文章目录
用户权限,指的是一个帐户登录后,有些功能可以使用,有些功能无法使用,这就是管理员对其设置的权限,只有附合权限的人才可以使用对应的功能。权限就是权利的限制范围。比较常见的是VIP用户和非VIP用户之间的权限差距。
用户的权限其实也可以理解为用户对路由访问的权限。我们设定一个用户不能访问某一个路由就相当于限制了用户的权限。那么如何限制用户访问路由,可以创建一个用户可以访问的路由表,查看用户请求的路由是否在该列表内即可。
由于用户的数量很多,不能直接将用户和路由对应,可以创建一张用户身份表,表示某一个用户能访问的路由权限。如下简易示例
用户表
| id | name | pwd |
|---|---|---|
| 1 | xwx | 123 |
| 2 | yyy | 321 |
| 3 | zzz | 222 |
权限表
| id | name | permission |
|---|---|---|
| 1 | 查看 | /check/ |
| 2 | 添加 | /add/ |
| 3 | 编辑 | /set/(\d+)/ |
| 4 | 删除 | /del/(\d+)/ |
身份表
| id | role |
|---|---|
| 1 | User |
| 2 | Vip |
| 3 | Admin |
用户与身份的关系表
| id | user_id | role_id |
|---|---|---|
| 1 | 1 | 3 |
| 2 | 2 | 1 |
| 3 | 3 | 2 |
身份与权限的关系表
| id | role_id | permission_id |
|---|---|---|
| 1 | 1 | 1 |
| 2 | 2 | 1 |
| 3 | 2 | 2 |
| 4 | 3 | 1 |
| 5 | 3 | 2 |
| 6 | 3 | 3 |
| 7 | 3 | 4 |
表外键关系
用户表与身份表之间有多对多关系,假设一个人可以有多个身份
身份表与权限表之间有多对多关系,一个身份有多个权限,一个权限可以被多个人拥有
ORM 表设计
from django.db import models
# 创建用户表
class User(models.Model):
name = models.CharField(max_length=32, verbose_name='用户名称')
pwd = models.IntegerField()
# 与身份表的多对多外键字段,假设可以跨身份,跨部门
roles = models.ManyToManyField(to='Role')
def __str__(self):
return self.name
# 创建身份表
class Role(models.Model):
title = models.CharField(max_length=32, verbose_name='身份名称')
# 和权限表的多对多关系字段,一个身份可以有多个权限,一个权限也可以被多个身份拥有
permissions = models.ManyToManyField(to='Permission')
def __str__(self):
return self.title
# 创建权限表
class Permission(models.Model):
name = models.CharField(max_length=32, verbose_name='权限名称')
url = models.CharField(max_length=32, verbose_name='权限url')
def __str__(self):
return self.name
class Userinfo(models.Model):
first_name = models.CharField(max_length=32, verbose_name='姓')
last_name = models.CharField(max_length=32, verbose_name='名')
phone = models.IntegerField()
addr = models.CharField(max_length=64, verbose_name='住址')
1. 项目结构
2. url.py 代码
from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^login/', views.Login.as_view(), name='login'),
url(r'^check/', views.Check.as_view(), name='check'),
url(r'^add/', views.Add.as_view(), name='add'),
url(r'^set/(\d+)/', views.Set.as_view(), name='set'),
url(r'^del/(\d+)/', views.Del.as_view(), name='del'),
]
3. check.html 代码
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script src="https://cdn.bootcdn.net/ajax/libs/jquery/2.2.4/jquery.min.js"></script>
<link href="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.3.6/css/bootstrap.min.css" rel="stylesheet">
<script src="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.3.6/js/bootstrap.min.js"></script>
</head>
<body>
<div class="container">
<div class="row">
<table class="table">
<tr>
<th>姓</th>
<th>名</th>
<th>电话</th>
<th>地址</th>
<th>操作</th>
</tr>
{% for foo in user_info %}
<tr>
<td>{{ foo.first_name }}</td>
<td>{{ foo.last_name }}</td>
<td>{{ foo.phone }}</td>
<td>{{ foo.addr }}</td>
<td>
<a href="{% url 'add' %}">新增</a>
<a href="{% url 'set' foo.pk %}">修改</a>
<a href="{% url 'del' foo.pk %}">删除</a>
</td>
</tr>
{% endfor %}
</table>
</div>
