1. 需求vs現狀

1.1 需求

要求做一個ERP后臺輔助管理的程序，有以下幾項基本要求：

1. 基本的增刪改查功能

2. 基于對象的權限控制（如：系統用戶分為平臺運營人員和商家用戶，商家用戶小A只能查看編輯所屬商家記錄，而管理員可以縱覽全局）

3. 數據庫記錄導入導出（xsl, json等），并且擁有對象級的權限控制（如：小A不能導出小B公司的信息，更不能導入小B公司信息進行更新和新增）

1.2 現狀

實現需求1：Django-admin讓我們能夠很方便的實現一個管理后臺程序。django-xadmin則在擁有admin基本功能的基礎上增加了更為豐富的功能、界面也更加漂亮。類似還有django-suit等，本文使用xadmin（功能更豐富）；

實現需求2：django-admin，以及xadmin都只有基于model級的權限控制機制，需要自己擴展或者使用開源解決方案，如django-guardian，django-rules，本文結合django-rules實現了該功能；

實現需求3：xadmin雖然自帶導出功能，但是導入功能沒有實現，django自帶后臺結合django-import-export可以很容易實現，但是xadmin并不直接兼容，只有通過xadmin的插件機制實現。

2. 功能實現

本節主要展示對象級權限功能實現。django工程、xadmin替換原生admin的設置，請參照官方文檔。

2.1 安裝并配置rules

pip安裝:pip install django-rules

配置settings.py

# settings.pyINSTALLED_APPS = ( # ... ’rules’,)AUTHENTICATION_BACKENDS = ( ’rules.permissions.ObjectPermissionBackend’, ’django.contrib.auth.backends.ModelBackend’,)

2.2 建立model

新增CompanyUser模型表示商家賬戶（即對django自帶user模塊進行擴展，使每個賬號綁定自己的公司碼），新增Customer模型表示商家的客戶信息并包含公司碼字段，商家賬號只能查看、編輯、導入、導出公司碼一致的商家客戶信息

# model.pyclass CompanyUser(models.Model): user = models.OneToOneField(User, verbose_name=’用戶名’) is_taixiang_admin = models.BooleanField(’是否運營人員’, default=False) company_code = models.CharField(’公司碼’, max_length=20, blank=True, default=’’) def __unicode__(self): return ’%s’ % self.user class Meta: verbose_name = ’導入賬號’ verbose_name_plural = verbose_nameclass Customer(models.Model): name = models.CharField(’客戶姓名’, max_length=50) phone = models.CharField(’客戶電話’, max_length=12) type_choice = ((1, ’普通’), (2, ’批發’), (3, ’VIP’)) creator = models.ForeignKey(settings.AUTH_USER_MODEL, verbose_name=’創建人’, blank=True, null=True) company_code = models.CharField(’公司碼’, max_length=20, blank=True, null=True) def __unicode__(self): return ’%s-%s-%s’ % (self.company_code, self.name, self.phone1) class Meta: permissions = ( ('simulate_import_customer', '允許模擬導入客戶'), ('import_customer', '允許導入客戶至商家系統'), ) verbose_name = '客戶' verbose_name_plural = verbose_name

2.2 使用rule

在model統計目錄新增rules.py，配置該app相關的對象權限

引用rules

# rules.py# On Python 2, you must also add the following to the top of your rules.py file, or you’ll get import errors trying to import django-rules itselffrom __future__ import absolute_importimport rules# 使用修飾符@rules.predicate自定義predicates（判斷），返回True表示有權限，False表示無權限# [email protected] is_colleague(user, entry): if not entry or not hasattr(user, ’companyuser’): return False return entry.company_code == [email protected] is_taixiang_admin(user): if not hasattr(user, ’companyuser’): return False return user.companyuser.is_taixiang_admin# predicates間可以進行運算is_colleague_or_taixiang_admin = is_colleague | is_taixiang_admin | rules.is_superuser# 設置Rulesrules.add_rule(’can_view_customer’, is_colleague_or_taixiang_admin)rules.add_rule(’can_delete_customer’, is_colleague_or_taixiang_admin)rules.add_perm(’can_change_customer’, is_colleague_or_taixiang_admin)# 設置Permissionsrules.add_perm(’data_import.view_customer’, is_colleague_or_taixiang_admin)rules.add_perm(’data_import.delete_customer’, is_colleague_or_taixiang_admin)rules.add_perm(’data_import.add_customer’, is_colleague_or_taixiang_admin)rules.add_perm(’data_import.change_customer’, is_colleague_or_taixiang_admin)

