-
Created by
Ivan Arkhipov, last updated on Oct 01, 2023
3 minute read
Какие темы охватывает гайд?
- Работа с правами доступа в Django
- Работа с per-object правами доступа
- Работа с правами доступа в Django Rest Framework
- Паттерны написания кода для прав доступа
- Защита эндпоинтов правами доступа
- Фильтрация Queryset'ов на основе прав доступа
Какие темы НЕ охватывает гайд?
- Написание моделей/эндпоинтов/других частей бэкенда
- Работу с правами доступа на фронтенде
- Все, что связано с фронтендом
Работа с правами доступа в Django
Вся логика работы прав доступа сосредоточена в модуле django.contrib.auth через модель Permission и методы для работы с ней.
Модель Permission имеет Many-to-many связь с моделью Group (через поле permissions в модели Group), это позволяет назначать конкретные права группам.
Модель Permission имеет Many-to-many связь с моделью User (через поле user_permissions в модели User), это позволяет назначать конкретные права отдельным пользователям.
Наличие права X у пользователя/группы Y фактически означает наличие соответствующей записи в табличке ManyToMany-связей.
Права доступа - это строчки в таблице прав доступа. Назначение права доступа пользователю - это соответствие между строкой в таблице прав доступа, и строкой в таблице юзеров (или групп)
Напрямую с правами доступа как моделями и/или записями в БД мы не работаем. Для работы с правами доступа в Django предусмотрен специальный "синтаксический сахар".
Права доступа всегда привязаны к какой-либо сущности.
Создание (определение) прав доступа
Например: у нас есть сущность "Общежитие". Логически подумав, мы пришли к тому, что хотим:
1) Скрывать общежитие для некоторых пользователей
2) Давать некоторым пользователям управлять общежитием (например, изменять контент находящихся в нём помещений).
Любое право доступа обязательно характеризуется словами "для некоторых пользователей". Если такого требования нет - достаточно флажка в модели (если хотим скрывать или показывать общежитие всем пользователям одновременно - то для этого достаточно поля "is_hidden" типа BooleanField в модели общежития).
Для того, чтобы определить права доступа для сущности, мы используем атрибут permissions у Meta-класса модели.
Сам пермишн мы задаём в виде кортежа из 2х элементов:
1) Кодовое название пермишна (должно быть уникально среди всех пермишнов всех сущностей в модуле)
2) "Человеческое" название пермишна (которое затем будет отображаться в админке)
За создание непосредственно объектов Permissions отвечает management-команда migrate. Она проходит по всем permissions и создаёт нужные строчки в БД.
Права доступа для сущности определяем с помощью атрибута permissions в Meta-классе модели. Конкретные строчки в БД формируются в процессе выполнения миграций.
P.S. Можно (но не рекомендуется) программно создавать пермишны. Это описано в документации по ссылке: https://docs.djangoproject.com/en/4.2/topics/auth/default/#programmatically-creating-permissions
Присвоение прав доступа группам/пользователям
Самый простой способ присвоить право доступа - сделать это через админку, в панели редактирования группы (или пользователя).
В проекте mipt.tech нельзя выдавать права конкретным пользователям - это приводит к путанице и сложности контроля за выданными правами. Все права выдаются только группам!
Программно добавить права доступа также можно, например, так (перед использованием посоветуйтесь, маловероятно, что вам это понадобится):
Проверка наличия прав доступа группам/пользователям
Проверять наличие права доступа у пользователя можно с помощью метода has_perm у класса User. Семантика: has_perm("<app label>.<permission codename>")
https://docs.djangoproject.com/en/4.2/ref/contrib/auth/#django.contrib.auth.models.User.has_perm