CN113590118A - 一种基于drf框架的资源权限控制装置与方法 - Google Patents

Abstract

本发明公开了一种基于DRF框架的资源权限控制装置与方法。本发明以通过DRF工具产生的请求对象作为控制过程输入，首先通过输入携带的请求信息，获取并装载各个真实元件，生成用户角色UR对象、资源状态RS对象和视图应用VA对象；然后将UR对象与RS对象以左值，VA对象以右值形式传入由规则生成器RG产生的控制规则中；流程组织器FO计算规则对象条件控制阈，最后引导输入请求至正确的视图中并返还相应的响应信息。本发明能够支持快速实现复杂的多模型关联条件控制阈与控制流程组织，简易并高效定义复杂权限控制规则。本发明扩充了DRF在现代Web工程开发中权限控制能力，开发者无需深入了解DRF方案设计及原理即可用于迭代开发。

Description

一种基于DRF框架的资源权限控制装置与方法

技术领域

本发明涉及一种基于DRF框架的资源权限控制装置与方法，属于Web开发、计算机软件领域。

背景技术

Django Rest Framework（DRF）是一项由EncodeOSS开发的基于Python-django的Web构建工具框。从2011年诞生并发展至今，DRF仍旧在Python-Web开发工程中具有极大的占有率。而DRF能够经久不衰的主要原因在于其自身灵活的设计架构与众多自定义插件的扩展，使其依靠高效的开发流程与活跃的社区补充，依然完美适应现代Python-Web工程构建。

随着硬件技术及网络技术不断发展，Web工程所能承载的后台数据容量也越发庞大，在此环境下，复杂的用户资源权限需求变得更加重要。因此，如何准确且快速的实现权限管理开发迭代显得至关重要。

传统上，DRF及扩展库现存资源权限控制通常建立统一的在应用视图Hook层面，并且以单一模型条件或简单的多模型关联条件作为控制阈。这种传统的控制方式与设计结构，在前述环境下，面临着严峻的挑战：1、如何快速实现复杂的多模型关联条件控制阈与控制流程组织。2、如何简易并高效定义复杂权限控制规则。对于这些挑战，传统方案尤显不足，即其多数难以兼顾控制阈的复杂程度与控制流程组织的便捷程度，因此，需要开发者对其设计及原理有较深的理解，无法适应快速迭代开发过程。

发明内容

发明目的：针对上述现有技术存在的问题，本发明目的在于提供一种基于DRF框架的资源权限控制装置与方法，以扩充DRF在现代Web工程开发中权限控制能力，开发者无需深入了解DRF方案设计及原理即可用于迭代开发。

技术方案：为实现上述发明目的，本发明提供的一种基于DRF框架的资源权限控制装置，包括：

用户角色UR模块，用于根据用户数据模型进行实例解析生成载荷数据；

资源状态RS模块，用于根据资源数据模型进行实例解析生成载荷数据；

视图应用VA模块，用于根据配置生成载荷数据，得到的VA对象为依赖于DRF视图类的视图衍生对象；

规则生成器RG，用于解析自定义权限规则，并实现规则对象组装，建立用户角色与资源状态间的规则映射；其中规则对象包括左值输入区与右值输入区，左值输入区接收从DRF输入请求构造的UR及RS对象，右值输入区接收VA对象；自定义权限规则中预先定义了用户角色、资源状态与视图应用间的权限规则；

以及，流程组织器FO，用于调用UR、RS和VA模块进行真实元件RE装载，调用RG进行规则映射生成，并进行条件控制阈计算，以及结果选项引导，实现由输入请求情景，反馈相应的权限响应。

作为优选，所述规则生成器RG中内嵌有文本解析器用于解析自定义的权限规则，自定义的权限规则包括三层，外层表示用户角色，中层表示资源状态，内层表示视图应用。

作为优选，自定义的权限规则中，外层、中层和内层组成一条已定义的规则命名空间，中层和内层均可引用已定义规则命名空间中的任意规则或规则组。

作为优选，所述流程组织器FO依据自定义权限规则或规则组，依次判断规则对象左右值是否匹配，完成条件控制阈计算；将匹配后的VA对象引导至相应情景与下游DRF衍射视图。