2.3 admin.py以及adminx.py設置

如果使用原生的django-admin，admin.py做如下設置：

# admin.pyfrom __future__ import absolute_importfrom django.contrib import adminfrom rules.contrib.admin import ObjectPermissionsModelAdminfrom .models import Customer# ModelAdmin class繼承ObjectPermissionsModelAdmin即可class CustomerAdmin(ObjectPermissionsModelAdmin): passadmin.site.register(Customer, CustomerAdmin)

使用xadmin，由于ObjectPermissionsModelAdmin無法直接使用，故參照源碼重寫has_change_permission和has_delete_permission方法即可。

注意：必須引用rules文件，權限規則才會生效，對于xadmin，添加

from .rules import *即可

# adminx.pyclass CustomerAdmin(object): def has_change_permission(self, obj=None): codename = get_permission_codename(’change’, self.opts) return self.user.has_perm(’%s.%s’ % (self.app_label, codename), obj) def has_delete_permission(self, obj=None): codename = get_permission_codename(’delete’, self.opts) return self.user.has_perm(’%s.%s’ % (self.app_label, codename), obj) # 重寫queryset()或者get_list_display()，list view的權限也做到了對象級隔離 def queryset(self): qs = super(CustomerAdmin, self).queryset() if self.request.user.is_superuser or is_taixiang_admin(self.request.user): return qs try: return qs.filter(company_code=self.request.user.companyuser.company_code) except AttributeError: return Noneclass CompanyUserAdmin(object): passxadmin.sites.site.register(Customer, CustomerAdmin)xadmin.sites.site.register(CompanyUser, CompanyUserAdmin)

2.4 效果展示

CompanyUser設置：

商家賬號只有所屬公司信息權限

運營人員擁有所有記錄權限

補充知識：django 擴展自帶權限,使其支持對象權限

擴展django 自帶權限

說明

在不重寫 自帶權限的基礎上，完成支持對象權限，適用于小型項目。

歡迎提出修改意見

軟件支持

jsonfield

數據庫

新建3個表

from django.db import modelsfrom django.contrib.auth.models import AbstractUser, Group ,User from jsonfield import JSONField class Request(models.Model): request = models.CharField(max_length=16, verbose_name=’請求類型(大寫)’) class Meta: db_table = 'request' verbose_name = '請求類型' verbose_name_plural = verbose_name def __str__(self): return self.request class RolePermission(models.Model): role = models.CharField(max_length=32, verbose_name=’角色組’) table = models.CharField(max_length=32, verbose_name=’表名字’) request = models.ManyToManyField(Request, verbose_name=’請求’, related_name=’re’, ) permission = JSONField(max_length=1024, verbose_name=’權限條件’) class Meta: db_table = 'role_permission' verbose_name = '角色組權限' verbose_name_plural = verbose_name def __str__(self): return self.role class Role(models.Model): group = models.ForeignKey(Group, verbose_name=’用戶組’, on_delete=models.CASCADE) roles = models.ManyToManyField(RolePermission, verbose_name=’角色組權限’, blank=True,related_name=’roles’ ) class Meta: db_table = 'role' verbose_name = '角色組關系' verbose_name_plural = verbose_name def __str__(self): return self.group.name

system/modelsRole 角色組關系 : 系統用戶組 <--> 角色組權限Request 請求類型 : GET ,POSTRolePermission 角色組權限 : 角色 表名字 請求 權限條件(JSON類型)

