python - 不同客户端的 Django 权限

Question

我正在开发一个 Django 项目，该项目将公司作为客户，每个客户都可以创建多个用户。然后可以为这些用户分配不同的权限或角色。

问题是权限类型因客户端而异，即它们不像读、写、删除那么简单。因此，一个客户端只能拥有 5-10 种类型的权限，而另一个客户端可以拥有 100 种权限。

内置的 Django 权限框架不直接支持我的用例，所以这就是我想出的:

1. 创建一个包含用户模型的主要 Django 应用
2. 为每个新客户创建一个新的仅包含 models.py 的 django 应用
3. models.py 只有一个模型(暂时)，它本身包含特定于该客户端的权限，如解释的那样 here .
4. 现在我可以根据用户所属的客户端为每个用户分配权限。

虽然我还没有测试过，但应该可以。该解决方案看起来可扩展，但存在很多不一致之处，而且似乎不是正确的方法。有变通办法吗？

更新:django-guardian看起来它可能有所帮助，但不确定如何。

更新:我想我会解释整个架构，因为当前的解决方案并不直接适用于它。

1. 有时间序列数据流，数据以固定时间间隔传入。每个客户端可以有 100 到 1000 多个这样的流。然而，这些流并未保存在网络服务器数据库中，而是保存在每个客户端的不同数据库中。
2. 现在，用户可以有权查看所有、一个或部分上述流。客户让我们知道他们想要创建的用户类型，我们会相应地创建一个。
3. 出于身份验证的目的，最好将所有用户都放在一张表中。但是对于授权来说，让每个客户用户在一个单独的表上是有意义的。在我看来，最好隔离客户。
4. 稍微偏离主题，但我们正在考虑为每个客户提供一个单独的共同域，如 client1.mysite.com、client2.mysite.com 等，因此我们可以自由地为每个客户部署不同的网络服务器，因此为每个客户定制它。此外，这有助于以不同方式存储每个客户端用户的数据。

Answer 1

我真的不喜欢你的解决方案 - 它类似于旧的数据库设计，在设计中预期模式变化!!!拜托，无论付出什么代价，都不要这样做。忘掉 Django，40 年的数据库设计让我们明白，数据库的模式永远不应该改变(当然，除非需求改变或者你的设计不正确)。我可以提供类似于此的答案:RegEx match open tags except XHTML self-contained tags 以强调不更改数据库架构的重要性。

因此，您将拥有一个 django 应用程序，其中包含您所说的用户模型和一个 CustomPermission 模型，该模型将为管理员提供一个界面，以便他添加每个客户端的权限(管理员将为客户端而不是开发人员添加权限)。每个 CustomPermission 将只有一个名称和一个适用于客户端的 ForeignKey。

现在您可以创建一个 UserCustomPermission 模型，它将有一个 ForeignKey 给 User 和另一个 ForeignKey 给CustomPermission(实际上，User 和 CustomPermission 之间存在多对多关系。

现在，您需要实现的是您分配的权限将如何分配给实际允许和禁止的操作。您在问题中什么也没说。只是给你一个方向，我真的很喜欢(并且一直使用)django-rules-light 应用程序 ( https://github.com/yourlabs/django-rules-light )，它可以用来定义你的业务规则。

可能我的回答并没有真正解决您的问题，或者我不明白某些事情，但我相信您会得到一个起点——也请随时更新您的问题，我会相应地更新我的回答.

对更新的回答

如您所知，我不喜欢 1 和 3:对于每个新客户，您都需要创建一个新数据库？为什么不将所有客户端流放在同一个表中并使用它们所属的客户端的外键？

(这里有龙)

我认为一个很好的解决方案 - 我不会这样做，但如果非常想将您的用户及其权限放在不同的数据库中，那么您可以预先使用单独的子域:使用数据库路由(https://docs.djangoproject.com/en/1.3/topics/db/multi-db/#database-routers)根据子域选择每个客户端的数据库。因此，您将在 settings.py 中定义所有客户的数据库:

DATABASES = {
    'default': {
        'NAME': 'app_data',
        'ENGINE': 'django.db.backends.postgresql_psycopg2',
        'USER': 'postgres_user',
        'PASSWORD': 's3krit'
    },
    'client1': {
        'NAME': 'client2',
        'ENGINE': 'django.db.backends.mysql',
        'USER': 'client2',
        'PASSWORD': 'priv4te'
    },
    'client2': {
        'NAME': 'client1',
        'ENGINE': 'django.db.backends.mysql',
        'USER': 'client1',
        'PASSWORD': 'priv4te'
    }
}

然后您将创建一个 SubDomainDatabaseRouter 类，该类将根据您的子域使用正确的数据库。因为请求设置在该类中不可用，所以您必须使用中间件和线程局部变量将它们放在那里。看看下面的片段

https://djangosnippets.org/snippets/2037/

因此，在您的 RouterMiddleware 中，您将检查子域，并根据子域设置一个带有客户端名称的 client_cfg 选项。您的 SubDomainDatabaseRouter 将根据 client_cfg 使用正确的数据库。要使用它，只需添加

DATABASE_ROUTERS = ['my.package.SubDomainDatabaseRouter']

通过使用它，您将为每个客户拥有一个完全不同的数据库。我需要再次强调，您将很难维护它 - 假设您有 100 个客户并且需要向表中添加一个字段。然后呢？请不要怪我:)

(龙的尽头)