django后端的权限组件设计

依然范特西╮ 提交于 2020-02-22 17:39:56

个人思路设计,没啥太多经验,轻喷

 

权限的作用:

不同用户,根据不同的权限,显示不同的页面内容。

# 由于用户的权限路径可能重复,所以通过角色对应路径,可以重用,只需要用户指定角色,角色对应路径,就可以很方便(只要限制角色的权限即可,用户指定不同的角色,达到权限重用)

 

权限要关注的几个点:

(1) 权限注入

在登陆成功的时候注入权限,该测试项目,我按照我中间件认证、动态菜单、模板认证权限需要内容做的权限注入。

# 权限注入的目的是后续更轻松的操作,也可以不注入权限,通过登陆成功的id去看权限也可以

 

(2) 中间件认证

有人可能疑惑为啥要中间件,前端页面根据对应权限渲染,其实已经达到了权限分配的目的,没有权限不能请求到后端非自己权限的内容了。

中间件目的是:

  限制伪装前端人过来请求,由于伪装前端进行后端请求,如果不做中间件认证就会被偷鸡。

 

(3) 动态菜单

动态菜单的意义在于,当用户请求的页面,有一个菜单下,所有权限都没有的时候,就不显示该菜单。

 

(4) 前端页面的模板判断 

这里疑惑是权限认证是前端做还是后端做。

后端做这件事情好:

  现实中的例子:

    一个完整的东西,按实际来讲肯定是要让拥有者交给用户手中的。

  实现方式:

    后端通过模板判断方式实现,通过权限路径别名,前端页面每个权限那块写死一个值进行用户的权限认证判断实现。

  前端做的坏处:

    (1) 如果前端做这个事情,肯定是在用户机器上运行到js代码那块才可以,权限用到的标签什么的都是隐藏状态,从后端获取到权限在按权限,进行显示,一个会代码的人,就可以看到,不安全

    (2) 增加了不必要的运行时间,用户权限低,本身,就看不到某块内容,前端还是要加载权限所有内容,不好

    (3) 前端做权限判断,这件事情太麻烦了

  后端做的好处:

    后端拿到页面,进行判断,通过判断的部分,进行部分页面内容返回,增加了安全性,和不必要的麻烦

 

 

二级菜单权限,我的写法流程:

 

1. 设计表结构

一开始,表结构的字段没考虑那么的多,表结构字段都是需要用到什么,临时加,即测试的。

 

所以根据作用目前完整表结构设计就如下:

from django.db import models
from django.contrib.auth.models import AbstractUser


# 继承了django内置的user表
class UserInfo(AbstractUser):
    
    # 用户对应的角色
    role = models.ManyToManyField(to="Role")

    class Meta:
        db_table = 'userInfo'


class Role(models.Model):
   
    # 角色名,权限配置页面用
    role_name = models.CharField(max_length=20, blank=False)
    
    # 角色对应路径,因为角色只需要关心这个角色有什么权限路径即可,菜单是权限路径该关系的,所以表结构这样设计
    path = models.ManyToManyField(to='Path')

    class Meta:
        db_table = 'role'


# 动态菜单用
class Menu(models.Model):
   
  # 权限配置页面渲染菜单名称的
    menu_name = models.CharField(max_length=30, blank=False)
    
    # 动态菜单的请求路径,由于我页面是用的Iframe标签,所以需要有个api地址获取到页面
    request_path = models.CharField(max_length=100)
    
  # 用于动态菜单渲染,如果值为False表示不渲染至用户显示页面
    is_menu = models.BooleanField(default=1)

    # 二级菜单指向一级菜单,如果是一级菜单pid字段为空
    pid = models.ForeignKey(to='self', on_delete=False, null=True)

    class Meta:
        db_table = 'menu'


class Path(models.Model):
  
    # api接口的地址,用于中间件判断
    auth_path = models.CharField(max_length=100, blank=False)
   
    # 用作一个api接口多种请求方式的限制,api接口设计规范,get获取数据,post提交数据,put更新数据... 权限的细控制
    method = models.CharField(max_length=10, blank=False, default='GET')
  
