drf-RBAC基于角色访问控制

一、什么是RBAC

1. 概念

RBAC（Role-Based Access Control）权限模型的概念，即：基于角色的权限控制。通过角色关联用户，角色关联权限的方式间接赋予用户权限。

2. 应用

RBAC - Role-Based Access Control
Django的 Auth组件 采用的认证规则就是RBAC

1）像专门做人员权限管理的系统（CRM系统）都是公司内部使用，所以数据量都在10w一下，一般效率要求也不是很高
2）用户量极大的常规项目，会分两种用户：前台用户(三大认证) 和 后台用户(BRAC来管理)
结论：没有特殊要求的Django项目可以直接采用Auth组件的权限六表，不需要自定义六个表，也不需要断开表关系，单可能需要自定义User表

3. 前后台权限控制

1）后台: 用户对各表操作，是后台项目完成的，我们可以直接借助admin后台项目（Django自带的）
    后期也可以用xadmin框架来做后台用户权限管理. 如django的后台管理权限
    auth_user        用户
    auth_group       用户组
    auth_permission  用户权限
    auth_user_groups           用户属于的用户组, 用户组包含的用户
    auth_group_permissions     用户组赋予的权限
    auth_user_user_permissions 用户属于用户组, 因此用户也含有该组的权限

2）前台: 用户的权限管理如何处理
   定义了一堆数据接口的视图类，不同的登录用户是否能访问这些视图类，能就代表有权限，不能就代表无权限
   前台用户权限用drf框架的 三大认证: 认证, 权限, 频率

二、Django的内置RBAC（六表）

1. 权限三表

2. 权限六表

三、实操

1. models.py

from django.db import models

from django.contrib.auth.models import AbstractUser
class User(AbstractUser):
    mobile = models.CharField(max_length=11, unique=True)

    def __str__(self):
        return self.username


class Book(models.Model):
    name = models.CharField(max_length=64)

    def __str__(self):
        return self.name


class Car(models.Model):
    name = models.CharField(max_length=64)

    def __str__(self):
        return self.name

2. admin.py

from . import models

from django.contrib.auth.admin import UserAdmin as DjangoUserAdmin

# 自定义User表后，admin界面管理User类
class UserAdmin(DjangoUserAdmin):
    # 添加用户课操作字段
    add_fieldsets = (
        (None, {
            'classes': ('wide',),
            'fields': ('username', 'password1', 'password2', 'is_staff', 'mobile', 'groups', 'user_permissions'),
        }),
    )
    # 展示用户呈现的字段
    list_display = ('username', 'mobile', 'is_staff', 'is_active', 'is_superuser')


admin.site.register(models.User, UserAdmin)
admin.site.register(models.Book)
admin.site.register(models.Car)

3. 流程分析

先创建超级用户, 再通过超级用户创建普通用户, 为普通用户添加用户组,
为用户组设置A权限. 在为用户设置B权限. 最后将用户加入该用户组中,
于是用户在有B权限的基础之上, 又有了A权限.