作为优选，所述流程组织器FO在真实元件RE装载，规则映射生成，条件控制阈计算，以及结果选项引导各子流程间设置扩展HOOK。

作为优选， 所述流程组织器FO以类装饰的方式在DRF衍生视图集切面修饰视图逻辑，或者以函数装饰的方式在DRF衍生接口界面修饰接口逻辑。

利用根据所述的基于DRF框架的资源权限控制装置实现的一种基于DRF框架的资源权限控制方法，包括如下步骤：

Web请求通过DRF工具产生请求对象后，作为控制过程输入；

通过输入携带的请求信息，利用用户角色UR模块、资源状态RS模块和视图应用VA模块获取并装载各个真实元件RE，生成用户角色UR对象、资源状态RS对象和视图应用VA对象；

将用户角色UR对象与资源状态RS对象以左值，视图应用VA对象以右值形式传入由规则生成器RG产生的控制规则中；

流程组织器FO组织上述过程后，计算规则对象条件控制阈，最后引导输入请求至正确的视图中并返还相应的响应信息。

基于相同的发明构思，本发明提供一种计算机装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被加载至处理器时实现如下步骤：

Web请求通过DRF工具产生请求对象后，作为资源权限控制过程输入；

通过输入携带的请求信息，根据用户数据模型进行实例解析生成用户角色UR对象，根据资源数据模型进行实例解析生成资源状态RS对象，根据配置生成视图应用VA对象，完成真实元件RE的装载；VA对象为依赖于DRF视图类的视图衍生对象；

解析用户自定义权限规则，并将用户角色UR对象与资源状态RS对象以左值，视图应用VA对象以右值组装规则对象；自定义权限规则中预先定义了用户角色、资源状态与视图应用间的权限规则；

根据自定义权限规则，对规则对象进行条件控制阈计算，以及结果选项引导，实现由输入请求情景，反馈相应的权限响应。

有益效果：与现有技术相比，本发明具有如下优点：

1、能够快速实现复杂的多模型关联条件控制阈与控制流程组织。本发明涉及由两类基础数据模型参数化的条件控制阈，即用户数据模型与资源数据模型，并在上述数据模型上建立了复杂且详细的权限控制规则或规则组。在已注册相关模块的FO中，可根据由DRF请求解析的不同输入情景，计算条件控制阈并引导情景应答。整个权限控制方案的生命周期中，编写人员仅需实现所需的RE模块，编写自定义规则，并将RG与RE注册至FO后，即可完成双模型关联的权限控制。进而，在扩展RG规则解析后，协同其它数据模型衍生RE模块，能够快速完成更多模型关联的权限控制工程。因此，本发明使编写人员仅需关注模型解析与RE载荷填充及权限规则定义，无需在控制流程组织上耗费精力，极大的简化了多模型关联的权限控制实现。

2、可以简易并高效定义复杂权限控制规则。本发明通过特殊的用户-资源状态-视图应用权限自定义语法，简易且直观的提供了高效的规则定义方式。因此，编写人员无需苦于定义抽象权限规则与输入情景的条件控制阈计算，从而使编写人员能专注于细致的权限控制规则设计，极高的提高了定制化工程的实施效率。

附图说明

图1为本发明实施例的装置结构示意图。

图2为本发明实施例中自定义权限规则语法示例截图。

具体实施方式

下面将结合附图和具体实施例，对本发明的技术方案进行清楚、完整的描述。

如图1所示，本发明实施例公开的一种基于DRF框架的资源权限控制装置，作为DRF工具库的扩展，在DRF应用视图族组织流程的基础上，定义用户角色(UserRole， UR)模块，资源状态(ResourceStatus，RS)模块和视图应用(ViewAppliaction， VA)模块，依赖于规则生成器(RuleGenerator，RG)产成的自定义控制规则，通过流程组织器(FlowOrganizer，FO)组装上述基础模块，实现用户-资源状态-视图应用权限控制。

用户角色UR模块与资源状态RS模块对象均为数据模型导向对象，由相应数据库模型实例解析生成载荷数据。具体而言，用户角色UR模块存储目标用户的关键信息，如用户个人信息、用户角色及用户唯一识别标识等。因此，UR对象的初始化及载荷填充过程必然涉及了与用户数据模型的交互。本实施例方案作为基于DRF的扩展方案，通过DRF原生输入请求对象与其HTTP请求头中携带的JWT （Json Web Token）信息，使用DRF认证过程，从数据库中完成用户解析，随后利用解析数据初始化UR对象并填充载荷。与之类似，资源状态RS模块储存目标资源必要信息，包括资源内容信息(如某课程信息文档内容)，资源标准状态(如某课程是否被编辑，审批，确认，发布，驳回等)及唯一识别标识(如某课程产品序列号)等。与UR初始化过程不同的是，RS对象初始化并非涉及DRF本身认证过程，而是使用该方案附属的资源审核过程(与具体业务场景相关，在此并不赘述)，从数据库中完成资源解析后，再初始化RS对象并填充载荷。

视图应用VA模块对象为非数据模型导向对象，直接由配置产生载荷数据，不涉及数据存储过程。通常，视图应用VA模块对象为依赖于DRF视图类的视图衍生对象，即该模块并非标准静态载荷类型对象。因此，VA通常定义了大量视图展示相关元件或流程，如视图页面某一按钮对象或某一动画中各个元素组织流程等。

这些具有载荷数据模块对象统称为真实元件(RealElement, RE)，后续操作均建立在它们的基础上。

规则生成器RG ，用于解析自定义权限规则，并由元类设计实现规则对象组装，从而建立真实元件RE间的规则映射。具体而言，RG中包含了两个主要功能域，即自定义规则解析域及规则对象组装域。针对自定义规则解析域，RG中设计了一款内嵌的文本解析器用于解析特殊语法的规则定义。如图2所示，外层表示用户角色，中层表示资源状态，内层表示视图应用，并组成了一条已定义的规则命名空间。其中，除外层以外，任何一层均可引用已定义规则命名空间中的任意规则或规则组。在RG解析自定义规则后，通过元类方法构造规则对象组装域，按指定流程工厂式生产规则对象。针对于RG生产的规则对象，包含两个输入区，即左值输入区与右值输入区。通常，左值输入区接收从DRF输入请求构造的UR及RS静态载荷类对象，而右值输入区接收VA非静态载荷类对象。规则对象通过输入情景，依照预定条件控制阈计算情景引导标识，进而触发下游情景引导过程，实现由输入请求情景，反馈相应的权限响应。

流程组织器FO，负责组织真实元件RE装载，规则映射生成，并进行条件控制阈计算及结果选项引导等过程，并可在各个子流程间设置扩展HOOK，以增其灵活性。具体地，FO涵盖四个生命周期，即RE初始化及载荷填充、RG规则解析及规则对象生成、规则对象条件控制阈计算、以及情景引导视图应用响应。同时，FO在四个生命周期前后均设置扩展HOOK，可嵌入基于本实施例方案自身的中间件，用于扩展FO流程控制能力。为正确使用FO组织权限控制流程，需要在FO中注册关联的RE及RG对象。注册后的FO仅需接收DRF原生输入请求对象，即可维护完整的权限控制流程。

为了便捷开发，流程组织器FO通常以类装饰的方式在DRF衍生视图集切面修饰视图逻辑，或者以函数装饰的方式在DRF衍生接口界面修饰接口逻辑。

在了解本发明装置的基本结构之后，下面详细介绍基于上述装置的资源权限控制方法实现过程及使用方式。

如图1所示，本发明实施例公开的一种基于DRF框架的资源权限控制方法，包括如下步骤：

Web请求通过DRF工具产生请求对象后，以此作为控制过程输入；通过输入携带的请求信息，利用UR、RS、VA模块获取并装载各个真实元件RE，得到UR对象、RS对象和VA对象；之后将UR对象与RS对象以左值，VA对象以右值形式传入由规则生成器RG产生的控制规则中得到规则对象，流程组织器FO组织上述过程并计算规则对象条件控制阈，最后引导输入请求至合理的视图中并返还相应的相应信息。

