不同客户端的Dj​​ango权限

时间:2013-12-17 17:57:52

标签: python django database-design permissions authorization

我正在开发一个Django项目,该项目将公司作为客户,每个客户将被允许创建多个用户。然后可以为这些用户分配不同的权限或角色。

问题在于权限类型因客户端而异,即它们不像读取,写入,删除那样简单。因此,一个客户端只能拥有5-10种权限,而另一个客户端可以拥有100个权限。

内置的Django权限框架不直接支持我的用例,所以这就是我提出的:

  1. 创建一个包含用户模型的主django应用
  2. 对于每个新客户,请创建仅包含models.py
  3. 的新django应用
  4. models.py只有一个模型(暂时),其本身包含特定于该客户端的权限,如here所述。
  5. 现在,我可以根据用户所属的客户端为每个用户分配权限。
  6. 虽然我没有测试过,但这应该可行。该解决方案看起来可扩展,但存在许多不一致性,并且它似乎不是正确的方法。有工作吗?

    更新:django-guardian看起来可能有所帮助,但不确定如何。

    更新:我想我会解释整个架构,因为当前的解决方案并不直接适用于它。

    1. 有时间序列数据流,数据定期进入。每个客户端可以有100到1000多个这样的流。但是,这些流不会保存在Web服务器数据库中,而是保存在每个客户端的不同数据库中。
    2. 现在,用户可以拥有查看全部,一个或部分上述流的权限。客户端让我们知道他们想要创建的用户类型,并相应地创建一个。
    3. 出于身份验证的目的,最好让所有用户都在一个表中。但是对于授权,将每个客户端用户放在一个单独的表上是有意义的。在我看来,最好是隔离客户。
    4. 稍微偏离主题,但我们正在考虑为每个客户提供一个单独的共域,如client1.mysite.com,client2.mysite.com等,因此我们可以自由地为每个客户端部署不同的Web服务器,因此为每个客户定制它。此外,这有助于以不同方式存储每个客户端用户的数据。

1 个答案:

答案 0 :(得分:4)

我真的不喜欢你的解决方案 - 它类似于旧的数据库设计,其中架构chnges 预期设计!请不管 DO NOT 做什么费用。忘了django,40年的数据库设计让我们觉得数据库的架构永远不会改变(除非要求改变你的设计不正确)。我可以提供类似的答案:RegEx match open tags except XHTML self-contained tags以强调更改数据库架构的重要性。

因此,您将拥有一个django应用程序,其中包含您所说的用户模型以及一个CustomPermission模型,该模型将为 admininstrator 提供一个接口,以便他将为eah添加权限客户端(管理员将为客户端而不是开发人员添加权限)。每个CustomPermission只会为其应用的客户端指定一个名称和ForeignKey

现在,您可以创建一个UserCustomPermission模型,其中ForeignKeyUser,另一个ForeignKeyCustomPermission(实际上有很多UserCustomPermission之间的多对多关系。

现在,您需要实现的是您分配的权限将如何分配给实际允许和禁止的操作。你在问题中没有说到这一点。为了给你一个方向,我非常喜欢(并且一直使用)django-rules-light应用程序(https://github.com/yourlabs/django-rules-light),它可以用来定义你的业务规则。

可能我的答案实际上并没有解决你的问题,或者我可能不理解某些事情,但我相信你会得到一个起点 - 也可以随意更新你的问题,我会相应地更新我的答案

回复更新

您可以理解,我不喜欢1和3:对于每个新客户,您需要创建数据库?为什么不将所有客户端流放在同一个表中并使用外键到他们所属的客户端?

(这里是龙)

我认为一个很好的解决方案 - 我不会这样做,但如果想要将您的用户及其权限放在不同的数据库中,那么您可以在预先使用单独的子域:使用数据库路由({{ 3}})根据子域选择每个客户端的数据库。因此,您将在settings.py中定义所有客户端的数据库:

DATABASES = {
    'default': {
        'NAME': 'app_data',
        'ENGINE': 'django.db.backends.postgresql_psycopg2',
        'USER': 'postgres_user',
        'PASSWORD': 's3krit'
    },
    'client1': {
        'NAME': 'client2',
        'ENGINE': 'django.db.backends.mysql',
        'USER': 'client2',
        'PASSWORD': 'priv4te'
    },
    'client2': {
        'NAME': 'client1',
        'ENGINE': 'django.db.backends.mysql',
        'USER': 'client1',
        'PASSWORD': 'priv4te'
    }
}

然后,您将创建一个SubDomainDatabaseRouter类,该类将根据您的子域使用正确的数据库。由于请求设置在该类中不可用,因此必须使用中间件和线程本地文件将它们放在那里。请看下面的代码段

https://docs.djangoproject.com/en/1.3/topics/db/multi-db/#database-routers

因此,在您的RouterMiddleware中,您将检查子域名,并根据具体情况设置client_cfg选项,其中包含客户端名称。您的SubDomainDatabaseRouter将使用正确的数据库,具体取决于client_cfg。要使用它,只需添加

DATABASE_ROUTERS = ['my.package.SubDomainDatabaseRouter']

通过使用它,您将为每个客户端提供完全不同的数据库。我需要再次强调一下,你将有一个地狱维护它 - 让我们假设你有100个客户端,并需要在表中添加一个字段。那又怎样?请不要怪我:)。

(DR OF DRAGONS)