1. 需求vs現(xiàn)狀

1.1 需求

要求做一個ERP后臺輔助管理的程序，有以下幾項基本要求：

1. 基本的增刪改查功能

2. 基于對象的權(quán)限控制（如：系統(tǒng)用戶分為平臺運營人員和商家用戶，商家用戶小A只能查看編輯所屬商家記錄，而管理員可以縱覽全局）

3. 數(shù)據(jù)庫記錄導(dǎo)入導(dǎo)出（xsl, json等），并且擁有對象級的權(quán)限控制（如：小A不能導(dǎo)出小B公司的信息，更不能導(dǎo)入小B公司信息進行更新和新增）

1.2 現(xiàn)狀

實現(xiàn)需求1：Django-admin讓我們能夠很方便的實現(xiàn)一個管理后臺程序。django-xadmin則在擁有admin基本功能的基礎(chǔ)上增加了更為豐富的功能、界面也更加漂亮。類似還有django-suit等，本文使用xadmin（功能更豐富）；

實現(xiàn)需求2：django-admin，以及xadmin都只有基于model級的權(quán)限控制機制，需要自己擴展或者使用開源解決方案，如django-guardian，django-rules，本文結(jié)合django-rules實現(xiàn)了該功能；

實現(xiàn)需求3：xadmin雖然自帶導(dǎo)出功能，但是導(dǎo)入功能沒有實現(xiàn)，django自帶后臺結(jié)合django-import-export可以很容易實現(xiàn)，但是xadmin并不直接兼容，只有通過xadmin的插件機制實現(xiàn)。

2. 功能實現(xiàn)

本節(jié)主要展示對象級權(quán)限功能實現(xiàn)。django工程、xadmin替換原生admin的設(shè)置，請參照官方文檔。

2.1 安裝并配置rules

pip安裝:pip install django-rules

配置settings.py

# settings.pyINSTALLED_APPS = ( # ... ’rules’,)AUTHENTICATION_BACKENDS = ( ’rules.permissions.ObjectPermissionBackend’, ’django.contrib.auth.backends.ModelBackend’,)

2.2 建立model

新增CompanyUser模型表示商家賬戶（即對django自帶user模塊進行擴展，使每個賬號綁定自己的公司碼），新增Customer模型表示商家的客戶信息并包含公司碼字段，商家賬號只能查看、編輯、導(dǎo)入、導(dǎo)出公司碼一致的商家客戶信息

# model.pyclass CompanyUser(models.Model): user = models.OneToOneField(User, verbose_name=’用戶名’) is_taixiang_admin = models.BooleanField(’是否運營人員’, default=False) company_code = models.CharField(’公司碼’, max_length=20, blank=True, default=’’) def __unicode__(self): return ’%s’ % self.user class Meta: verbose_name = ’導(dǎo)入賬號’ verbose_name_plural = verbose_nameclass Customer(models.Model): name = models.CharField(’客戶姓名’, max_length=50) phone = models.CharField(’客戶電話’, max_length=12) type_choice = ((1, ’普通’), (2, ’批發(fā)’), (3, ’VIP’)) creator = models.ForeignKey(settings.AUTH_USER_MODEL, verbose_name=’創(chuàng)建人’, blank=True, null=True) company_code = models.CharField(’公司碼’, max_length=20, blank=True, null=True) def __unicode__(self): return ’%s-%s-%s’ % (self.company_code, self.name, self.phone1) class Meta: permissions = ( ('simulate_import_customer', '允許模擬導(dǎo)入客戶'), ('import_customer', '允許導(dǎo)入客戶至商家系統(tǒng)'), ) verbose_name = '客戶' verbose_name_plural = verbose_name

2.2 使用rule

在model統(tǒng)計目錄新增rules.py，配置該app相關(guān)的對象權(quán)限

引用rules

# rules.py# On Python 2, you must also add the following to the top of your rules.py file, or you’ll get import errors trying to import django-rules itselffrom __future__ import absolute_importimport rules# 使用修飾符@rules.predicate自定義predicates（判斷），返回True表示有權(quán)限，F(xiàn)alse表示無權(quán)限# Predicates@rules.predicatedef is_colleague(user, entry): if not entry or not hasattr(user, ’companyuser’): return False return entry.company_code == user.companyuser.company_code@rules.predicatedef is_taixiang_admin(user): if not hasattr(user, ’companyuser’): return False return user.companyuser.is_taixiang_admin# predicates間可以進行運算is_colleague_or_taixiang_admin = is_colleague | is_taixiang_admin | rules.is_superuser# 設(shè)置Rulesrules.add_rule(’can_view_customer’, is_colleague_or_taixiang_admin)rules.add_rule(’can_delete_customer’, is_colleague_or_taixiang_admin)rules.add_perm(’can_change_customer’, is_colleague_or_taixiang_admin)# 設(shè)置Permissionsrules.add_perm(’data_import.view_customer’, is_colleague_or_taixiang_admin)rules.add_perm(’data_import.delete_customer’, is_colleague_or_taixiang_admin)rules.add_perm(’data_import.add_customer’, is_colleague_or_taixiang_admin)rules.add_perm(’data_import.change_customer’, is_colleague_or_taixiang_admin)

2.3 admin.py以及adminx.py設(shè)置

如果使用原生的django-admin，admin.py做如下設(shè)置：

# admin.pyfrom __future__ import absolute_importfrom django.contrib import adminfrom rules.contrib.admin import ObjectPermissionsModelAdminfrom .models import Customer# ModelAdmin class繼承ObjectPermissionsModelAdmin即可class CustomerAdmin(ObjectPermissionsModelAdmin): passadmin.site.register(Customer, CustomerAdmin)

使用xadmin，由于ObjectPermissionsModelAdmin無法直接使用，故參照源碼重寫has_change_permission和has_delete_permission方法即可。

注意：必須引用rules文件，權(quán)限規(guī)則才會生效，對于xadmin，添加

from .rules import *即可

# adminx.pyclass CustomerAdmin(object): def has_change_permission(self, obj=None): codename = get_permission_codename(’change’, self.opts) return self.user.has_perm(’%s.%s’ % (self.app_label, codename), obj) def has_delete_permission(self, obj=None): codename = get_permission_codename(’delete’, self.opts) return self.user.has_perm(’%s.%s’ % (self.app_label, codename), obj) # 重寫queryset()或者get_list_display()，list view的權(quán)限也做到了對象級隔離 def queryset(self): qs = super(CustomerAdmin, self).queryset() if self.request.user.is_superuser or is_taixiang_admin(self.request.user): return qs try: return qs.filter(company_code=self.request.user.companyuser.company_code) except AttributeError: return Noneclass CompanyUserAdmin(object): passxadmin.sites.site.register(Customer, CustomerAdmin)xadmin.sites.site.register(CompanyUser, CompanyUserAdmin)

2.4 效果展示

CompanyUser設(shè)置：

商家賬號只有所屬公司信息權(quán)限

運營人員擁有所有記錄權(quán)限

補充知識：django 擴展自帶權(quán)限,使其支持對象權(quán)限

擴展django 自帶權(quán)限

說明

在不重寫 自帶權(quán)限的基礎(chǔ)上，完成支持對象權(quán)限，適用于小型項目。

歡迎提出修改意見

軟件支持

jsonfield

數(shù)據(jù)庫

新建3個表

from django.db import modelsfrom django.contrib.auth.models import AbstractUser, Group ,User from jsonfield import JSONField class Request(models.Model): request = models.CharField(max_length=16, verbose_name=’請求類型(大寫)’) class Meta: db_table = 'request' verbose_name = '請求類型' verbose_name_plural = verbose_name def __str__(self): return self.request class RolePermission(models.Model): role = models.CharField(max_length=32, verbose_name=’角色組’) table = models.CharField(max_length=32, verbose_name=’表名字’) request = models.ManyToManyField(Request, verbose_name=’請求’, related_name=’re’, ) permission = JSONField(max_length=1024, verbose_name=’權(quán)限條件’) class Meta: db_table = 'role_permission' verbose_name = '角色組權(quán)限' verbose_name_plural = verbose_name def __str__(self): return self.role class Role(models.Model): group = models.ForeignKey(Group, verbose_name=’用戶組’, on_delete=models.CASCADE) roles = models.ManyToManyField(RolePermission, verbose_name=’角色組權(quán)限’, blank=True,related_name=’roles’ ) class Meta: db_table = 'role' verbose_name = '角色組關(guān)系' verbose_name_plural = verbose_name def __str__(self): return self.group.name

system/modelsRole 角色組關(guān)系 : 系統(tǒng)用戶組 <--> 角色組權(quán)限Request 請求類型 : GET ,POSTRolePermission 角色組權(quán)限 : 角色 表名字 請求 權(quán)限條件(JSON類型)

