🍖RBAC 基于角色访问控制
一.RBAC介绍
1.什么是RBAC
- RBAC 是基于角色的访问控制 (Role-Based Access Control )
- 在 RBAC 中, 权限与角色相关联, 用户通过成为适当角色的成员而得到这些角色的权限
- 这就极大地简化了权限的管理, 这样管理都是层级相互依赖的, 权限赋予给角色, 而把角色又赋予用户, 这样的权限设计很清楚, 管理起来很方便
2.RBAC的应用
- Django的 Auth组件 采用的认证规则就是RBAC
- 专门做人员权限管理的系统(CRM系统), 公司内部使用, 数据量都在10w以下, 一般效率要求也不是很高
- 用户量极大的常规项目, 会分两种用户:前台用户(三大认证) 和 后台用户(使用RBAC来管理)
没有特殊要求的Django项目可以直接采用Auth组件的权限六表, 不需要自定义六个表, 也不需要断开表关系,单可能需要自定义User表
3.前台用户(三大认证)
- 前台指的不是前端, 而是普通用户所看到的界面, 使用认证、权限、频率来管理控制访问
- 简单来说 : 认证确定了你是谁
- 权限确定你能不能访问某个接口
- 限制确定你访问的某个接口的频率
4.后台用户(使用BRAC来管理)
- 后台指的是后台管理界面, 使用 RBAC 基于角色的访问控制
例如 :
- 普通员工只能访问某张表的某条记录
- 管理员或组长能对表和数据进行修改和新增等操作
- 老板能对所有数据拥有所有权限
二.RBAC的演变过程
1.用户与权限直接关联
- 也就是某个用户拥有某个权限, 这种结构能够很清晰的表现出用户和权限之间的关系
- 问题 : 以后随着人员增加, 每一个用户都需要重新授权或者朱七、王八离职之后, 需要针对每一个用户进行多种权限的回收, 繁琐
2.用户与权限之间添加角色
- 将用户进行分类, 加进不同的角色里边(相当于组的概念), 一个角色拥有某些权限, 具有统一角色的用户拥有相同的权限
- 一个用户也可以对应多个角色
三.RBAC表设计
1.三张表
- 用户表 : auth_user
- 角色表 : auth_group
- 权限表 : auth_permission
用户表与角色表通过外键与权限表关联
2.六张表
- 用户表 : auth_user
- 角色表 : auth_group
- 权限表 : auth_permission
- 角色和权限是多对多 : auth_group_permissions
- 用户和角色是多对多 : auth_user_groups
- 用户和权限的多对多表 : auth_user_user_permissions
四.实操
1.models.py 中写模型类, 扩写一下 auth_user 表
from django.contrib.auth.models import AbstractUser
# 为auth_user表增加phone字段
class UserInfo(AbstractUser):
phone = models.CharField(max_length=11, unique=True)
class Meta:
verbose_name_plural = '用户信息表'
def __str__(self):
return self.username
2.admin.py
from django.contrib import admin
from django.contrib.auth.admin import UserAdmin as DjangoUserAdmin
from drf_test import models
# 自定义User表后,admin界面管理User类
class UserAdmin(DjangoUserAdmin):
# 添加用户可操作字段
add_fieldsets = (
(None, {
'classes': ('wide',),
'fields': ('username', 'password', 'is_staff', 'phone', 'groups', 'user_permissions'),
}),
)
# 展示用户呈现的字段
list_display = ('username', 'phone', 'is_staff', 'is_active', 'is_superuser')
admin.site.register(models.UserInfo, UserAdmin)
3.访问后台管理
