Question

我有Django项目有两个应用程序App1和App2）每个应用只有1个视图。。我的项目使用django-auth-ldap连接到openldap。我有两个组（Group1，Group2）。

我在app1和app2（@login_required）中的观点之前添加了装饰器，结果如预期的那样，group1和group2的所有用户都可以登录这两个应用。

我希望能够只允许group1访问app1而group2只访问app2。

我尝试了很多代码，但没有人和我合作。

这是我的代码：

app1.views.py

from django.shortcuts import render
from django.template import loader
from django.http import HttpResponse
from django.contrib.auth.decorators import login_required
from django.contrib.auth import views as auth_views
@login_required(login_url='/accounts/login/')
def index(request):
    #getting our template
    template = loader.get_template('main/index.html')
    #rendering the template in HttpResponse
    return HttpResponse(template.render())

以下是settings.py中的ldap设置：

#Generated by 'django-admin startproject' using Django 1.11.


import os
import django



AUTHENTICATION_BACKENDS = ('django_auth_ldap.backend.LDAPBackend',)

import ldap
from django_auth_ldap.config import LDAPSearch, GroupOfNamesType


AUTH_LDAP_SERVER_URI = "ldap://mydomain.com"

AUTH_LDAP_BIND_DN = "cn=admin,dc=mydomain,dc=com"

AUTH_LDAP_BIND_PASSWORD = "mypass"

AUTH_LDAP_USER_SEARCH = LDAPSearch("ou=ou_org_unit,dc=mydomain,dc=com",
ldap.SCOPE_SUBTREE, "(uid=%(user)s)")

AUTH_LDAP_GROUP_SEARCH = LDAPSearch("ou=ou_org_unit,cn=group1,cn=group2,dc=mydomain,dc=com",
    ldap.SCOPE_SUBTREE, "(objectClass=groupOfNames)"
)

AUTH_LDAP_GROUP_TYPE = GroupOfNamesType()

AUTH_LDAP_USER_ATTR_MAP = {
    "first_name": "givenName",
    "last_name": "sn",
    "email": "mail"
}

AUTH_LDAP_FIND_GROUP_PERMS = True
AUTH_LDAP_CACHE_GROUPS = True
AUTH_LDAP_GROUP_CACHE_TIMEOUT = 3600

Answer 1

首先，我将属性映射到用户对象，该用户对象指定用户所在的组：

AUTH_LDAP_USER_ATTR_MAP = {
    "first_name": "givenName",
    "last_name": "sn",
    "email": "mail",
    "ldap_group": "cn"   # not 100% sure if this is what's required, just guessing
}

然后使用user_passes_test：

制作装饰器

from django.contrib.auth.decorators import user_passes_test

def ldap_group_required(group_name):
    """
    Checks if a user is in the specified LDAP group.
    """
    return user_passes_test(
        lambda u: hasattr(u, 'ldap_group') and u.ldap_group == group_name,
        login_url='/accounts/login/'
    )

在类似的视图上使用它：

@ldap_group_required('group1')
def index(request):
    #getting our template
    template = loader.get_template('main/index.html')
    #rendering the template in HttpResponse
    return HttpResponse(template.render())

如果您查看source code，这实际上就是login_required的工作方式。

Answer 2

我个人会建议使用Django's built-in permissions稍微不同的方法。

您可以做的是create custom permissions，例如can_access_app1和can_access_app2。然后，由于django-auth-ldap会自动将所有组复制到Django数据库中，然后您可以将这些权限分配给相应的组。

既然已经设置了您的组及其各自的权限，那么您将适当地装饰您的视图。例如：

# app1/views.py
from django.contrib.auth.decorators import permission_required
from django.http import HttpResponse
from django.shortcuts import render
from django.template import loader

@permission_required('app1.can_access_app1')
def index(request):
    #getting our template
    template = loader.get_template('main/index.html')
    #rendering the template in HttpResponse
    return HttpResponse(template.render())

这种方法将有充分的文档记录，不会引入任何必须操纵用户对象的特殊技巧，并且还具有额外的优势，即如果要提供特殊访问权限，也可以将这些权限分配给个人。此外，任何超级用户帐户都将自动拥有这两种权限，无需额外工作！

Django限制/允许来自ldap的组访问

2 个答案: