注册
登录
区块链扩展技术
Django基于角色的权限
返回
Django基于角色的权限
作者:
那月静好
发布时间:
2025-03-11 04:51:00 (4天前)
转自:
<p> <br/> 我在django中开发了一个庞大的应用程序,我需要一个权限系统,我认为django中的本机用户/组权限是不够的。在这里我的需求:</p><p>申请将是……<br/> <br/></p>
收藏
举报
3 条回复
0#
回复此人
关于贤的记忆
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 您正在寻找的是什么 <a href="/questions/tagged/abac" class="post-tag" title="show questions questionged'abac'" rel="tag"> ABAC </A> 又称基于属性的访问控制。这是RBAC作为访问控制模型的演变。在RBAC中,您可以根据角色,组和可能的权限定义访问控制。然后,您必须在应用程序中编写代码以了解角色和组。这就是所谓的 <EM> 以身份为中心的访问控制 </EM> 。 </p> <P> 在ABAC中,有2个新元素: </p> <UL> <LI> 属性是组和角色的一般化。属性是一个键值对,可以描述任何人和任何东西。例如, <code> department </code> , <code> member </code> ,和 <code> action </code> 都是属性。 </LI> <LI> 策略将属性绑定在一起以确定是应该授予还是拒绝访问。政策是一种表达授权的人性化方式。您可以编写一个可以跨应用程序,数据库和API集中管理和重用的策略,而不是在您的应用程序中编写自定义代码。 </LI> </UL> <P> 有几种ABAC语言,如 <a href="/questions/tagged/xacml" class="post-tag" title="show questions questionged'xacml'" rel="tag"> XACML </A> 和 <a href="/questions/tagged/alfa" class="post-tag" title="show questions questionged'alfa'" rel="tag"> 阿尔法 </A> 。使用ALFA,我可以编写以下策略: </p> <BLOCKQUOTE> <UL> <LI> 将允许用户在部门A中添加新的团队成员 </LI> <LI> 在B部门,他只能查看团队名单 </LI> <LI> 在其他部门,他根本没有机会。 </LI> <LI> 角色还必须是可继承的,存储在可通过界面管理的模型中。 </LI> </UL> </BLOCKQUOTE> <pre> <code> policyset appAccess{ apply firstApplicable policy members{ target clause object = "member" apply firstApplicable /** * A user can add a member to a department if they are a manager and if they are assigned to that department. */ rule addMember{ target clause role == "manager" and action == "add" permit condition user.department == target.department } } } </code> </pre> <P> ABAC的一个主要优点是,您可以根据需要开发任意数量的策略,审核它们,共享它们,而不必触及您的应用程序代码,因为您最终会将授权外部化。 </p> <P> 有几个实施ABAC的引擎/项目,例如: </p> <UL> <LI> AuthZForce(用于XACML授权的Java库) </LI> <LI> <a href="https://www.axiomatics.com" rel="nofollow noreferrer"> Axiomatics策略服务器 </A> (商业产品 - 免责声明:我在那里工作) </LI> <LI> AT&amp; T XACML </LI> </UL> </DIV>
编辑
1#
回复此人
逆转的风
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 这个问题有两个组成部分: </p> <P> 一,角色管理。角色可以通过组成员身份来实现,即departmentA_addMember&amp; departmentB_listMembers。这些组将附加相应的权限,例如“会员|添加”和“会员|查看”。此上下文中的部门可能包含更多资源,需要单独的权限。 Django允许使用自定义扩展对象 <a href="https://docs.djangoproject.com/en/2.1/topics/auth/default/#topic-authorization" rel="nofollow noreferrer"> 权限 </A> 。 </p> <P> 二,继承。我是否理解您希望个别群组成为其他群组的成员?然后这就是Django要求你自己实现的东西。 </p> <P> 但是,如果您正在寻找一种更复杂的身份验证解决方案,那么通过以下方式集成第三方服务可能是值得的。 <a href="https://github.com/pennersr/django-allauth" rel="nofollow noreferrer"> Django的allauth </A> 。肯定有更多/其他解决方案,只需要一个名字。 </p> </DIV>
编辑
登录
后才能参与评论