示例性地，以一款使用本发明实施例方案实现的网络安全课程管理服务，存在多种用户角色(制作人，审核人，技术员，确认人等)与多种课程资源状态(编辑中，待审核，待确认，已通过等)，并且这些资源状态与用户角色间存在不同的权限映射，在产品视图中展示不同的功能按钮。通常情形下，开发者不仅需要设计详细的权限映射规则，还需要完成相关复杂的权限控制过程，这对于经常应用上述场景开发者而言十分繁琐。但是，在使用本实发明施例方案实现的项目中，开发者只需要参考如图2所示样例，在文本中定义权限映射规则，即可实现如同该产品的效果。

以制作人为例，DRF工具接收到页面展示的Web请求后，获取携带的访问人信息(如ID，角色，名称等)与访问资源信息(如ID，类型，名称与状态等)。FO以这些信息作为输入，装载UR及RS对象，同时装载FO中已注册的VA对象。至此，FO完成了各个真实元件RE的装载，之后将UR对象与RS对象以左值， VA对象以右值形式传入控制规则中。需要指出的是，控制规则产生自FO中注册的RG，而RG中的规则解析域配置了一套内置的文本语法解析器。该语法解析器能够通过不同语法宏的正则表达式，匹配配置语法(如命名空间定义，规则及规则组引用等)，并通过元类方法使用解析的规则构造规则对象。因此，规则对象本质上是一条权限映射，则易知：规则对象必存在映射左值及右值。本实施例中，左值为由访问用户信息产生的UR对象及由访问资源产生的RS对象，右值为已注册需要展示的功能性按钮VA对象。同时，规则对象维护了严格的条件控制阈，依照定义的权限规则组，在组中依次判断左右值是否匹配，当匹配到所有规则后或无匹配，即完成条件控制阈计算。如样例产品中，为制作人-编辑中课程配置了查看、管理、编辑、删除等操作，当访问人为制作人且访问资源为课程时，规则对象便能计算得到其所有可用权限，并携带VA对象将其引导至相应情景与下游DRF衍射视图，最后导向页面相应结果。

为实现上述过程，开发者可以在DRF视图集中声明如下目标规则，并通过流程组织器FO的类装饰功能对目标视图集修饰，在装饰器中声明修饰接口后，即可完成相应规则权限控制。

同时，对于函数视图接口(如下所示)，可以使用流程组织器FO函数装饰功能对其修饰，在声明目标规则后，依旧可以完成该接口相应的权限控制。

基于相同的发明构思，本发明实施例公开的一种计算机装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被加载至处理器时实现如下步骤：

Web请求通过DRF工具产生请求对象后，作为资源权限控制过程输入；

通过输入携带的请求信息，根据用户数据模型进行实例解析生成用户角色UR对象，根据资源数据模型进行实例解析生成资源状态RS对象，根据配置生成视图应用VA对象，完成真实元件RE的装载；

解析用户自定义权限规则，并将用户角色UR对象与资源状态RS对象以左值，视图应用VA对象以右值组装规则对象；自定义权限规则中预先定义了用户角色、资源状态与视图应用间的权限规则；

根据自定义权限规则，对规则对象进行条件控制阈计算，以及结果选项引导，实现由输入请求情景，反馈相应的权限响应。

具体实现细节参见上述基于DRF框架的资源权限控制装置和方法的实施例，此处不再赘述。

Claims (10)