    # 用作前端模板判断该用户是否有这个权限,通过别名,防止api接口变化,不需要修改模板页面的作用  
    alias = models.CharField(max_length=20)
  
    # 用作权限配置页面显示权限路径的名称
    path_name = models.CharField(max_length=30)
    
    # 权限对应的二级菜单是哪个
    menu = models.ForeignKey(to='Menu', on_delete=False)

    class Meta:
        db_table = 'path'

随意版关系图:

 

 

2. 初始数据库数据

有了表结构,肯定是要初始一些初始权限、菜单名、角色、用户的。

文件位置:

在项目的rbac文件夹下的init_data.py。

 

文件内容:

import os
import django

project_name = 'test_qx'  # 不同项目需要修改

os.environ.setdefault("DJANGO_SETTINGS_MODULE", project_name + ".settings")
django.setup()

from rbac.models import *

menu_data = [
    {"id": 1, "menu_name": '非菜单-1', "is_menu": False},
    {"id": 2, "menu_name": '学生管理-1'},
    {"id": 3, "menu_name": '书籍管理-1'},
    {"id": 4, "menu_name": '学生管理', "request_path": "/student_page/", "pid_id": 2},
    {"id": 5, "menu_name": '获取学生信息', "request_path": "/student/", "pid_id": 2},
    {"id": 6, "menu_name": '书籍管理', "request_path": "/book_page/", "pid_id": 3},
    {"id": 7, "menu_name": '非菜单', "is_menu": False, "pid_id": 1},
]
path_data = [
    {"id": 1, "auth_path": '/student/$', "method": 'GET', "alias": 'get_students', "path_name": '获取学生', "menu_id": 4},
    {"id": 2, "auth_path": '/student/$', "method": 'POST', "alias": 'add_student', "path_name": '添加学生', "menu_id": 4},
    {"id": 3, "auth_path": '/student/$', "method": 'PUT', "alias": 'edit_student', "path_name": '编辑学生', "menu_id": 4},
    {"id": 4, "auth_path": '/student/$', "method": 'DELETE', "alias": 'delete_student', "path_name": '删除学生', "menu_id": 4},
    {"id": 5, "auth_path": '/book/$', "method": 'GET', "alias": 'get_books', "path_name": '获取书籍', "menu_id": 6},
    {"id": 6, "auth_path": '/book/$', "method": 'POST', "alias": 'add_book', "path_name": '添加书籍', "menu_id": 6},
    {"id": 7, "auth_path": '/book/$', "method": 'PUT', "alias": 'edit_book', "path_name": '编辑书籍', "menu_id": 6},
    {"id": 8, "auth_path": '/book/$', "method": 'DELETE', "alias": 'delete_book', "path_name": '删除书籍', "menu_id": 6},
    {"id": 9, "auth_path": '/index/$', "path_name": '访问首页', "menu_id": 7},
    {"id": 10, "auth_path": '/student_page/$', "path_name": '访问学生页面', "menu_id": 7},
    {"id": 11, "auth_path": '/book_page/$', "path_name": '访问书籍页面', "menu_id": 7},
    {"id": 12, "auth_path": '/logout/$', "path_name": '注销账户', "menu_id": 7},
    # 修改权限得权限
    {"id": 13, "auth_path": '/rbac/', "method": '*', "path_name": '修改权限', "menu_id": 7},
    # 测试一级菜单下面俩个二级菜单
    {"id": 14, "auth_path": '/student/$', "method": 'GET', "alias": 'get_students', "path_name": '获取学生', "menu_id": 5},
]
role_data = [
    {"id": 1, "role_name": "管理员", "path_id": (1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14)},
    {"id": 2, "role_name": "普通用户", "path_id": (1, 2, 3, 5, 6, 7, 9, 10, 11, 12, 14)},
]
admin_user_data = [
    {"id": 1, "username": "admin", "password": "123456", "email": "test@qq.com"}
]
# 添加菜单数据
for dic in menu_data:
    # 添加菜单
    obj = Menu.objects.create(**dic)
# 添加权限路径数据
for dic in path_data:
    Path.objects.create(**dic)
# 添加角色数据
for dic in role_data:
    temp = dic
    path_ids = temp.pop("path_id")
    # 添加角色
    obj = Role.objects.create(**temp)
    # 添加角色和权限路径的关系
    Role.objects.get(id=obj.id).path.set(path_ids)
# 添加管理员用户
for dic in admin_user_data:
    obj = UserInfo.objects.create_superuser(**dic)
    obj.role.set((1,))  # 用户关联管理员角色

