详解Django中的权限和组以及消息
在认证框架中还有其他的一些功能。我们会在接下来的几个部分中进一步地了解它们。
权限
权限可以很方便地标识用户和用户组可以执行的操作。它们被Django的admin管理站点所使用,你也可以在你自己的代码中使用它们。
Django的admin站点如下使用权限:
- 只有设置了add权限的用户才能使用添加表单,添加对象的视图。
- 只有设置了change权限的用户才能使用变更列表,变更表格,变更对象的视图。
- 只有设置了delete权限的用户才能删除一个对象。
权限是根据每一个类型的对象而设置的,并不具体到对象的特定实例。例如,我们可以允许Mary改变新故事,但是目前还不允许设置Mary只能改变自己创建的新故事,或者根据给定的状态,出版日期或者ID号来选择权限。
会自动为每一个Django模型创建三个基本权限:增加、改变和删除。当你运行manage.pysyncdb命令时,这些权限被添加到auth_permission数据库表中。
权限以"<app>.<action>_<object_name>"的形式出现。
就跟用户一样,权限也就是Django模型中的django.contrib.auth.models。因此如果你愿意,你也可以通过Django的数据库API直接操作权限。
组
组提供了一种通用的方式来让你按照一定的权限规则和其他标签将用户分类。一个用户可以隶属于任何数量的组。
在一个组中的用户自动获得了赋予该组的权限。例如,Siteeditors组拥有can_edit_home_page权限,任何在该组中的用户都拥有这个权限。
组也可以通过给定一些用户特殊的标记,来扩展功能。例如,你创建了一个'Specialusers'组,并且允许组中的用户访问站点的一些VIP部分,或者发送VIP的邮件消息。
和用户管理一样,admin接口是管理组的最简单的方法。然而,组也就是Django模型django.contrib.auth.models,因此你可以使用Django的数据库API,在底层访问这些组。
消息
消息系统会为给定的用户接收消息。每个消息都和一个User相关联。
在每个成功的操作以后,Django的admin管理接口就会使用消息机制。例如,当你创建了一个对象,你会在admin页面的顶上看到Theobjectwascreatedsuccessfully的消息。
你也可以使用相同的API在你自己的应用中排队接收和显示消息。API非常地简单:
- 要创建一条新的消息,使用user.message_set.create(message='message_text')。
- 要获得/删除消息,使用user.get_and_delete_messages(),这会返回一个Message对象的列表,并且从队列中删除返回的项。
在例子视图中,系统在创建了播放单(playlist)以后,为用户保存了一条消息。
defcreate_playlist(request,songs):
#Createtheplaylistwiththegivensongs.
#...
request.user.message_set.create(
message="Yourplaylistwasaddedsuccessfully."
)
returnrender_to_response("playlists/create.html",
context_instance=RequestContext(request))
当使用RequestContext,当前登录的用户以及他(她)的消息,就会以模板变量{{messages}}出现在模板的context中。
{%ifmessages%}
<ul>
{%formessageinmessages%}
<li>{{message}}</li>
{%endfor%}
</ul>
{%endif%}
需要注意的是RequestContext会在后台调用get_and_delete_messages,因此即使你没有显示它们,它们也会被删除掉。
最后注意,这个消息框架只能服务于在用户数据库中存在的用户。如果要向匿名用户发送消息,请直接使用会话框架。