Django实战（23）：权限控制

我们已经实现了登录和注销功能，但是它还没有起作用。因为匿名用户还是可以通过直接输入url：http://localhost:8000/depotapp/product/list/ 访问到产品管理界面。这就好像你在门上加了把锁，却没有把窗户关上一样。所以我们还需要进行访问控制。

我们这里实现最简单的控制，非登录用户禁止访问产品管理界面。在Django里面，只需要在相应的视图函数前面增加@login_required修饰符即可：

 

from django.contrib.auth.decorators import login_required ... ... @login_required def list_product(request): list_items = Product.objects.all() ... ...

 

login_required实现了如下功能:

如果用户没有登录, 重定向到/accounts/login/，并且把当前绝对URL作为next参数用get方法传递过去；

如果用户已经登录, 正常地执行视图函数。

 

这样我们例子中需要的功能就实现了。但是这充其量是“登录限制”，而更常见的需求是“访问控制”，即区分已经登录的用户，对不同的视图有不同的访问权限。因为我们的例子中没有涉及到，所以只把相关的做法简单例举在下面。

1.访问控制功能通过Django的 request.user.has_perm（） 来实现，该函数返回True或False，表示该用户是否有权限。而权限是auth 应用中定义的Permission类型；User与Permission是many-to-many的关系。

2. Django还提供了一个@permission_required修饰符，来限定view函数只有在User具有相应权限的情况下才能被访问。

3. Django对于每个模型类，自动增加add、change、delete三种权限，以便于权限控制。当然你也可以设定自己的权限。