用户权限的验证(Validation)
用户权限的验证(Validation)
在分配好权限后,我们还需要在视图views.py和模板里验证用户是否具有相应的权限,否则前面设置的权限形同虚设。这就是为什么我们前面很多django实战案例里,没有给用户分配某个模型的add和change权限,用户还是还能创建和编辑对象的原因。
1. 视图中验证
在视图中你当然可以使用user.has_perm方法对一个用户的权限进行直接验证。当然一个更好的方法是使用@permission_required这个装饰器。
permission_required(perm, login_url=None, raise_exception=False)
你如果指定了login_url, 用户会被要求先登录。如果你设置了raise_exception=True, 会直接返回403无权限的错误,而不会跳转到登录页面。使用方法如下所示:
from django.contrib.auth.decorators import permission_required
@permission_required('polls.can_vote')
def my_view(request):
...
如果你使用基于类的视图(Class Based View), 而不是函数视图,你需要继承PermissionRequiredMixin这个类,如下所示:
from django.contrib.auth.mixins import PermissionRequiredMixin
class MyView(PermissionRequiredMixin, View):
permission_required = 'polls.can_vote'
# Or multiple of permissions:
permission_required = ('polls.can_open', 'polls.can_edit')
(polls.can_vote 就是 poll 应用中的模型中的一个权限)
2. 模板中验证
在模板中验证用户权限主要需要学会使用perms这个全局变量。perms对当前用户的user.has_module_perms和user.has_perm方法进行了封装。当我们需要判断当前用户是否拥有blog应用下的所有权限时,我们可以使用:
{{ perms.blog }}
我们如果判断当前用户是否拥有blog应用下发表文章讨论的权限,则使用:
{{ perms.blog.comment_article }}
这样结合template的if标签,我们可以通过判断当前用户所具有的权限,显示不同的内容了.
{% if blog.article %}
You have permission to do something in this blog app.
{% if perms.blog.add_article %}
You can add articles.
{% endif %}
{% if perms.blog.comment_article %}
You can comment articles!
{% endif %}
{% else %}
You don't have permission to do anything in the blog app.
{% endif %}
用户组(Group)
用户组(Group)和User模型是多对多的关系。其作用在权限控制时可以批量对用户的权限进行管理和分配,而不用一个一个用户分配,节省工作量。将一个用户加入到一个Group中后,该用户就拥有了该Group所分配的所有权限。例如,如果一个用户组editors有权限change_article, 那么所有属于editors组的用户都会有这个权限。
将用户添加到用户组或者给用户组(group)添加权限,一般建议直接通过django admin进行。如果你希望手动给group添加或删除权限,你可以使用如下方法。
mygroup.permissions = [permission_list]
mygroup.permissions.add(permission, permission, ...)
mygroup.permissions.remove(permission, permission, ...)
mygroup.permissions.clear()
如果你要将某个用户移除某个用户组,可以使用如下方法。
myuser.groups.remove(group, group, ...) #
myuser.groups.clear()
参考:https://blog.csdn.net/weixin_42134789/article/details/84567337