重點為 RolePermission 表。

例子

以常見的資產 asset 為例

表名字 asset 字段 groups (分組 為 dev,ops)權限劃分新建用戶 hequan新建組 dev

在Request 表 添加

GET （代表只讀）POST （代表更新 刪除）

在RolePermission 添加

角色 asset-dev只讀 表名字assset 請求 GET 權限條件 {'groups':’dev’}

在Role 表中 添加

系統用戶組 dev 角色組權限 asset-dev只讀

權限驗證代碼

import jsonfrom system.models import Rolefrom functools import wrapsfrom django.shortcuts import HttpResponse def role_permission_get_list(function): ''' 列表頁面 控制權限 :param function: :return: ''' @wraps(function) def wrapped(self): user = self.request.user groups = [x[’name’] for x in self.request.user.groups.values()] request_type = self.request.method model = str(self.model._meta).split('.')[1] filter_dict = {} not_list = [’page’, ’order_by’, ’csrfmiddlewaretoken’] for k, v in dict(self.request.GET).items(): if [i for i in v if i != ’’] and (k not in not_list):if ’__in’ in k: filter_dict[k] = velse: filter_dict[k] = v[0] if not user.is_superuser: role_groups = Role.objects.filter(group__name__in=groups).values_list(’roles__table’, ’roles__request__request’, ’roles__permission’) permission_dict = {} for i in role_groups:if i[0] == model and i[1] == request_type: permission_dict = json.loads(i[2]) if permission_dict:if filter_dict: for k, v in permission_dict.items(): if ’__in’ in k: k1 = k.replace(’__in’, ’’) if ’__gt’ in k: k1 = k.replace(’__gt’, ’’) if ’__lt’ in k: k1 = k.replace(’__lt’, ’’) else: k1 = k if k1 in list(filter_dict.keys()): del filter_dict[k1] if filter_dict: filter_dict.update(**permission_dict) else: print(’查詢條件處理后為空,默認權限’) filter_dict = permission_dictelse: print(’查詢條件為空,默認權限’) filter_dict = permission_dict else:print(’沒有權限’)filter_dict = {’id’: -1} self.filter_dict = filter_dict result = function(self) return result return wrapped def role_permission_detail(function): ''' 詳情頁面 控制權限 :param function: :return: ''' @wraps(function) def wrapped(self, request, *args, **kwargs): user = self.request.user if not user.is_superuser: groups = [x[’name’] for x in self.request.user.groups.values()] request_type = self.request.method model = str(self.model._meta).split('.')[1] pk = self.kwargs.get(self.pk_url_kwarg, None) role_groups = Role.objects.filter(group__name__in=groups).values_list(’roles__table’, ’roles__request__request’, ’roles__permission’) permission_dict = {} for i in role_groups:if i[0] == model and i[1] == request_type: permission_dict = json.loads(i[2]) permission_dict[’id’] = pk obj = self.model.objects.filter(**permission_dict).count() if not obj:return HttpResponse(status=403) result = function(self, request, *args, **kwargs) return result return wrapped def role_permission_update_delete(function): ''' 詳情頁面 控制權限 :param function: :return: ''' @wraps(function) def wrapped(self, request): user = self.request.user if not user.is_superuser: groups = [x[’name’] for x in self.request.user.groups.values()] request_type = self.request.method model = str(self.model._meta).split('.')[1] pk = self.request.POST.get(’nid’, None) role_groups = Role.objects.filter(group__name__in=groups).values_list(’roles__table’, ’roles__request__request’, ’roles__permission’) permission_dict = {} for i in role_groups:if i[0] == model and i[1] == request_type: permission_dict = json.loads(i[2]) permission_dict[’id’] = pk obj = self.model.objects.filter(**permission_dict).count() if not obj:ret = {’status’: None, ’error’: '沒有權限,拒絕', ’msg’: ’Without permission, rejected’}return HttpResponse(json.dumps(ret)) result = function(self, request) return result return wrapped

CBV 例子

省略部分代碼

class AssetListAll(LoginRequiredMixin, ListView): model = Ecs @role_permission_get_list def get_queryset(self): filter_dict = self.filter_dict self.queryset = self.model.objects.filter(**filter_dict) return self.queryset

class AssetChange(LoginRequiredMixin, UpdateView): model = Ecs @role_permission_detail def dispatch(self, request, *args, **kwargs): return super().dispatch(request, *args, **kwargs) @role_permission_update_delete def form_valid(self, form): self.object = form.save() return super().form_valid(form)

class AssetDetail(LoginRequiredMixin, DetailView): model = Ecs @role_permission_detail def dispatch(self, request, *args, **kwargs): return super().dispatch(request, *args, **kwargs)

class AssetDel(LoginRequiredMixin, View): model = Ecs @role_permission_update_delete def post(self, request): pass

以上這篇Django-xadmin+rule對象級權限的實現方式就是小編分享給大家的全部內容了，希望能給大家一個參考，也希望大家多多支持好吧啦網。