## 权限

### ContentType
    ContentType是一个普通模型，其包含两个字段，应用名称(app_lable)以及模型名称(model)，二者均为字符串类型(CharField)，权限模型有一个指向该模型的一对多(ForiengKey)外键。该模型的作用是为了避免权限与对应模型产生直接的外键关联。

In [None]:
# 源码
class ContentType(models.Model):
    app_label = models.CharField(max_length=100)
    model = models.CharField(_('python model class name'), max_length=100)
    objects = ContentTypeManager()

    class Meta:
        verbose_name = _('content type')
        verbose_name_plural = _('content types')
        db_table = 'django_content_type'
        unique_together = (('app_label', 'model'),)

    def __str__(self):
        return self.name

### 权限的定义    
    权限（Permission）是一个继承models.Model的普通模型，其与用户模型(User)，组(Group)是多对多关系，与ContentType是外键关系。包含三个字段：
       name         描述权限的功能
       content_type   指定权限属于哪个模型
       codename      权限的名称
    
    要理解权限，必须明确几点：
    1.创建的权限均有所属的模型，比如Article模型的增、删、改、查为四项权限，这些权限被分配给用户，用于规定哪些用户能查看文章，哪些用户能新增或者删除文章。这也意味着权限的限制是对于整个Article模型而言的，而不是对某篇或者某些文章的限制。一旦某个用户具有了某个权限，则其便可对所有模型实例进行该权限赋予的操作。(从代码层面可进一步限制，但这已不属于权限的功能范围)。
    2.权限仅仅是一种标记，根据这个标记，用代码判断能否进行相应的操作。
    3.权限的使用者是用户，使用权限的目的是限制用户对各个模型的访问或其他操作。
##### 权限的默认使用场景为后台管理系统，管理员用户默认拥有所有模型的权限，普通用户默认不具备任何权限，即无法使用后台管理系统。
    

In [None]:
# 源码
class Permission(models.Model):
    name = models.CharField(_('name'), max_length=255)
    content_type = models.ForeignKey(
        ContentType,
        models.CASCADE,
        verbose_name=_('content type'),
    )
    codename = models.CharField(_('codename'), max_length=100)

    objects = PermissionManager()

### 权限的创建
    每个模型执行迁移时，均会自动创建增、删、改、查四项权限。假设模型名称为Bar, 权限命名格式如下：
       添加：add_bar
       修改：change_bar
       删除：delete_bar
       查看：view_bar
    创建的权限均有所属模型，二者的关系通过ContentType建立。有两种方式可创建权限：
    一.在模型的Meta类中创建
    二.以编程方式创建

In [3]:
# 在模型的Meta类中创建
class Task(models.Model):
    ...
    class Meta:
        permissions = [
            ("change_task_status", "Can change the status of tasks"),
            ("close_task", "Can remove a task by setting its status as closed"),
        ]
        
# 以编程方式创建        
from myapp.models import BlogPost
from django.contrib.auth.models import Permission
from django.contrib.contenttypes.models import ContentType

content_type = ContentType.objects.get_for_model(BlogPost)
permission = Permission.objects.create(
    codename='can_publish',
    name='Can Publish Posts',
    content_type=content_type,
)

### 权限分组
    组是一个基本模型，其包含两个字段name, permissions。与Permission, User互为多对多关系。
    即意味着，属于某个组的用户，即拥有该组的所有权限。

In [None]:
# 源码
class Group(models.Model):
    name = models.CharField(_('name'), max_length=150, unique=True)
    permissions = models.ManyToManyField(
        Permission,
        verbose_name=_('permissions'),
        blank=True,
    )
    
    objects = GroupManager()

### 权限分配
    即多对多关系的操作

#### 分配到组
    group.permissions.set([permission_list])
    group.permissions.add(permission, permission, ...)
    group.permissions.remove(permission, permission, ...)
    group.permissions.clear()
    
#### 分配到用户
    myuser.user_permissions.set([permission_list])
    myuser.user_permissions.add(permission, permission, ...)
    myuser.user_permissions.remove(permission, permission, ...)
    myuser.user_permissions.clear()
    
#### 用户与组
    myuser.groups.set([group_list])
    myuser.groups.add(group, group, ...)
    myuser.groups.remove(group, group, ...)
    myuser.groups.clear()

### 用户使用权限
    权限的默认使用场景为后台管理系统，但也可根据需求在其他位置使用。
    
#### 检测权限的方法
    User模型的父类PermissionMixin实现了两个方法用于验证用户是否拥有某项/些权限。
       has_perm(self, perm, obj=None)
       has_perms(self, perm_list, obj=None)
       perm的格式必须为 'app_label.codename', 如果传入参数 obj  ，则这个方法不会检查指定的权限列表，只检查调用对象是否具有obj的权限。
    假设有一个名为 foo 应用程序和一个名为 Bar 的模型，要测试基础权限，应该使用：
       添加：user.has_perm('foo.add_bar')
       修改：user.has_perm('foo.change_bar')
       删除：user.has_perm('foo.delete_bar')
       查看：user.has_perm('foo.view_bar')
       
#### permission_required 装饰器
    permission_required(perm, login_url=None, raise_exception=False)
    如果raise_exception=False, 当用户未登录时，会跳转到登录页面
    如果raise_exception=True，当用户未登录或用户不具备权限时，会引发403错误，不会跳转到登录页面。可以在permission_required装饰器上方放一个login_required装饰器，给未登录的用户一个先登录的机会。
    
#### PermissionRequiredMixin
    类视图继承该类，相当于应用permission_required

In [None]:
# 官方文档示例
from django.contrib.auth.mixins import PermissionRequiredMixin

class MyView(PermissionRequiredMixin, View):
    permission_required = 'polls.can_vote'
    # Or multiple of permissions:
    permission_required = ('polls.can_open', 'polls.can_edit')