1.一种基于DRF框架的资源权限控制装置，其特征在于，包括：

用户角色UR模块，用于根据用户数据模型进行实例解析生成载荷数据；

资源状态RS模块，用于根据资源数据模型进行实例解析生成载荷数据；

视图应用VA模块，用于根据配置生成载荷数据，得到的VA对象为依赖于DRF视图类的视图衍生对象；

规则生成器RG，用于解析自定义权限规则，并实现规则对象组装，建立用户角色与资源状态间的规则映射；其中规则对象包括左值输入区与右值输入区，左值输入区接收从DRF输入请求构造的UR及RS对象，右值输入区接收VA对象；自定义权限规则中预先定义了用户角色、资源状态与视图应用间的权限规则；

以及，流程组织器FO，用于调用UR、RS和VA模块进行真实元件RE装载，调用RG进行规则映射生成，并进行条件控制阈计算，以及结果选项引导，实现由输入请求情景，反馈相应的权限响应。

2.根据权利要求1所述的基于DRF框架的资源权限控制装置，其特征在于，所述规则生成器RG中内嵌有文本解析器用于解析自定义的权限规则，自定义的权限规则包括三层，外层表示用户角色，中层表示资源状态，内层表示视图应用。

3.根据权利要求2所述的基于DRF框架的资源权限控制装置，其特征在于，自定义的权限规则中，外层、中层和内层组成一条已定义的规则命名空间，中层和内层均可引用已定义规则命名空间中的任意规则或规则组。

4.根据权利要求1所述的基于DRF框架的资源权限控制装置，其特征在于，所述流程组织器FO依据自定义权限规则或规则组，依次判断规则对象左右值是否匹配，完成条件控制阈计算；将匹配后的VA对象引导至相应情景与下游DRF衍射视图。

5.根据权利要求1所述的基于DRF框架的资源权限控制装置，其特征在于，所述流程组织器FO在真实元件RE装载，规则映射生成，条件控制阈计算，以及结果选项引导各子流程间设置扩展HOOK。

6.根据权利要求1所述的基于DRF框架的资源权限控制装置，其特征在于， 所述流程组织器FO以类装饰的方式在DRF衍生视图集切面修饰视图逻辑，或者以函数装饰的方式在DRF衍生接口界面修饰接口逻辑。

7.利用根据权利要求1所述的基于DRF框架的资源权限控制装置实现的一种基于DRF框架的资源权限控制方法，其特征在于，包括如下步骤：

Web请求通过DRF工具产生请求对象后，作为控制过程输入；

通过输入携带的请求信息，利用用户角色UR模块、资源状态RS模块和视图应用VA模块获取并装载各个真实元件RE，生成用户角色UR对象、资源状态RS对象和视图应用VA对象；

将用户角色UR对象与资源状态RS对象以左值，视图应用VA对象以右值形式传入由规则生成器RG产生的控制规则中；

流程组织器FO组织上述过程后，计算规则对象条件控制阈，最后引导输入请求至正确的视图中并返还相应的响应信息。

8.根据权利要求7所述的基于DRF框架的资源权限控制方法，其特征在于，所述规则生成器RG中内嵌有文本解析器用于解析自定义的权限规则，自定义的权限规则包括三层，外层表示用户角色，中层表示资源状态，内层表示视图应用。

9.根据权利要求7所述的基于DRF框架的资源权限控制方法，其特征在于，自定义的权限规则中，外层、中层和内层组成一条已定义的规则命名空间，中层和内层均可引用已定义规则命名空间中的任意规则或规则组。

10.一种计算机装置，其特征在于，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被加载至处理器时实现如下步骤：

Web请求通过DRF工具产生请求对象后，作为资源权限控制过程输入；

通过输入携带的请求信息，根据用户数据模型进行实例解析生成用户角色UR对象，根据资源数据模型进行实例解析生成资源状态RS对象，根据配置生成视图应用VA对象，完成真实元件RE的装载；VA对象为依赖于DRF视图类的视图衍生对象；

解析用户自定义权限规则，并将用户角色UR对象与资源状态RS对象以左值，视图应用VA对象以右值组装规则对象；自定义权限规则中预先定义了用户角色、资源状态与视图应用间的权限规则；

根据自定义权限规则，对规则对象进行条件控制阈计算，以及结果选项引导，实现由输入请求情景，反馈相应的权限响应。

Images