</div>
</body>
</html>
4. login.html 代码
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form method="post" action="">
{% csrf_token %}
<p><label>账号<input type="text" name="username"></label></p>
<p><label>密码<input type="text" name="password"></label></p>
<p><input type="submit"></p>
</form>
</body>
</html>
5. views.py 代码
from django.shortcuts import render, HttpResponse, redirect
from django.views import View
from app01 import models
class Check(View):
def get(self, request):
user_info = models.Userinfo.objects.filter()
return render(request, 'check.html', locals())
class Login(View):
def get(self, request):
return render(request, 'login.html')
def post(self, request):
username = request.POST.get('username')
password = request.POST.get('password')
user_obj = models.User.objects.filter(name=username, pwd=password).first()
if user_obj:
# 获取当前用户的权限列表,由于用户可能有多个身份,也就是会有重叠的路由,需要使用去重 distinct
permissions_list = models.User.objects.filter(name=username).values('roles__permissions__url').distinct()
# 将权限列表添加到session中
permissions_list = [i.get('roles__permissions__url') for i in permissions_list]
request.session['permissions_list'] = permissions_list
return redirect('/check/')
else:
return HttpResponse('用户不存在')
class Add(View):
def get(self, request):
return HttpResponse('新增')
class Set(View):
def get(self, request, *args):
return HttpResponse('修改')
class Del(View):
def get(self, request, *args):
return HttpResponse('删除')
6. mypermissions.py 代码
from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import render, HttpResponse, redirect
import re
class MyPermission(MiddlewareMixin):
def process_request(self, request):
# 获取用户请求的url
target_url = request.path
# 定义路由白名单
white_list = ['/login/', '/register/']
for white_url in white_list:
# 循环白名单并将路由变成正则形式,因为有些路由含有其他后缀
re_path = f'^{white_url}$'
# 调用re模块search方法,查看请求的路由是否满足这种表达式
# re.search(pattern, string, flags=0)
res = re.search(re_path, target_url)
if res:
return
permissions_list = request.session.get('permissions_list')
for url in permissions_list:
# 循环白名单并将路由变成正则形式,因为有些路由含有其他后缀
re_path = f'^{url}$'
# 调用re模块search方法,查看用户请求的路由是否满足正则表达式
# re.search(pattern, string, flags=0)
res = re.search(re_path, target_url)
if res:
return
return HttpResponse('您没有权限')
7. settings 中间件配置
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'app01.permissions.mypermissions.MyPermission'
]
上述代码只是简易的实现权限的分级。
1. 首先对每个用户进行分级,每一个身份等级有不同的访问路由权限,将路由添加到权限表中
2. 在login.html渲染的表单中登录,登录验证成功后查询当前用户身份对应的权限(如果一个用户只能有一个身份可以不
去重),将所有的路由权限添加到一个列表中,并将其储存在session中便于校验。
3. 在登录成功后我设定的是直接转向 /check/ 路由,但是肯定需要判断用户是否有权限,最好的方式是在自定义中间件中
判断,创建 permissions文件夹,并在该文件夹下定义 mypermissions.py文件用于自定义中间件
4. 在 mypermissions.py文件中创建 MyPermission类并继承 MiddlewareMixin类。然后编写校验逻辑,首先需要使
用 process_request方法,该方法是自定义中间件提供的用户请求来的时候执行。
5. 当用户请求时,首先获取用户请求的路由,使用 request.path获取。然后需要定义一个路由白名单,该名单中的路由
不论是哪一个用户都可以登录,这里添加的是 /login/,否则不好访问登录路由。
6. 对路由白名单进行循环,并将循环出来的路由变成正则表达式形式,由于用户访问的路由有可能带有其他后缀数据,用正
则比较合适。获得正则表达式后导入 re模块,并使用 re.search()方法,该方法第一个参数是正则表达式,第二个是
