Xadmin权限管理
Posted zgf-666
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Xadmin权限管理相关的知识,希望对你有一定的参考价值。
需求分析:
1.判断用户是否登陆,未登陆就不能进入其他页面
2.为用户分配不同的权限,用户的操作只能在权限范围之内
3.将用户可操作的权限显示在页面山,点击能进入该页面操作
模型表的建立
1.对每个用户建立角色,每个角色有着不同的权限
2.权限的字段要设有相应的权限操作路径和操作名称
3.用户可有多个角色,每个角色可有多个用户。用户和角色:ManyToMany
4.每个角色可有多个权限,同一个权限也可被多个用户使用 角色和权限:ManyToMany
from django.db import models # Create your models here. class UseInfo(models.Model): username=models.CharField(max_length=25,verbose_name=‘用户名‘) passwd=models.CharField(max_length=25,verbose_name=‘密码‘) roles=models.ManyToManyField(to="Role",verbose_name=‘角色‘) def __str__(self): return self.username class Role(models.Model): title=models.CharField(max_length=32,verbose_name=‘角色‘) permissions=models.ManyToManyField(to="Permission",verbose_name=‘权限‘) def __str__(self): return self.title class Permission(models.Model): title=models.CharField(max_length=32,verbose_name="权限") url=models.CharField(max_length=255,verbose_name="执行路径") code=models.CharField(max_length=32,verbose_name=‘权限代号‘) def __str__(self): return self.title
2.用户登陆后,设置session
用户登陆之后,将用户id和权限注册到session中
if user: # 向session注入user信息 request.session["user_id"] = user.pk # 向session注入当前登录人的权限列表 from Rbac.service.rbac import init_permission init_permission(user,request) return redirect("/index/")
用建个py文件注册用户权限
def init_permission(user,request): ##多对多的关系,因此使用all permissions=user.roles.all().values("permissions__url","permissions__title","permissions__code") #print(permissions) #< QuerySet[{‘permissions__url‘: ‘/Xadmin/Rbac/useinfo/‘, ‘permissions__title‘: ‘查看用户‘, ‘permissions__code‘: ‘list‘} permission_list=[] for perm in permissions: permission_list.append(perm.get("permissions__url")) #将权限注册到session中 request.session["permission_list"] = permission_list
3.设置中间件
对用户的请求做出判断,判断出该用户当前请求是否符合要求,对于用户的每次请求,设置中间件来判断
1.登陆,主页,这些路径不设置验证,让所有用户都可访问
white_url=["/login/","/index/"] if current_path in white_url: return None
2.进入查看,修改页面时,判断是否有这些权限
[‘/Xadmin/Rbac/useinfo/‘, ‘/Xadmin/Rbac/useinfo/add/‘, ‘/Xadmin/Rbac/useinfo/change/(\d+)/‘, ‘/Xadmin/Rbac/useinfo/del/(\d+)/‘] permission_list=request.session.get("permission_list") print("他是:",permission_list) if current_path not in permission_list: return HttpResponse("没有权限")
但是在点击编辑和删除时,却显示没有权限,原因?
点编辑和删除时由于有参数,回显示具体的值,/Xadmin/Rbac/useinfo/change/1/,而permission_list中给却是‘/Xadmin/Rbac/useinfo/change/(\d+)/‘
因此匹配不上,显示无权限。应该用正则匹配完成
permission_list=request.session.get("permission_list") for permission in permission_list: ret=re.search(permission,current_path) if ret:return None return HttpResponse("没有权限")
此时更换用户,此用户只有查看权限:
[‘/Xadmin/Rbac/useinfo/‘, ‘/Xadmin/Rbac/role/‘]
在访问/Xadmin/Rbac/role/add/时,却能访问成功,原因?
在匹配时,匹配的规则是/Xadmin/Rbac/role/,匹配对象/Xadmin/Rbac/role/add/,只要对象中有/Xadmin/Rbac/role/就回匹配成功
因此要限制匹配对象开始值和结束值
for permission in permission_list: permission="^%s$"%permission ret=re.search(permission,current_path) if ret:return None return HttpResponse("没有权限")
3.设置admin
让所有用户都能进入admin,因此将admin设置到白名单中,此时若仍用下面这种该方法,会出问题
white_url=["/login/","/index/","/admin/"]
if current_path in white_url:
return None
进入admin后,会发现地址栏出现变化:/admin/login/?next=/admin/
此时在用in,则当前地址匹配不到admin,因此在匹配时,让用正则进行匹配
white_url=["/login/","/index/","/admin/*"] for url in white_url: url="^%s"%url ret=re.search(url,current_path) if ret:return None
由于admin有参数,此时不能加$
设置中间件
from django.utils.deprecation import MiddlewareMixin from django.shortcuts import redirect,HttpResponse,render import re class ValidPermission( MiddlewareMixin): def process_request(self,request): ##查看当前路径 #print("path",request.path) current_path=request.path #登陆,主页,admin这些路径不设置验证,让所有用户都可访问 white_url=["/login/","/index/","/admin/*"] for url in white_url: url="^%s"%url ret=re.search(url,current_path) if ret:return None ##判断是否登陆 is_login=request.session.get("user_id") if not is_login: return redirect("/login/") ##进入查看,修改页面时,判断是否有这些权限## permission_list=request.session.get("permission_list") print("他是:",permission_list) for permission in permission_list: permission="^%s$"%permission ret=re.search(permission,current_path) if ret:return None return HttpResponse("没有权限")
4.页面左侧显示该用户的权限
显示的权限名是个a标签,当点击时,执行该操作,因此,编辑和删除权限不能显示出来。
在向session中注册时,将添加和查看的url和对应的操作名也注册进去,但是谮言给判断当前url时哪种操作?
可以为权限表新添个code字段,来描述url,如增加操作,就将code设置为add,显示操作,设置为list,通过判断code字段进行添加
def init_permission(user,request): ##多对多的关系,因此使用all permissions=user.roles.all().values("permissions__url","permissions__title","permissions__code") #print(permissions) #< QuerySet[{‘permissions__url‘: ‘/Xadmin/Rbac/useinfo/‘, ‘permissions__title‘: ‘查看用户‘, ‘permissions__code‘: ‘list‘} permission_list=[] menu_permission={} for perm in permissions: permission_list.append(perm.get("permissions__url")) if perm.get("permissions__code")=="list" or perm.get("permissions__code")=="add": menu_permission[ perm.get("permissions__title")]=perm.get("permissions__url") #将权限注册到session中 request.session["permission_list"] = permission_list request.session["menu_permission"]= menu_permission
在页面上将权限菜单显示在左边,应将其固定,即页面往下拉时,该菜单仍在这个位置,要用到 position: fixed这个属性,
对于文本内容用到overflow: auto和 position: fixed
以上是关于Xadmin权限管理的主要内容,如果未能解决你的问题,请参考以下文章