print("执行完毕.")

 

3. 注册关联初始角色

# 创建用户数据,返回的用户对象
obj = UserInfo.objects.create_user(**dic)
# 关联初始权限
role_id = Role.objects.get(role_name='普通用户').id
UserInfo.objects.get(id=obj.id).role.set((role_id,))

# 参考写法,效率不高,我随便写的

 

4. 登陆成功注入权限

注入权限完全是为了中间件认证、动态菜单、前端模板认证时候使用,所有里面放的内容,自己舒服就好。

 

首先要注入什么内容,我会有个参照结构:

            """
            [
                {
                    "one_menu": "书籍管理-1", 
                    "is_menu": 1,  # 为真表示是动态菜单要渲染得内容
                    "two_menu": [
                        {
                            "menu": "书籍管理",
                            "request_path": "/book_page/",
                            "path": [
                                {"method": "get", "auth_path": "/book/", "alias": "get_books"}, 
                                {"method": "post", "auth_path": "/book/", "alias": "add_book"}
                            ]
                        },
                        {
                            "menu": "获取数据",
                            "request_path": "/book/",
                            "path": [
                                {"method": "get", "auth_path": "/book/$", "alias": "get_books"}, 
                            ]
                        },
                    ]
                },
                {
                    "one_menu": "学生管理-1", 
                    "is_menu": 1,
                    "two_menu": [
                        {
                            "menu": "学生管理",
                            "request_path": "/student_page/",
                            "path": [
                                {"method": "get", "auth_path": "/student/", "alias": "get_students"}, 
                                {"method": "post", "auth_path": "/student/", "alias": "add_student"}
                            ]
                        },
                    ]
                },
            ]
            """

注:我这里套的结构深了点,有点不好理解些,其实可以菜单名和权限路径可以分到俩里面存的

 

代码写法:

            all_path_data = []
            # 查询用户都有什么权限路径,顺带出菜单,减少数据库交互,提升效率
            values = UserInfo.objects.filter(id=request.user.id).values(
                'role__path__menu__pid__menu_name',
                'role__path__menu__menu_name',
                'role__path__menu__request_path',
                'role__path__menu__is_menu',
                'role__path__method',
                'role__path__auth_path',
                'role__path__alias',
            )
            # print(values)
            for dic in values:
                one_menu = dic['role__path__menu__pid__menu_name']
                menu = dic['role__path__menu__menu_name']
                request_path = dic['role__path__menu__request_path']
                is_menu = dic['role__path__menu__is_menu']
                method = dic['role__path__method']
                auth_path = dic['role__path__auth_path']
                alias = dic['role__path__alias']
                for dic2 in all_path_data:
                    if dic2["one_menu"] == one_menu:
                        temp = {
                            "menu": menu,
                            "request_path": request_path,
                            "path": [{"method": method, "auth_path": auth_path, "alias": alias}]
                        }
                        for dic3 in dic2["two_menu"]:
                            if dic3["menu"] == menu:
                                temp = {"method": method, "auth_path": auth_path, "alias": alias}
                                dic3["path"].append(temp)
                                # 正常添加完跳出,否则重复执行for-else里得内容
                                break
                        else:
                            # 二级菜单没有时候执行
                            dic2["two_menu"].append(temp)
                        # 正常添加完跳出,否则重复执行for-else里得内容
                        break
                else:
                    # 一级菜单没时候才会执行
                    temp = {
                        "one_menu": one_menu,
                        "is_menu": is_menu,
                        "two_menu": [
                            {
                                "menu": menu,
                                "request_path": request_path,
                                "path": [{"method": method, "auth_path": auth_path, "alias": alias}]
                            }
                        ]
                    }
                    all_path_data.append(temp)
            # print(all_path_data)
            # 添加权限路径到session
            request.session["auth"] = all_path_data            

 

 

5. 中间件认证

防止伪造前端的人进行请求。

 

写法思路:

其实就是拿到所有二级菜单下得权限路径,进行请求方法、请求路径得判断,通过就返回None,就可以进入视图或下个中间件了。

 

中间件得介绍:

和装饰器一个道理,进入里面的内容,得先经过一个装饰器,只不过这里中间件是默认所有视图函数得装饰器。

process_request是进入视图前要进过的,再进入视图函数前,我进行权限认证,防止没权限得人不能进入其中拿到数据。

 

中间件代码:

import re

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse, redirect

from test_qx.settings import white_list


class MyMiddleware(MiddlewareMixin):

    def process_request(self, request):
        # 当前请求路径
        now_path = request.path
        now_method = request.method

        # 白名单直接进入
        for rule in white_list:
            if re.search(rule, now_path):
                return None

        # 判断是否进行了登陆
        if not request.user.is_authenticated:
            return redirect('/login/')

        # 取出用户的路径
        auth = request.session.get('auth', None)
        # 权限路径认证
        if auth:
            # 进行循环判断
            for one_menu_dic in auth:
                for two_menu_dic in one_menu_dic["two_menu"]:
                    for dic in two_menu_dic["path"]:
                        # 如果当前请求的内容,符合权限里的,就进入
                        if re.search(dic["auth_path"], now_path) and (dic["method"] == now_method or dic["method"] == '*'):
                            return None

        # 没权,则直接返回
        return HttpResponse('not allow!')

注意:

(1) 我用到了白名单,以后不需要权限认证得、页面不需要用到权限认证得内容,请填入到白名单中,在settings中写的,其它中间件调用同一份白名单即可。

(2) 我path表里method字段为*表示所有请求方式都通过

(3) 请求路径是正则进行匹配通过得,所以path数据表里auth_path字段应该存正则表达式

 

6. 动态菜单

为了一个页面下所有权限都没有,就表示没必要渲染这个菜单,让用户点击进入,根据实际需求改把(页面没细分所有权限时候)

 

写法思路:

取出登陆注入得内容,进行循环渲染菜单。

 

写法:

 

 

 

 

7. 子页面得权限认证判断

根据权限是否显示该功能。

用到了django模板函数,为了达到内容复用,否则麻烦点,要视图下取出所有alias字段,进行判断,或,模板渲染那循环进行判断。

 

写法思路:

通过alias字段值,进行判断。

 

my_tag写法:

from django import template

register = template.Library()   # register和templatetags文件夹名是固定的名称


@register.filter
def match_permission(request, value):
    # value是模板页面传得死值
    # 从request中取出登陆出入得权限,和死值进行判断
    auth = request.session["auth"]
    for one_menu_dic in auth:
        if not one_menu_dic["is_menu"]:
            continue
        for two_menu_dic in one_menu_dic["two_menu"]:
            for dic in two_menu_dic["path"]:
                if dic["alias"] == value:
                    return True
    return False

子页面权限判断写法:

 

student.html为例:

注意:首先要导入my_tag文件,否则调用不到模板函数match_permission函数。

 

 事件也要进行判断权限进行返回:

 

 

8. 完毕

到这权限得核心代码就都完毕了,之后就剩下权限配置页面了。

 

个人写的简单权限配置页面:

 

 

 

# 随便写的,只为达到个测试效果,个人觉得,权限核心代码可能就100多行,但是配置页面,繁华点可能就几千行了

 

 

测试项目代码:

 

一级菜单版本:

 

二级菜单版本:

 

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!