Xadmin权限管理 

需求分析:
1.判断用户是否登陆,未登陆就不能进入其他页面
2.为用户分配不同的权限,用户的操作只能在权限范围之内
3.将用户可操作的权限显示在页面山,点击能进入该页面操作

  模型表的建立   

1.对每个用户建立角色,每个角色有着不同的权限
2.权限的字段要设有相应的权限操作路径和操作名称
3.用户可有多个角色,每个角色可有多个用户。用户和角色:ManyToMany
4.每个角色可有多个权限,同一个权限也可被多个用户使用 角色和权限:ManyToMany
复制代码
from django.db import models
# Create your models here.
class UseInfo(models.Model):
    username=models.CharField(max_length=25,verbose_name='用户名')
    passwd=models.CharField(max_length=25,verbose_name='密码')
    roles=models.ManyToManyField(to="Role",verbose_name='角色')
    def __str__(self):
        return self.username
class Role(models.Model):
    title=models.CharField(max_length=32,verbose_name='角色')
    permissions=models.ManyToManyField(to="Permission",verbose_name='权限')
    def __str__(self):
        return self.title
class Permission(models.Model):
    title=models.CharField(max_length=32,verbose_name="权限")
    url=models.CharField(max_length=255,verbose_name="执行路径")
    code=models.CharField(max_length=32,verbose_name='权限代号')
    def __str__(self):
        return self.title
复制代码


  2.用户登陆后,设置session  


用户登陆之后,将用户id和权限注册到session中




复制代码


if user:
    # 向session注入user信息
    request.session["user_id"] = user.pk
    # 向session注入当前登录人的权限列表
    from Rbac.service.rbac import init_permission
    init_permission(user,request)
    return redirect("/index/")


复制代码




用建个py文件注册用户权限




复制代码


def init_permission(user,request):
    ##多对多的关系,因此使用all
    permissions=user.roles.all().values("permissions__url","permissions__title","permissions__code")
    #print(permissions)
    #< QuerySet[{'permissions__url': '/Xadmin/Rbac/useinfo/', 'permissions__title': '查看用户', 'permissions__code': 'list'}
    permission_list=[]
    for perm in permissions:
        permission_list.append(perm.get("permissions__url"))
    #将权限注册到session中
    request.session["permission_list"] = permission_list


复制代码




  3.设置中间件  


对用户的请求做出判断,判断出该用户当前请求是否符合要求,对于用户的每次请求,设置中间件来判断


1.登陆,主页,这些路径不设置验证,让所有用户都可访问




white_url=["/login/","/index/"]
        if current_path in white_url:
            return None




2.进入查看,修改页面时,判断是否有这些权限




['/Xadmin/Rbac/useinfo/', '/Xadmin/Rbac/useinfo/add/', '/Xadmin/Rbac/useinfo/change/(\\d+)/', '/Xadmin/Rbac/useinfo/del/(\\d+)/']
  permission_list=request.session.get("permission_list")
        print("他是:",permission_list)
        if  current_path not in permission_list:
            return HttpResponse("没有权限")






但是在点击编辑和删除时,却显示没有权限,原因?
点编辑和删除时由于有参数,回显示具体的值,/Xadmin/Rbac/useinfo/change/1/,而permission_list中给却是'/Xadmin/Rbac/useinfo/change/(\\d+)/'
因此匹配不上,显示无权限。应该用正则匹配完成




permission_list=request.session.get("permission_list")
for permission in permission_list:
    ret=re.search(permission,current_path)
    if ret:return None
return HttpResponse("没有权限")




此时更换用户,此用户只有查看权限:
['/Xadmin/Rbac/useinfo/', '/Xadmin/Rbac/role/']
在访问/Xadmin/Rbac/role/add/时,却能访问成功,原因?
在匹配时,匹配的规则是/Xadmin/Rbac/role/,匹配对象/Xadmin/Rbac/role/add/,


匹配的结果为/Xadmin/Rbac/role/,ret为真,会通过验证



因此要限制匹配对象开始值和结束值




for permission in permission_list:
        permission="^%s$"%permission
        ret=re.search(permission,current_path)
        if ret:return None
    return HttpResponse("没有权限")




3.设置admin


 


让所有用户都能进入admin,因此将admin设置到白名单中,此时若仍用下面这种该方法,会出问题
white_url=["/login/","/index/","/admin/"]
if current_path in white_url:
    return None
进入admin后,会发现地址栏出现变化:/admin/login/?next=/admin/
此时在用in,则当前地址匹配不到admin,因此在匹配时,让用正则进行匹配




white_url=["/login/","/index/","/admin/*"]
        for url in white_url:
            url="^%s"%url
            ret=re.search(url,current_path)
            if ret:return None




由于admin有参数,此时不能加$
设置中间件


 View Code




4.页面左侧显示该用户的权限


显示的权限名是个a标签,当点击时,执行该操作,因此,编辑和删除权限不能显示出来。
在向session中注册时,将添加和查看的url和对应的操作名也注册进去,但是谮言给判断当前url时哪种操作?
可以为权限表新添个code字段,来描述url,如增加操作,就将code设置为add,显示操作,设置为list,通过判断code字段进行添加




复制代码


def init_permission(user,request):
    ##多对多的关系,因此使用all
    permissions=user.roles.all().values("permissions__url","permissions__title","permissions__code")
    #print(permissions)
    #< QuerySet[{'permissions__url': '/Xadmin/Rbac/useinfo/', 'permissions__title': '查看用户', 'permissions__code': 'list'}
    permission_list=[]
    menu_permission={}
    for perm in permissions:
        permission_list.append(perm.get("permissions__url"))
        if perm.get("permissions__code")=="list" or perm.get("permissions__code")=="add":
            menu_permission[ perm.get("permissions__title")]=perm.get("permissions__url")
    #将权限注册到session中
    request.session["permission_list"] = permission_list
    request.session["menu_permission"]= menu_permission


复制代码




在页面上将权限菜单显示在左边,应将其固定,即页面往下拉时,该菜单仍在这个位置,要用到 position: fixed这个属性,
对于文本内容用到overflow: auto和 position: fixed






        

            posted on 
2019-05-15 17:59 
HOT SUMMER 
阅读(1659) 
评论(0) 
 
收藏 
举报

        

    











    
    

    
    

    

        

    

        

            
                
                
            
        

    

    
    

    

    





	






	
		
		

导航