jumpserver/apps/perms/models/asset_permission.py

import logging
import uuid

from django.db import models
from django.db.models import Q
from django.utils import timezone
from django.utils.translation import ugettext_lazy as _

from assets.models import Asset, Account
from common.db.models import UnionQuerySet
from common.utils import date_expired_default
from orgs.mixins.models import OrgManager
from orgs.mixins.models import OrgModelMixin
from perms.const import ActionChoices

__all__ = ['AssetPermission', 'ActionChoices']

# 使用场景
logger = logging.getLogger(__name__)


class AssetPermissionQuerySet(models.QuerySet):
    def active(self):
        return self.filter(is_active=True)

    def valid(self):
        return self.active().filter(date_start__lt=timezone.now()) \
            .filter(date_expired__gt=timezone.now())

    def inactive(self):
        return self.filter(is_active=False)

    def invalid(self):
        now = timezone.now()
        q = (Q(is_active=False) | Q(date_start__gt=now) | Q(date_expired__lt=now))
        return self.filter(q)

    def filter_by_accounts(self, accounts):
        q = Q(accounts__contains=list(accounts)) | \
            Q(accounts__contains=Account.AliasAccount.ALL.value)
        return self.filter(q)


class AssetPermissionManager(OrgManager):
    def valid(self):
        return self.get_queryset().valid()


class AssetPermission(OrgModelMixin):
    id = models.UUIDField(default=uuid.uuid4, primary_key=True)
    name = models.CharField(max_length=128, verbose_name=_('Name'))
    users = models.ManyToManyField(
        'users.User', related_name='%(class)ss', blank=True, verbose_name=_("User")
    )
    user_groups = models.ManyToManyField(
        'users.UserGroup', related_name='%(class)ss', blank=True, verbose_name=_("User group")
    )
    assets = models.ManyToManyField(
        'assets.Asset', related_name='granted_by_permissions', blank=True, verbose_name=_("Asset")
    )
    nodes = models.ManyToManyField(
        'assets.Node', related_name='granted_by_permissions', blank=True, verbose_name=_("Nodes")
    )
    # 特殊的账号: @ALL, @INPUT @USER 默认包含，将来在全局设置中进行控制.
    accounts = models.JSONField(default=list, verbose_name=_("Accounts"))
    actions = models.IntegerField(default=ActionChoices.connect, verbose_name=_("Actions"))
    is_active = models.BooleanField(default=True, verbose_name=_('Active'))
    date_start = models.DateTimeField(
        default=timezone.now, db_index=True, verbose_name=_("Date start")
    )
    date_expired = models.DateTimeField(
        default=date_expired_default, db_index=True, verbose_name=_('Date expired')
    )
    created_by = models.CharField(max_length=128, blank=True, verbose_name=_('Created by'))
    date_created = models.DateTimeField(auto_now_add=True, verbose_name=_('Date created'))
    from_ticket = models.BooleanField(default=False, verbose_name=_('From ticket'))
    comment = models.TextField(verbose_name=_('Comment'), blank=True)

    objects = AssetPermissionManager.from_queryset(AssetPermissionQuerySet)()

    class Meta:
        unique_together = [('org_id', 'name')]
        verbose_name = _("Asset permission")
        ordering = ('name',)
        permissions = []

    def __str__(self):
        return self.name

    @property
    def is_expired(self):
        if self.date_expired > timezone.now() > self.date_start:
            return False
        return True

    @property
    def is_valid(self):
        if not self.is_expired and self.is_active:
            return True
        return False

    def get_all_users(self):
        from users.models import User
        user_ids = self.users.all().values_list('id', flat=True)
        group_ids = self.user_groups.all().values_list('id', flat=True)
        user_ids = list(user_ids)
        group_ids = list(group_ids)
        qs1 = User.objects.filter(id__in=user_ids).distinct()
        qs2 = User.objects.filter(groups__id__in=group_ids).distinct()
        qs = UnionQuerySet(qs1, qs2)
        return qs

    def get_all_assets(self, flat=False):
        from assets.models import Node
        nodes_keys = self.nodes.all().values_list('key', flat=True)
        asset_ids = set(self.assets.all().values_list('id', flat=True))
        nodes_asset_ids = Node.get_nodes_all_asset_ids_by_keys(nodes_keys)
        asset_ids.update(nodes_asset_ids)
        if flat:
            return asset_ids
        assets = Asset.objects.filter(id__in=asset_ids)
        return assets

    def get_all_accounts(self, flat=False):
        """
         :return: 返回授权的所有账号对象 Account
        """
        asset_ids = self.get_all_assets(flat=True)
        q = Q(asset_id__in=asset_ids)
        if Account.AliasAccount.ALL in self.accounts:
            q &= Q(username__in=self.accounts)
        accounts = Account.objects.filter(q).order_by('asset__name', 'name', 'username')
        if not flat:
            return accounts
        return accounts.values_list('id', flat=True)
[Update] 添加资产授权规则 generate_fake 方法 5 years ago			`import logging`
pref: 修改 asset permission 2 years ago			`import uuid`
pref: 优化授权 api 返回字段 2 years ago
pref: 修改 asset permission 2 years ago			`from django.db import models`
			`from django.db.models import Q`
perf: 资产授权Model整理 2 years ago			`from django.utils import timezone`
Add user perm 8 years ago			`from django.utils.translation import ugettext_lazy as _`
Init project structure 8 years ago
pref: 修改 asset permission 2 years ago			`from assets.models import Asset, Account`
			`from common.db.models import UnionQuerySet`
			`from common.utils import date_expired_default`
perf: 资产授权Model整理 2 years ago			`from orgs.mixins.models import OrgManager`
pref: 修改 asset permission 2 years ago			`from orgs.mixins.models import OrgModelMixin`
perf: 优化授权规则获取用户授权的账号API 2 years ago			`from perms.const import ActionChoices`
[Feature] 添加功能 RemoteApp (#2706) * [Feature] RemoteApp添加Model * [Feature] RemoteApp添加ViewSet API * [Feature] RemoteApp添加获取connection-info API * [Feature] Perms模块修改目录结构 * [Feature] RemoteAppPermission添加Model * [Feature] RemoteAppPermission添加ViewSet API * [Feature] RemoteAppPermission添加用户/用户组获取被授权的RemoteApp API * [Feature] RemoteAppPermission添加校验用户对RemoteApp的权限 API * [Feature] RemoteAppPermission添加获取用户授权的RemoteApp树 API * [Feature] RemoteAppPermission添加<添加/移除>所授权的<用户/RemoteApp> API * [Feature] RemoteApp添加创建、更新、详情、删除、用户RemoteApp等页面 * [Feature] RemoteAppPermission添加创建、更新、详情、删除、授权用户、授权RemoteApp等页面 * [Feature] RemoteApp从assets模块迁移到新添加的applications模块 * [Feature] RemoteApp/RemoteAppPermission添加迁移文件 * [Feature] RemoteApp/RemoteAppPermission修改小细节 * [Feature] RemoteApp/RemoteAppPermission修改小细节2 * [Feature] RemoteApp/RemoteAppPermission修改小细节3 * [Feature] RemoteApp更新迁移文件 * [Feature] RemoteApp/RemoteAppPermission添加翻译信息 * [Feature] RemoteApp/RemoteAppPermission删除迁移文件 * [Feature] RemoteApp/RemoteAppPermission添加迁移文件 * [Feature] RemoteApp/RemoteAppPermission修改代码风格 6 years ago
pref: 修改 asset permission 2 years ago			`__all__ = ['AssetPermission', 'ActionChoices']`
fix (#4680) * perf(perms): 资产授权列表关联数据改为 `prefetch_related` * perf(perms): 优化一波 * dispatch_mapping_node_tasks.delay * perf: 在做一些优化 * perf: 再优化一波 * perf(perms): 授权更改节点慢的问题 * fix: 修改一处bug * perf(perms): ungrouped 资产数量计算方式 * fix: 修复dispatch data中的bug * fix(assets): add_nodes_assets_to_system_users celery task * fix: 修复ungrouped的bug * feat(nodes): 添加 favorite 节点 * feat(node): 添加 favorite api * fix: 修复clean keys的bug Co-authored-by: xinwen <coderWen@126.com> Co-authored-by: ibuler <ibuler@qq.com> 4 years ago
			`# 使用场景`
[Update] 添加资产授权规则 generate_fake 方法 5 years ago			`logger = logging.getLogger(__name__)`
[Feature] 授权规则添加 actions 选项，控制用户对资产的操作行为 (#2610) * [Feature] 1. perms actions - 添加 Action Model * [Feature] 2. perms actions - 添加 Action API * [Feature] 3. perms actions - 授权规则: 添加actions字段 * [Feature] 4. perms actions - 授权规则创建页面: 设置 actions 默认 all * [Feature] 5. perms actions - 资产授权工具: 动态给system_user设置actions属性; 修改授权相关的API-serializer类: 添加actions字段值 * [Feature] 6. perms actions - 更新API(用户使用系统用户连接资产时权限校验): 添加actions校验 * [Feature] 7. perms actions - 迁移文件中为已经存在的perms添加默认的action * [Feature] 8. perms actions - 创建授权规则时设置默认action(如果actions字段值为空) * [Feature] 9. check actions - 修改校验用户资产权限API逻辑(添加actions校验) * [Feature] 10. check actions - 修改注释 * [Feature] 11. check actions - 添加API: 获取用户指定资产和系统用户被授权的actions * [Feature] 12. check actions - 添加翻译信息 6 years ago

perf: 资产授权Model整理 2 years ago			`class AssetPermissionQuerySet(models.QuerySet):`
			`def active(self):`
			`return self.filter(is_active=True)`

			`def valid(self):`
			`return self.active().filter(date_start__lt=timezone.now()) \`
			`.filter(date_expired__gt=timezone.now())`

			`def inactive(self):`
			`return self.filter(is_active=False)`

			`def invalid(self):`
			`now = timezone.now()`
			`q = (Q(is_active=False) \| Q(date_start__gt=now) \| Q(date_expired__lt=now))`
			`return self.filter(q)`

fix: 修复用户授权资产账号API及Model处理逻辑 2 years ago			`def filter_by_accounts(self, accounts):`
feat: 修复获取用户授权的资产账号列表 2 years ago			`q = Q(accounts__contains=list(accounts)) \| \`
perf: 优化授权规则获取用户授权的账号API 2 years ago			`Q(accounts__contains=Account.AliasAccount.ALL.value)`
fix: 修复用户授权资产账号API及Model处理逻辑 2 years ago			`return self.filter(q)`

perf: 资产授权Model整理 2 years ago
			`class AssetPermissionManager(OrgManager):`
			`def valid(self):`
			`return self.get_queryset().valid()`


			`class AssetPermission(OrgModelMixin):`
			`id = models.UUIDField(default=uuid.uuid4, primary_key=True)`
			`name = models.CharField(max_length=128, verbose_name=_('Name'))`
refactor: 删除资产授权Model中不使用的方法 2 years ago			`users = models.ManyToManyField(`
			`'users.User', related_name='%(class)ss', blank=True, verbose_name=_("User")`
			`)`
			`user_groups = models.ManyToManyField(`
			`'users.UserGroup', related_name='%(class)ss', blank=True, verbose_name=_("User group")`
			`)`
			`assets = models.ManyToManyField(`
			`'assets.Asset', related_name='granted_by_permissions', blank=True, verbose_name=_("Asset")`
			`)`
			`nodes = models.ManyToManyField(`
			`'assets.Node', related_name='granted_by_permissions', blank=True, verbose_name=_("Nodes")`
			`)`
			`# 特殊的账号: @ALL, @INPUT @USER 默认包含，将来在全局设置中进行控制.`
perf: 修改系统用户 2 years ago			`accounts = models.JSONField(default=list, verbose_name=_("Accounts"))`
pref: 修改 asset permission 2 years ago			`actions = models.IntegerField(default=ActionChoices.connect, verbose_name=_("Actions"))`
perf: 资产授权Model整理 2 years ago			`is_active = models.BooleanField(default=True, verbose_name=_('Active'))`
refactor: 删除资产授权Model中不使用的方法 2 years ago			`date_start = models.DateTimeField(`
			`default=timezone.now, db_index=True, verbose_name=_("Date start")`
			`)`
			`date_expired = models.DateTimeField(`
			`default=date_expired_default, db_index=True, verbose_name=_('Date expired')`
			`)`
perf: 资产授权Model整理 2 years ago			`created_by = models.CharField(max_length=128, blank=True, verbose_name=_('Created by'))`
			`date_created = models.DateTimeField(auto_now_add=True, verbose_name=_('Date created'))`
			`from_ticket = models.BooleanField(default=False, verbose_name=_('From ticket'))`
			`comment = models.TextField(verbose_name=_('Comment'), blank=True)`

			`objects = AssetPermissionManager.from_queryset(AssetPermissionQuerySet)()`
[Update] 修改授权 7 years ago
[Merge] 修改一下bug 6 years ago			`class Meta:`
			`unique_together = [('org_id', 'name')]`
Dev2 (#1766) * [Update] 初始化操作日志 * [Feature] 完成操作日志记录 * [Update] 修改mfa失败提示 * [Update] 修改增加created by内容 * [Update] 增加改密日志 * [Update] 登录日志迁移到日志审计中 * [Update] change block user logic, if login success, clean block limit * [Update] 更新中/英文翻译(ALL) (#1662) * Revert "授权页面分页问题" * 增加命令导出 (#1566) * [Update] gunicorn不使用eventlet * [Update] 添加eventlet * 替换淘宝IP查询接口 * [Feature] 添加命令记录下载功能 (#1559) * [Feature] 添加命令记录下载功能 * [Update] 文案修改，导出记录、提交，取消全部命令导出 * [Update] 命令导出，修复时间问题 * [Update] paramiko => 2.4.1 * [Update] 修改settings * [Update] 修改权限判断 * Dev (#1646) * [Update] 添加org * [Update] 修改url * [Update] 完成基本框架 * [Update] 修改一些逻辑 * [Update] 修改用户view * [Update] 修改资产 * [Update] 修改asset api * [Update] 修改协议小问题 * [Update] stash it * [Update] 修改约束 * [Update] 修改外键为org_id * [Update] 删掉Premiddleware * [Update] 修改Node * [Update] 修改get_current_org 为 proxy对象 current_org * [Bugfix] 解决Node.root() 死循环，移动AdminRequired到permission中 (#1571) * [Update] 修改permission (#1574) * Tmp org (#1579) * [Update] 添加org api, 升级到django 2.0 * [Update] fix some bug * [Update] 修改一些bug * [Update] 添加授权规则org (#1580) * [Update] 修复创建授权规则，显示org_name不是有效UUID的bug * [Update] 更新org之间隔离授权规则，解决QuerySet与Manager问题；修复创建用户，显示org_name不是有效UUID之bug； * Tmp org (#1583) * [Update] 修改一些内容 * [Update] 修改datatable 支持process * [Bugfix] 修复asset queryset 没有valid方法的bug * [Update] 在线/历史/命令model添加org；修复命令记录保存org失败bug (#1584) * [Update] 修复创建授权规则，显示org_name不是有效UUID的bug * [Update] 更新org之间隔离授权规则，解决QuerySet与Manager问题；修复创建用户，显示org_name不是有效UUID之bug； * [Update] 在线/历史/命令model添加org * [Bugfix] 修复命令记录，保存org不成功bug * [Update] Org功能修改 * [Bugfix] 修复merge带来的问题 * [Update] org admin显示资产详情右侧选项卡；修复资产授权添加用户，会显示其他org用户的bug (#1594) * [Bugfix] 修复资产授权添加用户，显示其他org的用户bug * [Update] org admin 显示资产详情右侧选项卡 * Tmp org (#1596) * [Update] 修改index view * [Update] 修改nav * [Update] 修改profile * [Bugfix] 修复org下普通用户打开web终端看不到已被授权的资产和节点bug * [Update] 修改get_all_assets * [Bugfix] 修复节点前面有个空目录 * [Bugfix] 修复merge引起的bug * [Update] Add init * [Update] Node get_all_assets 过滤游离资产，条件nodes_key=None -> nodes=None * [Update] 恢复原来的api地址 * [Update] 修改api * [Bugfix] 修复org下用户查看我的资产不显示已授权节点/资产的bug * [Bugfix] Fix perm name unique * [Bugfix] 修复校验失败api * [Update] Merge with org * [Merge] 修改一下bug * [Update] 暂时修改一些url * [Update] 修改url 为django 2.0 path * [Update] 优化datatable 和显示组织优化 * [Update] 升级url * [Bugfix] 修复coco启动失败(load_config_from_server)、硬件刷新，测试连接，str 没有 decode(… (#1613) * [Bugfix] 修复coco启动失败(load_config_from_server)、硬件刷新，测试连接，str 没有 decode() method的bug * [Bugfix] (task任务系统)修复资产连接性测试、硬件刷新和系统用户连接性测试失败等bug * [Bugfix] 修复一些bug * [Bugfix] 修复一些bug * [Update] 更新org下普通用户的资产详情 (#1619) * [Update] 更新org下普通用户查看资产详情，只显示数据 * [Update] 优化org下普通用户查看资产详情前端代码 * [Update] 创建/更新用户的role选项；密码强度提示信息中英文； (#1623) * [Update] 修改超级管理员/组织管理员在创建/更新用户时role的选项问题 * [Update] 用户密码强度提示信息支持中英文 * [Update] 修改token返回 * [Update] Asset返回org name * [Update] 修改支持xpack * [Update] 修改url * [Bugfix] 修复不登录就能查看资产的bug * [Update] 用户修改 * [Bugfix] ... * [Bugfix] 修复跳转错误的问题 * [Update] xpack/orgs组织添加删除功能-js; 修复Label继承Org后bug; (#1644) * [Update] 更新xpack下orgs的翻译信息 * [Update] 更新model Label，继承OrgModelMixin; * [Update] xpack/orgs组织添加删除功能-js; 修复Label继承Org后bug; * [Bugfix] 修复小bug * [Update] 优化一些api * [Update] 优化用户资产页面 * [Update] 更新 xpack/orgs 删除功能：限制在当前org下删除当前org (#1645) * [Update] 修改版本号 * [Update] 添加功能: 语言切换(中/英)；修改 header_bar <商业支持、文档>显示方式 * [Update] 中/英切换文案修改；修改django_language key 从 settings 中获取 * [Update] 修改Dashboard页面文案，支持英文 * [Update] 更新中/英文翻译(ALL) * [Update] 解决翻译文件冲突 * [Update] 系统用户支持单独隋松 * [Update] 重置用户MFA * [Update] 设置session空闲时间 * [Update] 加密setting配置 * [Update] 修改单独推送和测试资产可连接性 * [Update] 添加功能：用户个人详情页添加更改MFA操作 (#1748) * [Update] 添加功能：用户个人详情页添加更改MFA操作 * [Update] 删除print * [Bugfix] 添加部分views的权限控制；从组织移除用户，同时从授权规则和用户组中移除此用户。 (#1746) * [Bugfix] 修复上传command log 为空 * [Update] 修复执行任务的bug * [Bugfix] 修复将用户从组内移除，其依然具有之前的组权限的bug, perms and user_groups * [Bugfix] 修复组管理员可以访问部分url-views的bug(如: /settings/)添加views权限控制 * [Update] 修改日志滚动 * [Bugfix] 修复组织权限控制的bug (#1763) * [Bugfix] 修复将用户从组内移除，其依然具有之前的组权限的bug, perms and user_groups * [Bugfix] 修复组管理员可以访问部分url-views的bug(如: /settings/)添加views权限控制 6 years ago			`verbose_name = _("Asset permission")`
[Update] 添加 asset permission默认排序，去掉node permission model (#3214) 5 years ago			`ordering = ('name',)`
perf: 修改系统用户 2 years ago			`permissions = []`
[Merge] 修改一下bug 6 years ago
perf: 资产授权Model整理 2 years ago			`def __str__(self):`
			`return self.name`

			`@property`
			`def is_expired(self):`
			`if self.date_expired > timezone.now() > self.date_start:`
			`return False`
			`return True`

			`@property`
			`def is_valid(self):`
			`if not self.is_expired and self.is_active:`
			`return True`
			`return False`

			`def get_all_users(self):`
			`from users.models import User`
			`user_ids = self.users.all().values_list('id', flat=True)`
			`group_ids = self.user_groups.all().values_list('id', flat=True)`
			`user_ids = list(user_ids)`
			`group_ids = list(group_ids)`
			`qs1 = User.objects.filter(id__in=user_ids).distinct()`
			`qs2 = User.objects.filter(groups__id__in=group_ids).distinct()`
			`qs = UnionQuerySet(qs1, qs2)`
			`return qs`

refactor: 删除资产授权Model中不使用的方法 2 years ago			`def get_all_assets(self, flat=False):`
			`from assets.models import Node`
			`nodes_keys = self.nodes.all().values_list('key', flat=True)`
			`asset_ids = set(self.assets.all().values_list('id', flat=True))`
			`nodes_asset_ids = Node.get_nodes_all_asset_ids_by_keys(nodes_keys)`
			`asset_ids.update(nodes_asset_ids)`
			`if flat:`
			`return asset_ids`
			`assets = Asset.objects.filter(id__in=asset_ids)`
			`return assets`

refactor: 授权添加授权账号工具，实现获取授权用户某个资产账号的功能 2 years ago			`def get_all_accounts(self, flat=False):`
refactor: 获取授权规则授权的所有账号对象 2 years ago			`"""`
			`:return: 返回授权的所有账号对象 Account`
			`"""`
			`asset_ids = self.get_all_assets(flat=True)`
			`q = Q(asset_id__in=asset_ids)`
perf: 优化授权规则获取用户授权的账号API 2 years ago			`if Account.AliasAccount.ALL in self.accounts:`
refactor: 获取授权规则授权的所有账号对象 2 years ago			`q &= Q(username__in=self.accounts)`
feat: 添加API获取授权规则授权的所有账号列表 2 years ago			`accounts = Account.objects.filter(q).order_by('asset__name', 'name', 'username')`
refactor: 授权添加授权账号工具，实现获取授权用户某个资产账号的功能 2 years ago			`if not flat:`
			`return accounts`
			`return accounts.values_list('id', flat=True)`