权限管理顾名思义,其实就是角色控制权限的系统,每个用户对应一个角色,每个角色有对应的权限,比如公司会有CEO,总监,销售经理,销售员,每个人的权限都不一样,那我们给他展示的url也都不同
一、首先创建项目,再创建一个名为rbac的app
修改配置文件settings,将css以及js、img等放到static文件夹下
二、表结构设计
设计表:
创建五个类,七张表:
菜单表,权限组,权限表,用户表,角色表,
角色表和权限表是多对多的关系(一个角色可以有多个权限,一个权限可以对应多个角色)
用户表和角色表是多对多的关系(一个用户可以有多个角色,一个角色有多个用户)
models.py
from django.db import models
# 菜单组
class Menu(models.Model):
title = models.CharField(verbose_name='菜单组', max_length=32)
class Meta:
verbose_name_plural = '菜单表'
def __str__(self):
return self.title
# 权限组
class Group(models.Model):
title = models.CharField(verbose_name='权限标题', max_length=32)
menu = models.ForeignKey(verbose_name='所属菜单', to='Menu', default=1)
class Meta:
verbose_name_plural= '权限组表'
def __str__(self):
return self.title
# 权限表
class Permission(models.Model):
title = models.CharField(verbose_name='标题', max_length=128)
url = models.CharField(verbose_name='含正则表达式的URL', max_length=128)
menu_gp = models.ForeignKey(verbose_name='组内权限', to='Permission', null=True, blank=True, related_name='x1')
code = models.CharField(verbose_name='权限代号', max_length=32)
group = models.ForeignKey(verbose_name='所属组', to='Group')
class Meta:
verbose_name_plural= '权限表'
def __str__(self):
return self.title
# 用户表
class UserInfo(models.Model):
username = models.CharField(verbose_name='用户名', max_length=32)
password = models.CharField(verbose_name='密码',max_length=64)
user_role = models.ManyToManyField(verbose_name='用户角色', to='Role', blank=True)
class Meta:
verbose_name_plural= '用户表'
def __str__(self):
return self.username
# 角色表
class Role(models.Model):
position = models.CharField(verbose_name='职位', max_length=32)
permissions = models.ManyToManyField(verbose_name='角色权限', to='Permission', blank=True)
class Meta:
verbose_name_plural= '角色表'
def __str__(self):
return self.position
我们一般是先看到的是列表页面,在这个页面上是否显示添加,是否显示编辑,是否显示删除,都是需要判断的, 有无添加权限,有无删除权限,有无编辑权限,我们可以给每一个url一个代号,将代号取出来放在一个列表里面
dict = {
'5': {
'codes': ['list', 'add', 'edit', 'del'],
'urls': ['/userinfo/', '/userinfo/add/', '/userinfo/(\d+)/change/', '/userinfo/(\d+)/delete/']
},
'1': {
'codes': ['list', 'add', 'edit', 'del'],
'urls': ['/order/', '/order/add/', '/order/(\d+)/change/', '/order/(\d+)/delete/']
}
}
把这个字典存到session中当你访问页面的时候我就知道你有什么权限一个url对应一个code 多个url对应一个组.
三、通过Django-admin录入数据
先创建一个超级用户:python3 manage.py createsuperuser
用户名:root
密码:a123456
在admin.py中做如下配置:
from django.contrib import admin from . import models admin.site.register(models.Menu) admin.site.register(models.UserInfo) admin.site.register(models.Role) admin.site.register(models.Permission) admin.site.register(models.Group)
models.py中做如下配置,就可以在添加的时候显示中文了。
# 菜单组
class Menu(models.Model):
title = models.CharField(verbose_name='菜单组', max_length=32)
class Meta:
verbose_name_plural = '菜单表'
def __str__(self):
return self.title
四、编写登录
利用Django的中间件进行控制,没有登录的用户不能直接访问内部的url,而且只能访问admin,login,index这三个url,将其设置为白名单,用户登录成功后,将用户信息方法哦session里边,进行权限访问时去session里边读取,如果有的话进行url跳转,如果没有的话返回‘’无权访问‘’
1.在settings内设置白名单:
2.编写中间件控制时,必须继承MiddlewareMixin这个类
# -*- coding:utf-8 -*-
# !/usr/bin/python
from django.shortcuts import redirect, HttpResponse
from django.conf import settings
import re
class MiddlewareMixin(object):
def __init__(self, get_response=None):
self.get_response = get_response
super(MiddlewareMixin, self).__init__()
def __call__(self, request):
response = None
if hasattr(self, 'process_request'):
response = self.process_request(request)
if not response:
response = self.get_response(request)
if hasattr(self, 'process_response'):
response = self.process_response(request, response)
return response
class RbacMiddleware(MiddlewareMixin):
def process_request(self, request):
# 1.当前请求的URL
current_request_url = request.path_info
# 2.处理白名单
for url in settings.VALID_URL_LIST:
if re.match(url, current_request_url):
return None
# 3.获取session中保存的权限信息
permission_dict = request.session.get(settings.XX)
print(permission_dict)
if not permission_dict:
return redirect(settings.RBAC_LOGIN_URL)
flag = False
for group_id, values in permission_dict.items():
for url in values["urls"]:
if re.match(url, current_request_url):
flag = True
break
if flag:
break
if not flag:
return HttpResponse("无权访问")