重點為 RolePermission 表。

例子

以常見的資產(chǎn) asset 為例

表名字 asset 字段 groups (分組 為 dev,ops)權(quán)限劃分新建用戶 hequan新建組 dev

在Request 表 添加

GET （代表只讀）POST （代表更新 刪除）

在RolePermission 添加

角色 asset-dev只讀 表名字assset 請求 GET 權(quán)限條件 {'groups':’dev’}

在Role 表中 添加

系統(tǒng)用戶組 dev 角色組權(quán)限 asset-dev只讀

權(quán)限驗證代碼

import jsonfrom system.models import Rolefrom functools import wrapsfrom django.shortcuts import HttpResponse def role_permission_get_list(function): ''' 列表頁面 控制權(quán)限 :param function: :return: ''' @wraps(function) def wrapped(self): user = self.request.user groups = [x[’name’] for x in self.request.user.groups.values()] request_type = self.request.method model = str(self.model._meta).split('.')[1] filter_dict = {} not_list = [’page’, ’order_by’, ’csrfmiddlewaretoken’] for k, v in dict(self.request.GET).items(): if [i for i in v if i != ’’] and (k not in not_list):if ’__in’ in k: filter_dict[k] = velse: filter_dict[k] = v[0] if not user.is_superuser: role_groups = Role.objects.filter(group__name__in=groups).values_list(’roles__table’, ’roles__request__request’, ’roles__permission’) permission_dict = {} for i in role_groups:if i[0] == model and i[1] == request_type: permission_dict = json.loads(i[2]) if permission_dict:if filter_dict: for k, v in permission_dict.items(): if ’__in’ in k: k1 = k.replace(’__in’, ’’) if ’__gt’ in k: k1 = k.replace(’__gt’, ’’) if ’__lt’ in k: k1 = k.replace(’__lt’, ’’) else: k1 = k if k1 in list(filter_dict.keys()): del filter_dict[k1] if filter_dict: filter_dict.update(**permission_dict) else: print(’查詢條件處理后為空,默認權(quán)限’) filter_dict = permission_dictelse: print(’查詢條件為空,默認權(quán)限’) filter_dict = permission_dict else:print(’沒有權(quán)限’)filter_dict = {’id’: -1} self.filter_dict = filter_dict result = function(self) return result return wrapped def role_permission_detail(function): ''' 詳情頁面 控制權(quán)限 :param function: :return: ''' @wraps(function) def wrapped(self, request, *args, **kwargs): user = self.request.user if not user.is_superuser: groups = [x[’name’] for x in self.request.user.groups.values()] request_type = self.request.method model = str(self.model._meta).split('.')[1] pk = self.kwargs.get(self.pk_url_kwarg, None) role_groups = Role.objects.filter(group__name__in=groups).values_list(’roles__table’, ’roles__request__request’, ’roles__permission’) permission_dict = {} for i in role_groups:if i[0] == model and i[1] == request_type: permission_dict = json.loads(i[2]) permission_dict[’id’] = pk obj = self.model.objects.filter(**permission_dict).count() if not obj:return HttpResponse(status=403) result = function(self, request, *args, **kwargs) return result return wrapped def role_permission_update_delete(function): ''' 詳情頁面 控制權(quán)限 :param function: :return: ''' @wraps(function) def wrapped(self, request): user = self.request.user if not user.is_superuser: groups = [x[’name’] for x in self.request.user.groups.values()] request_type = self.request.method model = str(self.model._meta).split('.')[1] pk = self.request.POST.get(’nid’, None) role_groups = Role.objects.filter(group__name__in=groups).values_list(’roles__table’, ’roles__request__request’, ’roles__permission’) permission_dict = {} for i in role_groups:if i[0] == model and i[1] == request_type: permission_dict = json.loads(i[2]) permission_dict[’id’] = pk obj = self.model.objects.filter(**permission_dict).count() if not obj:ret = {’status’: None, ’error’: '沒有權(quán)限,拒絕', ’msg’: ’Without permission, rejected’}return HttpResponse(json.dumps(ret)) result = function(self, request) return result return wrapped

CBV 例子

省略部分代碼

class AssetListAll(LoginRequiredMixin, ListView): model = Ecs @role_permission_get_list def get_queryset(self): filter_dict = self.filter_dict self.queryset = self.model.objects.filter(**filter_dict) return self.queryset

class AssetChange(LoginRequiredMixin, UpdateView): model = Ecs @role_permission_detail def dispatch(self, request, *args, **kwargs): return super().dispatch(request, *args, **kwargs) @role_permission_update_delete def form_valid(self, form): self.object = form.save() return super().form_valid(form)

class AssetDetail(LoginRequiredMixin, DetailView): model = Ecs @role_permission_detail def dispatch(self, request, *args, **kwargs): return super().dispatch(request, *args, **kwargs)

class AssetDel(LoginRequiredMixin, View): model = Ecs @role_permission_update_delete def post(self, request): pass

以上這篇Django-xadmin+rule對象級權(quán)限的實現(xiàn)方式就是小編分享給大家的全部內(nèi)容了，希望能給大家一個參考，也希望大家多多支持好吧啦網(wǎng)。