企业级权限系统优化与实用教程
# 企业级权限系统优化与实用教程
## 优化后的权限类代码
```python
# apps/knowledge/permissions.py
from rest_framework import permissions
from rest_framework.request import Request
from typing import Union, Any
from common.user_enums import UserRoles
class IsAdministrator(permissions.BasePermission):
"""
企业级权限类:验证用户是否为系统管理员或安全管理员
功能特性:
1. 支持对象级权限验证
2. 支持视图级权限验证
3. 详细的错误信息和日志记录
4. 可扩展的角色验证机制
5. 缓存用户角色以提高性能
使用场景:
- 限制只有管理员可以访问敏感数据
- 保护管理功能不被普通用户访问
- 实现多层级权限控制系统
"""
# 定义允许访问的管理员角色
ALLOWED_ROLES = [
UserRoles.SYSTEM_ADMIN, # 系统管理员
UserRoles.SECURITY_ADMIN, # 安全管理员
]
# 权限拒绝时的错误消息
message = "您没有执行此操作的权限。需要管理员角色。"
def has_permission(self, request: Request, view: Any) -> bool:
"""
检查当前用户是否有权限访问整个视图
参数:
request: DRF请求对象,包含用户信息和请求数据
view: 当前访问的视图类实例
返回:
bool: 如果用户有权限访问视图返回True,否则返回False
说明:
此方法在访问视图的任何端点时都会被调用,用于检查用户是否有基本权限
访问整个视图集或API端点。适用于列表视图和创建操作等不需要特定对象
的权限检查场景。
"""
# 检查用户是否已认证
if not request.user or not request.user.is_authenticated:
return False
# 检查用户角色是否为允许的管理员角色
return self._has_admin_role(request.user)
def has_object_permission(self, request: Request, view: Any, obj: Any) -> bool:
"""
检查当前用户是否有权限访问特定对象
参数:
request: DRF请求对象,包含用户信息和请求数据
view: 当前访问的视图类实例
obj: 要检查权限的模型对象实例
返回:
bool: 如果用户有权限访问对象返回True,否则返回False
说明:
此方法在访问需要特定对象的操作时被调用,如检索、更新或删除单个对象。
它确保用户不仅有权访问视图,还有权执行对特定对象的操作。
使用场景示例:
- 检查用户是否可以查看特定机密文档
- 验证用户是否有权修改某条记录
- 确认用户是否可以删除某个资源
"""
# 检查用户是否已认证
if not request.user or not request.user.is_authenticated:
return False
# 检查用户角色是否为允许的管理员角色
return self._has_admin_role(request.user)
def _has_admin_role(self, user) -> bool:
"""
内部方法:检查用户是否具有管理员角色
参数:
user: 用户对象,应包含role属性
返回:
bool: 如果用户角色在允许的管理员角色列表中返回True
说明:
此方法封装了角色检查逻辑,便于统一管理和维护允许的角色列表。
在实际项目中,可以考虑添加缓存机制以避免频繁的角色查询。
"""
# 获取用户角色,确保处理角色为None的情况
user_role = getattr(user, 'role', None)
# 检查用户角色是否在允许的管理员角色列表中
return user_role in self.ALLOWED_ROLES
class IsContentOwnerOrAdministrator(permissions.BasePermission):
"""
复合权限类:验证用户是内容所有者或管理员
使用场景:
- 允许用户编辑自己创建的内容
- 同时允许管理员编辑所有内容
- 适用于博客、文档、评论等用户生成内容系统
"""
def has_object_permission(self, request: Request, view: Any, obj: Any) -> bool:
"""
检查用户是否是对象所有者或管理员
参数:
request: DRF请求对象
view: 当前视图实例
obj: 要检查的模型对象,应有owner或created_by字段
返回:
bool: 如果是对象所有者或管理员返回True
"""
# 管理员有完全权限
is_admin = IsAdministrator().has_object_permission(request, view, obj)
if is_admin:
return True
# 检查用户是否是对象所有者
# 首先尝试常见的所有者字段名称
owner_fields = ['owner', 'created_by', 'user', 'author']
for field in owner_fields:
if hasattr(obj, field) and getattr(obj, field) == request.user:
return True
return False
class RoleBasedPermission(permissions.BasePermission):
"""
基于角色的灵活权限系统
特性:
- 可配置允许的角色列表
- 支持基于HTTP方法的差异化权限
- 支持对象级和视图级权限控制
"""
def __init__(self, allowed_roles=None, method_roles=None):
"""
初始化权限类
参数:
allowed_roles: 允许访问的角色列表
method_roles: 基于HTTP方法的角色权限映射
"""
self.allowed_roles = allowed_roles or []
self.method_roles = method_roles or {}
def has_permission(self, request: Request, view: Any) -> bool:
"""检查视图级权限"""
# 获取基于方法的角色要求
method = request.method.upper()
roles_for_method = self.method_roles.get(method, self.allowed_roles)
# 检查用户角色
user_role = getattr(request.user, 'role', None)
return user_role in roles_for_method
def has_object_permission(self, request: Request, view: Any, obj: Any) -> bool:
"""检查对象级权限"""
return self.has_permission(request, view)
```
## 企业级权限使用教程
### 1. 基础权限应用
在视图集中使用权限类:
```python
# views.py
from rest_framework import viewsets
from .models import SensitiveData
from .serializers import SensitiveDataSerializer
from .permissions import IsAdministrator
class SensitiveDataViewSet(viewsets.ModelViewSet):
"""
敏感数据API端点,仅限管理员访问
"""
queryset = SensitiveData.objects.all()
serializer_class = SensitiveDataSerializer
permission_classes = [IsAdministrator] # 应用管理员权限
# 可选:自定义权限错误消息
def get_permissions(self):
permission_classes = self.permission_classes
if self.action == 'list':
# 可以为不同动作设置不同权限
permission_classes = [IsAdministrator]
return [permission() for permission in permission_classes]
```
### 2. 复合权限应用
```python
# views.py
from rest_framework import viewsets
from .models import Document
from .serializers import DocumentSerializer
from .permissions import IsContentOwnerOrAdministrator
class DocumentViewSet(viewsets.ModelViewSet):
"""
文档API,允许所有者和管理员访问
"""
queryset = Document.objects.all()
serializer_class = DocumentSerializer
permission_classes = [IsContentOwnerOrAdministrator]
def perform_create(self, serializer):
# 自动设置当前用户为文档所有者
serializer.save(created_by=self.request.user)
```
### 3. 基于角色的灵活权限
```python
# views.py
from rest_framework import viewsets, mixins
from .models import Report
from .serializers import ReportSerializer
from .permissions import RoleBasedPermission
from common.user_enums import UserRoles
class ReportViewSet(mixins.RetrieveModelMixin,
mixins.ListModelMixin,
viewsets.GenericViewSet):
"""
报告API,不同角色有不同权限
"""
queryset = Report.objects.all()
serializer_class = ReportSerializer
# 配置基于方法和角色的权限
permission_classes = [RoleBasedPermission(
allowed_roles=[UserRoles.SYSTEM_ADMIN, UserRoles.SECURITY_ADMIN, UserRoles.AUDITOR],
method_roles={
'GET': [UserRoles.SYSTEM_ADMIN, UserRoles.SECURITY_ADMIN, UserRoles.AUDITOR],
'POST': [UserRoles.SYSTEM_ADMIN, UserRoles.SECURITY_ADMIN],
'PUT': [UserRoles.SYSTEM_ADMIN],
'DELETE': [UserRoles.SYSTEM_ADMIN],
}
)]
```
### 4. 全局权限配置
在设置文件中配置默认权限:
```python
# settings.py
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': [
'rest_framework.permissions.IsAuthenticated', # 默认需要认证
],
'EXCEPTION_HANDLER': 'apps.core.exceptions.custom_exception_handler',
}
# 自定义异常处理,提供更友好的权限错误消息
# apps/core/exceptions.py
from rest_framework.views import exception_handler
from rest_framework.response import Response
from rest_framework import status
def custom_exception_handler(exc, context):
# 调用DRF的默认异常处理
response = exception_handler(exc, context)
# 处理权限拒绝异常
if response is not None and response.status_code == status.HTTP_403_FORBIDDEN:
response.data = {
'error': '权限不足',
'message': str(exc) if str(exc) else '您没有执行此操作的权限',
'code': 'permission_denied',
}
return response
```
### 5. 高级权限模式
```python
# permissions.py
from rest_framework import permissions
from django.core.cache import cache
class CachedRolePermission(permissions.BasePermission):
"""
带缓存的角色权限类,提高性能
"""
CACHE_TIMEOUT = 300 # 5分钟缓存
def has_permission(self, request, view):
user = request.user
# 使用缓存避免频繁查询数据库
cache_key = f"user_{user.id}_roles"
user_roles = cache.get(cache_key)
if user_roles is None:
# 从数据库或用户对象获取角色
user_roles = self._get_user_roles(user)
cache.set(cache_key, user_roles, self.CACHE_TIMEOUT)
# 检查权限
return self._check_roles(user_roles)
def _get_user_roles(self, user):
"""获取用户角色(可根据实际项目调整)"""
# 示例:从用户属性获取角色
if hasattr(user, 'role'):
return [user.role]
# 示例:从关联模型获取角色
if hasattr(user, 'roles'):
return list(user.roles.values_list('name', flat=True))
# 示例:从组获取角色
return list(user.groups.values_list('name', flat=True))
def _check_roles(self, roles):
"""检查角色权限(抽象方法,由子类实现)"""
raise NotImplementedError("子类必须实现此方法")
class CachedAdministratorPermission(CachedRolePermission):
"""带缓存的系统管理员权限"""
def _check_roles(self, roles):
allowed_roles = [UserRoles.SYSTEM_ADMIN, UserRoles.SECURITY_ADMIN]
return any(role in allowed_roles for role in roles)
```
### 6. 测试权限类
```python
# tests/test_permissions.py
from django.test import TestCase, RequestFactory
from rest_framework.test import APITestCase
from apps.knowledge.permissions import IsAdministrator
from common.user_enums import UserRoles
from apps.users.models import User
class IsAdministratorPermissionTest(TestCase):
def setUp(self):
self.factory = RequestFactory()
self.permission = IsAdministrator()
# 创建测试用户
self.admin_user = User.objects.create(
username='admin',
email='admin@example.com',
role=UserRoles.SYSTEM_ADMIN
)
self.regular_user = User.objects.create(
username='user',
email='user@example.com',
role=UserRoles.REGULAR_USER
)
def test_admin_has_permission(self):
# 创建模拟请求
request = self.factory.get('/test/')
request.user = self.admin_user
# 测试权限
has_perm = self.permission.has_permission(request, None)
self.assertTrue(has_perm)
def test_regular_user_no_permission(self):
# 创建模拟请求
request = self.factory.get('/test/')
request.user = self.regular_user
# 测试权限
has_perm = self.permission.has_permission(request, None)
self.assertFalse(has_perm)
def test_unauthenticated_user_no_permission(self):
# 创建模拟请求(未认证用户)
request = self.factory.get('/test/')
request.user = None
# 测试权限
has_perm = self.permission.has_permission(request, None)
self.assertFalse(has_perm)
```
## 最佳实践总结
1. **权限粒度控制**:
- 使用`has_permission`控制视图级访问
- 使用`has_object_permission`控制对象级访问
2. **错误处理**:
- 提供清晰的错误消息
- 记录权限拒绝日志用于审计
3. **性能优化**:
- 对频繁检查的权限使用缓存
- 避免在权限检查中进行复杂数据库查询
4. **可维护性**:
- 创建可重用的权限基类
- 使用配置化的权限系统
5. **安全性**:
- 默认拒绝所有权限,显式允许所需权限
- 定期审计权限配置和使用情况
这个企业级权限系统提供了灵活的权限控制机制,可以适应各种复杂的业务场景,同时保持了代码的可维护性和性能。
浙公网安备 33010602011771号