一、什么是rbac
rbac翻译意思就是(Role-Based Access Contro)基于角色的权限控制

二、优势
1.将用户和权限的关系
2.易扩展，易于维护

比如张三李四需要用客户列表访问权限，如果上百个用户，单独分配权限会麻烦，如果单独放客户列表权限在销售角色里面，张三李四放到销售角色里就OK了

三、RBAC流程图

第一张：用户表
第二张：角色表
第三张表：用户表和角色表多对多的关系，一个用户可以有多个角色
第四张表：权限表
第五张表：权限表和角色表多对多的关系，多个权限可以放到一个角色里面

四、效果图

五、本章案例
背景：开发一个固定资产管理系统
实现功能：根据不同用户登陆分配不同权限，jack是CTO这个角色，CTO对所有页面有增删改查的权限，当jack登陆的时候，显示有增删改查的按钮。当登陆lucy，因为是COO的权限，有所有页面查询的权限，只能查看，无法添加修改删除。

1.在django中把rbac做成组件，到别的项目也可以直接拿来用
2.在项目中新创建一个名为rbac应用，创建命令startapp rbac
3.在rbac应用里mode.pyl写ORM，分别是账号表，角色表，权限表，权限组表

from django.db import models# Create your models here.class Account(models.Model): name=models.CharField(max_length=32) pwd=models.CharField(max_length=32) roles=models.ManyToManyField(to="Role") def __str__(self): return self.nameclass Role(models.Model): title=models.CharField(max_length=32) permissions=models.ManyToManyField(to="Permission") def __str__(self): return self.titleclass Permission(models.Model): title=models.CharField(max_length=32) url=models.CharField(max_length=32) action=models.CharField(max_length=32,default="") group=models.ForeignKey("PermissionGroup",default=1,on_delete=models.CASCADE) def __str__(self):return self.titleclass PermissionGroup(models.Model): title = models.CharField(max_length=32) def __str__(self): return self.title

4.在rdac的admin文件中添加下面数据，为了后台管理

from django.contrib import adminfrom .models import *class PerConfig(admin.ModelAdmin):list_display = ["title","url","group","action"]admin.site.register(Account)admin.site.register(Role)admin.site.register(Permission,PerConfig)admin.site.register(PermissionGroup)

5.在后台分别对应写入4张表数据

这是权限表，这里可以理解为一个URL等于一个权限

6.开始写组件
在rbac应用中，创建一个service的python包，然后在下面创建perssions.py文件

###############################在session注册权限列表##############################def initial_session(user,request): #获取当前用户所在的所有角色拥有的权限url，组id，动作，去掉重复 permissions = user.roles.all().values("permissions__url","permissions__group_id","permissions__action").distinct() #把结果放到一个字典中 permission_dict={} for item in permissions: gid=item.get('permissions__group_id') #判断当前组id是否已经存在到字典中 if not gid in permission_dict: #加逗号是因为考虑还有数据 #permission_dict{1:{"url":["/device_list/"],"action":"[search"]},2:{"url":["/device_list/"],"action":["search"}]} permission_dict[gid]={ "urls":[item["permissions__url"],], "actions":[item["permissions__action"],] } else: permission_dict[gid]["urls"].append(item["permissions__url"]) permission_dict[gid]["actions"].append(item["permissions__action"]) request.session['permission_dict'] = permission_dict

然后再创建rbac.py，写一个类，最终写到setting.py的MIDDLEWARE。

import refrom django.utils.deprecation import MiddlewareMixinfrom django.shortcuts import HttpResponse,redirectclass ValidPermission(MiddlewareMixin): def process_request(self,request): # 当前访问路径 current_path = request.path_info # 检查是否属于白名单，如果是下面路径url不用校验 valid_url_list=["/login/","/reg/","/admin/.*","/index/",'/logout/'] for valid_url in valid_url_list: ret=re.match(valid_url,current_path) if ret: return None # 校验是否登录，这步是为了让用户去登陆，而不是返回一个没有权限的页面 user_id=request.session.get("user_id") if not user_id: return redirect("/index/") # 校验url permission_dict=request.session.get("permission_dict") for item in permission_dict.values(): urls=item['urls'] for reg in urls: reg="^%s$"%reg ret=re.match(reg,current_path) if ret: request.actions=item['actions'] return None return HttpResponse("没有访问权限！")

7.写views.py文件，当用户在登陆页面登陆发送账号密码过来时，进行校验，如果存在账号表中，就在session会话中注册这个用户id，调用rbac组件，如果通过了就返回页面

#登陆函数def login(request): if request.method=="POST": user=request.POST.get("user") pwd=request.POST.get("pwd") #获取Account表里面去找有没有当前的用户名和密码 user=Account.objects.filter(name=user,pwd=pwd).first() if user: ############################### 在session中注册用户ID###################### request.session["user_id"]=user.pk #调用组件 initial_session(user,request) return redirect("/device_list/") return render(request,"index.html")

8.在view.py视图文件中添加下面代码，Per(request.actions)获取当前用户动作

class Per(object): def __init__(self,actions): self.actions=actions def add(self): return "add" in self.actions def delete(self): return "delete" in self.actions def edit(self): return "edit" in self.actions def list(self): return "search" in self.actionsdef device_list(request): ret = models.Device.objects.all() #在前端页面显示用户名 per = Per(request.actions) return render(request, 'device/device_list.html', locals())

9.前端页面写模板语言，下面代码是写在form表单

<div class="col-md-1 pull-right new-add"> #判断用户是否有add添加权限，如果有则显示按钮，否则不显示 {% if per.add %} <a href="/add_device/" class="btn btn-success"> <i class="fa fa-plus fa-fw"></i>新增 </a> {% endif %}</div>

同样是判断是否有删除和编辑权限

{% if per.delete %} <a class="btn btn-danger del" href="/del_device/{{ device.id }}"> <i class="fa fa-trash-o fa-fw"></i>删除 </a> {% endif %} {% if per.edit %} <a class="btn btn-info" href="/edit_device/{{ device.id }}"> <i class="fa fa-pencil fa-fw"></i>编辑 </a>{% endif %}

10.显示图，登陆jack用户

再登陆luyc用户

可以看到lucy没有添加删除编辑的按钮，就算成功了。

补充一点，url和views.py都写在项目中，不是写在应用中喔。