Xadmin权限管理

Posted zgf-666

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Xadmin权限管理相关的知识,希望对你有一定的参考价值。

需求分析:
1.判断用户是否登陆,未登陆就不能进入其他页面
2.为用户分配不同的权限,用户的操作只能在权限范围之内
3.将用户可操作的权限显示在页面山,点击能进入该页面操作

  模型表的建立   

1.对每个用户建立角色,每个角色有着不同的权限
2.权限的字段要设有相应的权限操作路径和操作名称
3.用户可有多个角色,每个角色可有多个用户。用户和角色:ManyToMany
4.每个角色可有多个权限,同一个权限也可被多个用户使用 角色和权限:ManyToMany
from django.db import models
# Create your models here.
class UseInfo(models.Model):
    username=models.CharField(max_length=25,verbose_name=用户名)
    passwd=models.CharField(max_length=25,verbose_name=密码)
    roles=models.ManyToManyField(to="Role",verbose_name=角色)
    def __str__(self):
        return self.username
class Role(models.Model):
    title=models.CharField(max_length=32,verbose_name=角色)
    permissions=models.ManyToManyField(to="Permission",verbose_name=权限)
    def __str__(self):
        return self.title
class Permission(models.Model):
    title=models.CharField(max_length=32,verbose_name="权限")
    url=models.CharField(max_length=255,verbose_name="执行路径")
    code=models.CharField(max_length=32,verbose_name=权限代号)
    def __str__(self):
        return self.title

  2.用户登陆后,设置session  

用户登陆之后,将用户id和权限注册到session中
if user:
    # 向session注入user信息
    request.session["user_id"] = user.pk
    # 向session注入当前登录人的权限列表
    from Rbac.service.rbac import init_permission
    init_permission(user,request)
    return redirect("/index/")

用建个py文件注册用户权限

def init_permission(user,request):
    ##多对多的关系,因此使用all
    permissions=user.roles.all().values("permissions__url","permissions__title","permissions__code")
    #print(permissions)
    #< QuerySet[{permissions__url: /Xadmin/Rbac/useinfo/, permissions__title: 查看用户, permissions__code: list}
    permission_list=[]
    for perm in permissions:
        permission_list.append(perm.get("permissions__url"))
    #将权限注册到session中
    request.session["permission_list"] = permission_list

  3.设置中间件  

对用户的请求做出判断,判断出该用户当前请求是否符合要求,对于用户的每次请求,设置中间件来判断
1.登陆,主页,这些路径不设置验证,让所有用户都可访问
white_url=["/login/","/index/"]
        if current_path in white_url:
            return None
2.进入查看,修改页面时,判断是否有这些权限
[/Xadmin/Rbac/useinfo/, /Xadmin/Rbac/useinfo/add/, /Xadmin/Rbac/useinfo/change/(\d+)/, /Xadmin/Rbac/useinfo/del/(\d+)/]
  permission_list=request.session.get("permission_list")
        print("他是:",permission_list)
        if  current_path not in permission_list:
            return HttpResponse("没有权限")

但是在点击编辑和删除时,却显示没有权限,原因?
点编辑和删除时由于有参数,回显示具体的值,/Xadmin/Rbac/useinfo/change/1/,而permission_list中给却是‘/Xadmin/Rbac/useinfo/change/(\d+)/‘
因此匹配不上,显示无权限。应该用正则匹配完成
permission_list=request.session.get("permission_list")
for permission in permission_list:
    ret=re.search(permission,current_path)
    if ret:return None
return HttpResponse("没有权限")
此时更换用户,此用户只有查看权限:
[‘/Xadmin/Rbac/useinfo/‘, ‘/Xadmin/Rbac/role/‘]
在访问/Xadmin/Rbac/role/add/时,却能访问成功,原因?
在匹配时,匹配的规则是/Xadmin/Rbac/role/,匹配对象/Xadmin/Rbac/role/add/,只要对象中有/Xadmin/Rbac/role/就回匹配成功
因此要限制匹配对象开始值和结束值
for permission in permission_list:
        permission="^%s$"%permission
        ret=re.search(permission,current_path)
        if ret:return None
    return HttpResponse("没有权限")

3.设置admin

 

让所有用户都能进入admin,因此将admin设置到白名单中,此时若仍用下面这种该方法,会出问题
white_url=["/login/","/index/","/admin/"]
if current_path in white_url:
return None
进入admin后,会发现地址栏出现变化:/admin/login/?next=/admin/
此时在用in,则当前地址匹配不到admin,因此在匹配时,让用正则进行匹配
white_url=["/login/","/index/","/admin/*"]
        for url in white_url:
            url="^%s"%url
            ret=re.search(url,current_path)
            if ret:return None
由于admin有参数,此时不能加$
设置中间件
技术分享图片
from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import redirect,HttpResponse,render
import re
class ValidPermission( MiddlewareMixin):
    def process_request(self,request):
        ##查看当前路径
        #print("path",request.path)
        current_path=request.path
        #登陆,主页,admin这些路径不设置验证,让所有用户都可访问
        white_url=["/login/","/index/","/admin/*"]
        for url in white_url:
            url="^%s"%url
            ret=re.search(url,current_path)
            if ret:return None
        ##判断是否登陆
        is_login=request.session.get("user_id")
        if not is_login:
            return redirect("/login/")
        ##进入查看,修改页面时,判断是否有这些权限##
        permission_list=request.session.get("permission_list")
        print("他是:",permission_list)
        for permission in permission_list:
            permission="^%s$"%permission
            ret=re.search(permission,current_path)
            if ret:return None
        return HttpResponse("没有权限")
View Code

4.页面左侧显示该用户的权限

显示的权限名是个a标签,当点击时,执行该操作,因此,编辑和删除权限不能显示出来。
在向session中注册时,将添加和查看的url和对应的操作名也注册进去,但是谮言给判断当前url时哪种操作?
可以为权限表新添个code字段,来描述url,如增加操作,就将code设置为add,显示操作,设置为list,通过判断code字段进行添加
def init_permission(user,request):
    ##多对多的关系,因此使用all
    permissions=user.roles.all().values("permissions__url","permissions__title","permissions__code")
    #print(permissions)
    #< QuerySet[{permissions__url: /Xadmin/Rbac/useinfo/, permissions__title: 查看用户, permissions__code: list}
    permission_list=[]
    menu_permission={}
    for perm in permissions:
        permission_list.append(perm.get("permissions__url"))
        if perm.get("permissions__code")=="list" or perm.get("permissions__code")=="add":
            menu_permission[ perm.get("permissions__title")]=perm.get("permissions__url")
    #将权限注册到session中
    request.session["permission_list"] = permission_list
    request.session["menu_permission"]= menu_permission
在页面上将权限菜单显示在左边,应将其固定,即页面往下拉时,该菜单仍在这个位置,要用到 position: fixed这个属性,
对于文本内容用到overflow: auto和 position: fixed
 
 

 

 
 
 

 

 
 

 

 
 
 






























以上是关于Xadmin权限管理的主要内容,如果未能解决你的问题,请参考以下文章

Django-xadmin+rule对象级权限的实现

Django+xadmin打造在线教育平台

Django 后台管理xadmin

在线教育平台:Xadmin快速搭建后台管理系统

flask后台用户权限管理

xadmin 添加自定义权限