待匹配文本。若是匹配失败返回 None
7. 然后从session中取出路由列表,并进行比对,同样使用循环加正则的形式比对。如果路由列表内路由全都匹配失败这
里简易的返回 HttpResponse对象
我将应用程序升级到Rails4,一切正常。我可以登录并转到我的编辑页面。也更新了观点。使用标准View时,用户会更新。但是当我添加例如字段:name时,它不会在表单中更新。使用devise3.1.1和gem'protected_attributes'我需要在设备或数据库上运行某种更新命令吗?我也搜索过这个地方,找到了许多不同的解决方案,但没有一个会更新我的用户字段。我没有添加任何自定义字段。 最佳答案 如果您想允许额外的参数,您可以在ApplicationController中使用beforefilter,因为Rails4将参数
我意识到这可能是一个非常基本的问题,但我现在已经花了几天时间回过头来解决这个问题,但出于某种原因,Google就是没有帮助我。(我认为部分问题在于我是一个初学者,我不知道该问什么......)我也看过O'Reilly的RubyCookbook和RailsAPI,但我仍然停留在这个问题上.我找到了一些关于多态关系的信息,但它似乎不是我需要的(尽管如果我错了请告诉我)。我正在尝试调整MichaelHartl'stutorial创建一个包含用户、文章和评论的博客应用程序(不使用脚手架)。我希望评论既属于用户又属于文章。我的主要问题是:我不知道如何将当前文章的ID放入评论Controller。
我在新的Debian6VirtualBoxVM上安装RVM时遇到问题。我已经安装了所有需要的包并使用下载了安装脚本(curl-shttps://rvm.beginrescueend.com/install/rvm)>rvm,但以单个用户身份运行时bashrvm我收到以下错误消息:ERROR:Unabletocheckoutbranch.安装在这里停止,并且(据我所知)没有安装RVM的任何文件。如果我以root身份运行脚本(对于多用户安装),我会收到另一条消息:Successfullycheckedoutbranch''安装程序继续并指示成功,但未添加.rvm目录,甚至在修改我的.bas
大家好,我正在尝试设置一个开发环境,并且我一直在关注以下教程:Linktotutorial我做得不是很好,除了最基本的版本控制内容外,我对终端命令没有任何实际经验。我点击了第一个链接并尝试运行source~/.bash_profile我得到了错误;mkdir:/usr/local/rbenv/shims:权限被拒绝mkdir:/usr/local/rbenv/versions:权限被拒绝现在每次我加载终端时都会出现错误。bash_profile的内容;exportPATH=/usr/local/rbenv/bin:$PATHexportRBENV_ROOT=/usr/local/rbe
因为我现在正在做一些时间测量,我想知道是否可以在不使用Benchmark类或命令行实用程序time的情况下测量用户时间或系统时间。使用Time类只显示挂钟时间,而不显示系统和用户时间,但是我正在寻找具有相同灵active的解决方案,例如time=TimeUtility.now#somecodeuser,system,real=TimeUtility.now-time原因是我有点不喜欢Benchmark,因为它不能只返回数字(编辑:我错了-它可以。请参阅下面的答案。)。当然,我可以解析输出,但感觉不对。*NIX系统的time实用程序也应该可以解决我的问题,但我想知道是否已经在Ruby中实
我遇到了一个非常奇怪的问题,我很难解决。在我看来,我有一个与data-remote="true"和data-method="delete"的链接。当我单击该链接时,我可以看到对我的Rails服务器的DELETE请求。返回的JS代码会更改此链接的属性,其中包括href和data-method。再次单击此链接后,我的服务器收到了对新href的请求,但使用的是旧的data-method,即使我已将其从DELETE到POST(它仍然发送一个DELETE请求)。但是,如果我刷新页面,HTML与"new"HTML相同(随返回的JS发生变化),但它实际上发送了正确的请求类型。这就是这个问题令我困惑的
我是Ruby的新手。我试过查看在线文档,但没有找到任何有效的方法。我想在以下HTTP请求botget_response()和get()中包含一个用户代理。有人可以指出我正确的方向吗?#PreliminarycheckthatProggitisupcheck=Net::HTTP.get_response(URI.parse(proggit_url))ifcheck.code!="200"puts"ErrorcontactingProggit"returnend#Attempttogetthejsonresponse=Net::HTTP.get(URI.parse(proggit_url)
有人知道如何将capybarapoltergeist的用户代理覆盖到移动用户代理以进行测试吗?我发现了一些有关为seleniumwebdriver配置它的信息:http://blog.plataformatec.com.br/2011/03/configuring-user-agents-with-capybara-selenium-webdriver/这在capybara闹鬼中怎么可能? 最佳答案 请参阅poltergeistgithub页面上的链接:https://github.com/teampoltergeist/polte
A/ctohttp://wiki.nginx.org/CoreModule#usermaster进程曾经以root用户运行,是否可以以不同的用户运行nginxmaster进程? 最佳答案 只需以非root身份运行init脚本(即/etc/init.d/nginxstart),就可以用不同的用户运行nginxmaster进程。如果这真的是你想要做的,你将需要确保日志和pid目录(通常是/var/log/nginx&/var/run/nginx.pid)对该用户是可写的,并且您所有的listen调用都是针对大于1024的端口(因为绑定(
我想验证一个电子邮件地址是否是PayPal用户。是否有API调用来执行此操作?是否有执行此操作的ruby库?谢谢 最佳答案 GetVerifiedStatus来自PayPal'sAdaptiveAccounts平台会为您做这件事。PayPal没有任何codesamples或SDKs用于Ruby中的自适应帐户,但我确实找到了编写codeforGetVerifiedStatusinRuby的人.您需要更改该代码以检查他们拥有的帐户类型的唯一更改是更改if@xml['accountStatus']!=nilaccount_status