法進行了封裝。當(dāng)我們需要判斷當(dāng)前用戶是否擁有blog應(yīng)用下的所有權(quán)限時，我們可以使用:

{{ perms.blog }}

我們?nèi)绻袛喈?dāng)前用戶是否擁有blog應(yīng)用下發(fā)表文章討論的權(quán)限，則使用:

{{ perms.blog.comment_article }}

這樣結(jié)合template的if標(biāo)簽，我們可以通過判斷當(dāng)前用戶所具有的權(quán)限，顯示不同的內(nèi)容了.

{% if blog.article %}
  <p>You have permission to do something in this blog app.</p>
  {% if perms.blog.add_article %}
    <p>You can add articles.</p>
  {% endif %}
  {% if perms.blog.comment_article %}
    <p>You can comment articles!</p>
  {% endif %}
{% else %}
  <p>You don't have permission to do anything in the blog app.</p>
{% endif %}

用戶組(Group)

用戶組(Group)和User模型是多對多的關(guān)系。其作用在權(quán)限控制時可以批量對用戶的權(quán)限進行管理和分配，而不用一個一個用戶分配，節(jié)省工作量。將一個用戶加入到一個Group中后，該用戶就擁有了該Group所分配的所有權(quán)限。例如，如果一個用戶組editors有權(quán)限change_article, 那么所有屬于editors組的用戶都會有這個權(quán)限。

將用戶添加到用戶組或者給用戶組(group)添加權(quán)限，一般建議直接通過django admin進行。如果你希望手動給group添加或刪除權(quán)限，你可以使用如下方法。

mygroup.permissions = [permission_list]
mygroup.permissions.add(permission, permission, ...)
mygroup.permissions.remove(permission, permission, ...)
mygroup.permissions.clear()

如果你要將某個用戶移除某個用戶組，可以使用如下方法。

myuser.groups.remove(group, group, ...) #
myuser.groups.clear()

Django自帶權(quán)限機制的不足

Django自帶的權(quán)限機制是針對模型的，這就意味著一個用戶如果對Article模型有change的權(quán)限，那么該用戶獲得對所有文章對象進行修改的權(quán)限。如果我們希望實現(xiàn)對單個文章對象的權(quán)限管理，我們需要借助于第三方庫比如django guardian。至于該庫的使用，我們以后再詳細介紹。

到此這篇關(guān)于Django 權(quán)限管理(permissions)與用戶組(group)詳解的文章就介紹到這了,更多相關(guān)Django 權(quán)限管理與用戶組內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: