Django 權限管理(permissions)與用戶組(group)詳解

如果你只是利用Django開發個博客，大部分用戶只是閱讀你的文章而已，你可能根本用不到本節內容。但是如果你想開發一個內容管理系統，或用戶管理系統，你必需對用戶的權限進行管理和控制。Django自帶的權限機制(permissions)與用戶組(group)可以讓我們很方便地對用戶權限進行管理。小編我今天就嘗試以淺顯的語言來講解下如何使用Django自帶的權限管理機制。

什么是權限?

權限是能夠約束用戶行為和控制頁面顯示內容的一種機制。一個完整的權限應該包含3個要素: 用戶，對象和權限，即什么用戶對什么對象有什么樣的權限。

假設我們有一個應用叫blog，其包含一個叫Article(文章)的模型。那么一個超級用戶一般會有如下4種權限，而一個普通用戶可能只有1種或某幾種權限，比如只能查看文章，或者能查看和創建文章但是不能修改和刪除。

查看文章(view) 創建文章(add) 更改文章(change) 刪除文章(delete)

我們在Django的admin中是可以很輕易地給用戶分配權限的。

Django Admin中的權限分配

Django中的用戶權限分配，主要通過Django自帶的Admin界面進行維護的。當你編輯某個user信息時, 你可以很輕易地在User permissions欄為其設置對某些模型查看, 增加、更改和刪除的權限(如下圖所示)。

Django的權限permission本質是djang.contrib.auth中的一個模型, 其與User的user_permissions字段是多對多的關系。當我們在INSTALLED_APP里添加好auth應用之后，Django就會為每一個你安裝的app中的模型(Model)自動創建4個可選的權限：view, add,change和delete。(注: Django 2.0前沒有view權限)。隨后你可以通過admin將這些權限分配給不同用戶。

查看用戶的權限

權限名一般有app名(app_label)，權限動作和模型名組成。以blog應用為例，Django為Article模型自動創建的4個可選權限名分別為:

查看文章(view): blog.view_article 創建文章(add): blog.add_article 更改文章(change): blog.change_article 刪除文章(delete): blog.delete_article

在前例中，我們已經通過Admin給用戶A(user_A)分配了創建文章和修改文章的權限。我們現在可以使用user.has_perm()方法來判斷用戶是否已經擁有相應權限。下例中應該返回True。

user_A.has_perm(’blog.add_article’) user_A.has_perm(’blog.change_article’)

如果我們要查看某個用戶所在用戶組的權限或某個用戶的所有權限(包括從用戶組獲得的權限)，我們可以使用get_group_permissions()和get_all_permissions()方法。

user_A.get_group_permissions() user_A.get_all_permissions()

手動定義和分配權限(Permissions

有時django創建的4種可選權限滿足不了我們的要求，這時我們需要自定義權限。實現方法主要有兩種。下面我們將分別使用2種方法給Article模型新增了兩個權限，一個是publish_article, 一個是comment_article。

方法1. 在Model的meta屬性中添加permissions。

class Article(models.Model): ... class Meta: permissions = ( ('publish_article', 'Can publish article'), ('comment_article', 'Can comment article'), )

方法2. 使用ContentType程序化創建permissions。

from blog.models import Articlefrom django.contrib.auth.models import Permissionfrom django.contrib.contenttypes.models import ContentType content_type = ContentType.objects.get_for_model(article)permission1 = Permission.objects.create( codename=’publish_article’, name=’Can publish articles’, content_type=content_type,) permission2 = Permission.objects.create( codename=’comment_article’, name=’Can comment articles’, content_type=content_type,)

當你使用python manage.py migrate命令后，你會發現Django admin的user permissions欄又多了兩個可選權限。

如果你不希望總是通過admin來給用戶設置權限，你還可以在代碼里手動給用戶分配權限。這里也有兩種實現方法。

方法1. 使用user.user_permissions.add()方法

myuser.user_permissions.add(permission1, permission2, ...)

方法2. 通過user所在的用戶組(group)給用戶增加權限

mygroup.permissions.add(permission1, permission2, ...)

如果你希望在代碼中移除一個用戶的權限，你可以使用remove或clear方法。

myuser.user_permissions.remove(permission, permission, ...)myuser.user_permissions.clear()

注意權限的緩存機制

Django會緩存每個用戶對象，包括其權限user_permissions。當你在代碼中手動改變一個用戶的權限后，你必須重新獲取該用戶對象，才能獲取最新的權限。

比如下例在代碼中給用戶手動增加了change_blogpost的權限，如果不重新載入用戶，那么將顯示用戶還是沒有change_blogpost的權限。

from django.contrib.auth.models import Permission, Userfrom django.contrib.contenttypes.models import ContentTypefrom django.shortcuts import get_object_or_404 from myapp.models import BlogPost def user_gains_perms(request, user_id): user = get_object_or_404(User, pk=user_id) # any permission check will cache the current set of permissions user.has_perm(’myapp.change_blogpost’) content_type = ContentType.objects.get_for_model(BlogPost) permission = Permission.objects.get( codename=’change_blogpost’, content_type=content_type, ) user.user_permissions.add(permission) # Checking the cached permission set user.has_perm(’myapp.change_blogpost’) # False # Request new instance of User # Be aware that user.refresh_from_db() won’t clear the cache. user = get_object_or_404(User, pk=user_id) # Permission cache is repopulated from the database user.has_perm(’myapp.change_blogpost’) # True

用戶權限的驗證(Validation)

我們前面講解了用戶權限的創建和設置，現在我們將進入關鍵一環，用戶權限的驗證。我們在分配好權限后，我們還需要在視圖views.py和模板里驗證用戶是否具有相應的權限，否則前面設置的權限形同虛設。這就是為什么我們前面很多django實戰案例里，沒有給用戶分配某個模型的add和change權限，用戶還是還能創建和編輯對象的原因。

1. 視圖中驗證

在視圖中你當然可以使用user.has_perm方法對一個用戶的權限進行直接驗證。當然一個更好的方法是使用@permission_required這個裝飾器。

permission_required(perm, login_url=None, raise_exception=False)

你如果指定了login_url, 用戶會被要求先登錄。如果你設置了raise_exception=True, 會直接返回403無權限的錯誤，而不會跳轉到登錄頁面。使用方法如下所示:

from django.contrib.auth.decorators import permission_required @permission_required(’polls.can_vote’)def my_view(request): ...

如果你使用基于類的視圖(Class Based View), 而不是函數視圖，你需要繼承PermissionRequiredMixin這個類，如下所示:

from django.contrib.auth.mixins import PermissionRequiredMixin class MyView(PermissionRequiredMixin, View): permission_required = ’polls.can_vote’ # Or multiple of permissions: permission_required = (’polls.can_open’, ’polls.can_edit’)

2. 模板中驗證

在模板中驗證用戶權限主要需要學會使用perms這個全局變量。perms對當前用戶的user.has_module_perms和user.has_perm方法進行了封裝。當我們需要判斷當前用戶是否擁有blog應用下的所有權限時，我們可以使用:

{{ perms.blog }}

我們如果判斷當前用戶是否擁有blog應用下發表文章討論的權限，則使用:

{{ perms.blog.comment_article }}

這樣結合template的if標簽，我們可以通過判斷當前用戶所具有的權限，顯示不同的內容了.

{% if blog.article %} <p>You have permission to do something in this blog app.</p> {% if perms.blog.add_article %} <p>You can add articles.</p> {% endif %} {% if perms.blog.comment_article %} <p>You can comment articles!</p> {% endif %}{% else %} <p>You don’t have permission to do anything in the blog app.</p>{% endif %}

用戶組(Group)

用戶組(Group)和User模型是多對多的關系。其作用在權限控制時可以批量對用戶的權限進行管理和分配，而不用一個一個用戶分配，節省工作量。將一個用戶加入到一個Group中后，該用戶就擁有了該Group所分配的所有權限。例如，如果一個用戶組editors有權限change_article, 那么所有屬于editors組的用戶都會有這個權限。

將用戶添加到用戶組或者給用戶組(group)添加權限，一般建議直接通過django admin進行。如果你希望手動給group添加或刪除權限，你可以使用如下方法。

mygroup.permissions = [permission_list]mygroup.permissions.add(permission, permission, ...)mygroup.permissions.remove(permission, permission, ...)mygroup.permissions.clear()

如果你要將某個用戶移除某個用戶組，可以使用如下方法。

myuser.groups.remove(group, group, ...) #myuser.groups.clear()

Django自帶權限機制的不足

Django自帶的權限機制是針對模型的，這就意味著一個用戶如果對Article模型有change的權限，那么該用戶獲得對所有文章對象進行修改的權限。如果我們希望實現對單個文章對象的權限管理，我們需要借助于第三方庫比如django guardian。至于該庫的使用，我們以后再詳細介紹。

到此這篇關于Django 權限管理(permissions)與用戶組(group)詳解的文章就介紹到這了,更多相關Django 權限管理與用戶組內容請搜索好吧啦網以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持好吧啦網！