Django的细粒度管控——对象级权限与自定义权限
更多内容请见: 《Python Web项目集锦》 - 专栏介绍和目录
在Web应用开发中,权限控制是核心安全基石。Django内置的权限系统(auth应用)提供了开箱即用的表级
权限控制,即经典的“增删改查”权限。然而,在复杂的业务场景中,仅靠表级权限往往捉襟见肘。
例如:在一个文档管理系统中,用户有“修改文档”的权限,意味着他可以修改所有文档。但真实业务需求往往是:用户只能修改自己创建的文档,或者只能修改所属部门的文档。这就是典型的“对象级权限”需求。
本文将深入剖析Django的权限体系,从原生机制的局限到对象级权限的实现,再到自定义权限守卫的架构设计,全方位解析如何在Django中实现工业级的细粒度权限管控。
第一部分:Django原生权限体系剖析与局限
1.1 原生权限模型
Django的django.contrib.auth应用默认实现了基于角色的访问控制(RBAC)的核心要素。每执行一次migrate,Django都会为每个Model隐式创建4个权限:
add_modelname- <