您的位置:首页 > 游戏 > 手游 > 手机端安卓开发软件_设计类专业专科学校_营销方案案例_福建seo网站

手机端安卓开发软件_设计类专业专科学校_营销方案案例_福建seo网站

2024/11/17 11:28:23 来源:https://blog.csdn.net/2201_75632987/article/details/142405141  浏览:    关键词:手机端安卓开发软件_设计类专业专科学校_营销方案案例_福建seo网站
手机端安卓开发软件_设计类专业专科学校_营销方案案例_福建seo网站

引言

Django自带一套认证与权限系统帮助我们快速的实现RBAC权限控制。今天我们要讨论的是Django的认证与权限系统怎么使用,以及Django在背后为我们做了些什么。

一、权限系统会创建数据库表

如果使用了Django的认证系统(在settings中注册app'django.contrib.auth'),初次执行migrate迁移,Django会自动在数据库中创建5张表:用户、权限、组以及三者两两之间的关系表。这在RBAC权限管理系统的数据库表设计中非常常见。

  • user
  • group
  • permission
  • user_group
  • group_permission
  • user_permission

在使用Django的认证系统我们需要知道以下几件事:

  1. 我们可以自己在permission表中创建一些权限,但通常来说不需要,Django在执行数据库迁移时,会自动为已注册app的模型创建增、删、改、查四个权限。
  2. 我们可以为用户分配权限,本质上就是在user_permission关系表中创建一条数据。我们也可以创建一个组,你可以将组命名为“采购部门”,为组分配权限,被分配到这个组中的用户将自动获取这个组的权限。
  3. 通过createsuperuser 创建的超级用户会拥有所有的权限(准确来说是自动通过权限认证),普通用户的权限需要自己分配。

二、创建和验证用户

我们可以直接使用Django中的User模型创建用户。创建组和权限也是一样的做法,它们都是普通的模型,只不过Django提前帮我们写好了。

from django.contrib.auth.models import User
user = User.objects.create_user("john", "lennon@thebeatles.com", "johnpassword")

Django不在数据库中存储用户的明文密码,(不在数据库中存储用户的明文密码是基本常识),而是存储散列值。

验证用户密码需要通过内置的authenticate方法,验证成功会获取获取到对应User对象,在登录的步骤中我们会用到此方法:

from django.contrib.auth import authenticateuser = authenticate(username="john", password="secret")
if user is not None:print("验证成功")
else:print("验证失败")

可以重置密码:

from django.contrib.auth.models import User
u = User.objects.get(username="john")
u.set_password("new password")
u.save()

查看用户权限直接使用user对象的has_perm方法:

user.has_perm("myapp.change_blogpost")

三、登录、登出与会话

Django使用Session(会话)和中间件将身份验证系统和请求对象request连接在一起

当请求进来时,我们在视图函数中可以获取到request: HttpRequest我们可以检查user是否通过授权,即是否登录。

if request.user.is_authenticated:print("已登录用户")
else:print("未登录用户")

用户登录需要调用login()方法。该方法会为传入的user对象在数据库的session表中创建一条数据,这代表该用户的会话信息,会话可以控制用户的登录状态。Django会将SessionID设置到响应头中的SET-COOKIE字段里返回给用户的浏览器客户端,这样浏览器客户端就会自动存储用户cookie,并为用户以后的每条请求带上cookie,我们后端就能区分用户的身份和会话状态了。

from django.contrib.auth import authenticate, login
ef my_view(request):username = request.POST["username"]password = request.POST["password"]user = authenticate(request, username=username, password=password)if user is not None:# 用户通过验证之后就执行登录函数login(request, user)

登出只需对请求对象使用logout方法:

def logout_view(request):logout(request)

四、权限控制

我们可以通过不同的方法检查用户是否登录:

  1. 通过request.user.is_authenticated方法:
def my_view(request):if not request.user.is_authenticated:return render(request, "myapp/login_error.html")
  1. 通过@login_required装饰器:

你需要设置settings.LOGIN_URL控制未登录用户被重定向的页面

from django.contrib.auth.decorators import login_required@login_required
# @login_required(login_url="/accounts/login/")
def my_view(request): ...
  1. 在视图类中使用LoginRequiredMixin
from django.contrib.auth.mixins import LoginRequiredMixinclass MyView(LoginRequiredMixin, View):# 可选配置login_url = "/login/"redirect_field_name = "redirect_to"

控制权限方法也类似:

  1. 直接检查
def my_view(request):if not request.user.has_perm("myapp.change_blogpost"):print("用户无权更改blogpost")
  1. 使用装饰器
from django.contrib.auth.decorators import permission_required@permission_required("polls.add_choice")
def my_view(request): ...

你可以提供raise_exception参数,装饰器将会触发PermissionDenied,从而触发403(HTTP Forbidden)视图,比较常用:

from django.contrib.auth.decorators import login_required, permission_required@login_required
@permission_required("polls.add_choice", raise_exception=True)
def my_view(request): ...
  1. 在视图类中使用PermissionRequiredMixin
from django.contrib.auth.mixins import PermissionRequiredMixinclass MyView(PermissionRequiredMixin, View):permission_required = "polls.add_choice"# 或者:permission_required = ["polls.view_choice", "polls.change_choice"]

总结

  • Django会在数据库中创建辅助认证和会话系统的表。
  • 用户登录和登出会自动创建和删除会话。
  • 在视图中获request对象手动对用户的身份和权限进行验证,Django内置的装饰器和混入类可以给我们提供帮助。

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com