首先创建表关系
from django.db import models # Create your models here from django.contrib.auth.models import AbstractUser from utils.BaseModel import BaseModel # Create your models here. class Vip(BaseModel): vip_choise = ( ('0', '普通用户'), ('1', '普通会员'), ('2', '高级会员'), ) title = models.CharField('vip名称', max_length=16) vip_type = models.CharField('Vip种类',choices=vip_choise ,max_length=4,default='0') desc = models.CharField('vip描述',max_length=255) period = models.IntegerField('有效期', default=365) class Meta: db_table = 'tb_vip' def __str__(self): return self.title class Role(models.Model): name = models.CharField('角色名称', max_length=32, unique=True) #AbstractUser是django用户组件里的用户模型类,继承以后对原来的模型类进行改写 class User(AbstractUser): phone = models.CharField('手机号',max_length=20,null=True) img = models.CharField(max_length=256,null=True) nick_name = models.CharField('昵称',max_length=20,null=True) address = models.CharField('地址',max_length=255,null=True) email = models.CharField('邮箱',max_length=255,null=True) vip = models.ForeignKey(Vip, on_delete=models.SET_NULL, default=None, null=True) vip_expiration = models.DateField('vip到期时间', blank=True, default=None, null=True) roles = models.ManyToManyField(Role, related_name='users') class Meta: db_table = 'tb_user' #权限对应路径 class URLInfo(models.Model): url = models.CharField('路径', max_length=128,null=True) desc = models.CharField('描述', max_length=32, null=True) roles = models.ManyToManyField(Role, related_name='urlinfos')
创建permission.py文件
permission.py from rest_framework.permissions import BasePermission from userapp.models import User, URLInfo #VIP匹配 class VIPPermission(BasePermission): message = '必须是VIP才能访问' def has_permission(self, request, view): print(request.user.id) user_obj = User.objects.filter(id=request.user.id).first() if user_obj.vip_id != 1: return False return True class SLYPermission(BasePermission): message = '当前用户没有访问权限' def has_permission(self, request, view): uid = request.user.id # 获取当前用户id #获取相应的用户信息 user_obj = User.objects.filter(id=uid).first() # 查询出该用户对应的角色 user_role_obj = user_obj.roles.all() print("该用户的所有角色:", user_role_obj) #获取请求的URL http://127.0.0.1:8000/course/course/ url = request.path_info #获取对应的请求方式 GET method = request.method #对路由进行拼接 # print(url + method) url_method = url + method # 查询当前请求路径是否在收据库中存在 url_obj = URLInfo.objects.filter(url=url_method).first() print("当前路由对应的url对象", url_obj) #判断路由和方法拼成后存不存在 if url_obj: url_rolds_obj = url_obj.roles.all() else: return False # 循环遍历该用户的所有角色 for i in user_role_obj: # 判断该用户拥有的角色 是否 存在当前路径对应的角色中 if i in url_rolds_obj: return True return False
使用:
from userapp.permission import SLYPermission class CourseTypeView(ModelViewSet):
#添加权限 permission_classes = [SLYPermission] #指定查询结果 queryset = Cmodels.CourseType.objects.all() #指定序列化器 serializer_class = Cserialzer.CourseTypeSer
Postman测试
登录无权限用户
登录授权用户 数据可查
数据库关联关系
1.添加需要权限的URL tb_urlinfo
2.角色表tb_role
进行关联
3角色表关联用户
这样在所有角色下的用户都具有对应的权限