我正在使用 Django 创建一个包含许多不同页面的网站。我只有视图,我没有在我的项目中定义任何模型。我希望某些用户具有受限访问权限(他们只能看到我创建的一些视图)。我在 Django 管理站点中设置了一些用户,并使用 Python @login_required 装饰器向我的网站添加了登录功能。
不过,我对如何为每个用户设置查看权限有点迷茫。我查看了 @permission_required 装饰器,但它似乎只与模型有关,与视图无关。 Django中如何设置页面查看权限?
【问题讨论】:
标签: django django-admin django-views
权限与模型相关联。如果您的授权逻辑链接到视图而不是模型,请考虑创建一个组并使用 user_passes_test 装饰器。例如,假设您有一个只有主管才能看到的报告:创建一个名为 Supervisors 的组并测试成员资格:
def must_be_supervisor(user):
return user.groups.filter(name='Supervisors').count()
@user_passes_test(must_be_supervisor)
def quarter_report(request):
...
【讨论】:
您应该对视图使用 user_passes_test 装饰器。 Django 文档有一个很好的例子来说明它的用法 https://docs.djangoproject.com/en/1.8/topics/auth/default/#django.contrib.auth.decorators.user_passes_test
已编辑:实际上您也可以对视图使用 permission_required 装饰器 https://docs.djangoproject.com/en/1.8/topics/auth/default/#django.contrib.auth.decorators.permission_required
【讨论】:
user_passes_test 装饰器看起来很完美。您知道是否可以在组和个人用户上使用它?
看看django-braces。正是为此目的,它是一款出色的应用程序;
https://django-braces.readthedocs.org/en/latest/index.html
它为几乎所有可能的情况提供了一个混合用于视图和表单,允许您执行检查以限制您认为合适的访问。
【讨论】:
你可以在url中使用permission_required来锁定
示例:https://docs.djangoproject.com/en/3.2/topics/class-based-views/intro/#decorating-in-urlconf
【讨论】: