一、什么是rbac
rbac翻译意思就是(Role-Based Access Contro)基于角色的权限控制

二、优势
1.将用户和权限的关系
2.易扩展,易于维护

比如张三李四需要用客户列表访问权限,如果上百个用户,单独分配权限会麻烦,如果单独放客户列表权限在销售角色里面,张三李四放到销售角色里就OK了

三、RBAC流程图
Django项目中的实现rbac功能

第一张:用户表
第二张:角色表
第三张表:用户表和角色表多对多的关系,一个用户可以有多个角色
第四张表:权限表
第五张表:权限表和角色表多对多的关系,多个权限可以放到一个角色里面

四、效果图
Django项目中的实现rbac功能

五、本章案例
背景:开发一个固定资产管理系统
实现功能:根据不同用户登陆分配不同权限,jack是CTO这个角色,CTO对所有页面有增删改查的权限,当jack登陆的时候,显示有增删改查的按钮。当登陆lucy,因为是COO的权限,有所有页面查询的权限,只能查看,无法添加修改删除。

1.在django中把rbac做成组件,到别的项目也可以直接拿来用
2.在项目中新创建一个名为rbac应用,创建命令startapp rbac
3.在rbac应用里mode.pyl写ORM,分别是账号表,角色表,权限表,权限组表

from django.db import models

# Create your models here.
class Account(models.Model):
    name=models.CharField(max_length=32)
    pwd=models.CharField(max_length=32)
    roles=models.ManyToManyField(to="Role")
    def __str__(self): return self.name

class Role(models.Model):
    title=models.CharField(max_length=32)
    permissions=models.ManyToManyField(to="Permission")
    def __str__(self): return self.title

class Permission(models.Model):
    title=models.CharField(max_length=32)
    url=models.CharField(max_length=32)
    action=models.CharField(max_length=32,default="")
    group=models.ForeignKey("PermissionGroup",default=1,on_delete=models.CASCADE)
    def __str__(self):return self.title

class PermissionGroup(models.Model):
    title = models.CharField(max_length=32)
    def __str__(self): return self.title

4.在rdac的admin文件中添加下面数据,为了后台管理

from django.contrib import admin
from .models import *
class PerConfig(admin.ModelAdmin):
list_display = ["title","url","group","action"]
admin.site.register(Account)
admin.site.register(Role)
admin.site.register(Permission,PerConfig)
admin.site.register(PermissionGroup)

5.在后台分别对应写入4张表数据
Django项目中的实现rbac功能
这是权限表,这里可以理解为一个URL等于一个权限
Django项目中的实现rbac功能
6.开始写组件
在rbac应用中,创建一个service的python包,然后在下面创建perssions.py文件

###############################在session注册权限列表##############################
def initial_session(user,request):
    #获取当前用户所在的所有角色拥有的权限url,组id,动作,去掉重复
    permissions = user.roles.all().values("permissions__url","permissions__group_id","permissions__action").distinct()

    #把结果放到一个字典中
    permission_dict={}
    for item in permissions:
        gid=item.get('permissions__group_id')

        #判断当前组id是否已经存在到字典中
        if not gid in permission_dict:
            #加逗号是因为考虑还有数据
            #permission_dict{1:{"url":["/device_list/"],"action":"[search"]},2:{"url":["/device_list/"],"action":["search"}]}
            permission_dict[gid]={
                "urls":[item["permissions__url"],],
                "actions":[item["permissions__action"],]
            }
        else:
            permission_dict[gid]["urls"].append(item["permissions__url"])
            permission_dict[gid]["actions"].append(item["permissions__action"])

    request.session['permission_dict'] = permission_dict

然后再创建rbac.py,写一个类,最终写到setting.py的MIDDLEWARE。

import re
from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import  HttpResponse,redirect

class ValidPermission(MiddlewareMixin):
    def process_request(self,request):

        # 当前访问路径
        current_path = request.path_info

        # 检查是否属于白名单,如果是下面路径url不用校验
        valid_url_list=["/login/","/reg/","/admin/.*","/index/",'/logout/']

        for valid_url in valid_url_list:
            ret=re.match(valid_url,current_path)
            if ret:
                return None

        # 校验是否登录,这步是为了让用户去登陆,而不是返回一个没有权限的页面
        user_id=request.session.get("user_id")
        if not user_id:
            return redirect("/index/")

        # 校验url
        permission_dict=request.session.get("permission_dict")
        for item in permission_dict.values():
              urls=item['urls']
              for reg in urls:
                  reg="^%s$"%reg
                  ret=re.match(reg,current_path)
                  if ret:
                      request.actions=item['actions']
                      return None

        return HttpResponse("没有访问权限!")

7.写views.py文件,当用户在登陆页面登陆发送账号密码过来时,进行校验,如果存在账号表中,就在session会话中注册这个用户id,调用rbac组件,如果通过了就返回页面

#登陆函数
def login(request):
    if  request.method=="POST":
        user=request.POST.get("user")
        pwd=request.POST.get("pwd")
        #获取Account表里面去找有没有当前的用户名和密码
        user=Account.objects.filter(name=user,pwd=pwd).first()
        if user:
            ############################### 在session中注册用户ID######################
            request.session["user_id"]=user.pk
            #调用组件
            initial_session(user,request)
            return redirect("/device_list/")
    return render(request,"index.html")

8.在view.py视图文件中添加下面代码,Per(request.actions)获取当前用户动作

class Per(object):
    def __init__(self,actions):
        self.actions=actions
    def add(self):
        return "add" in self.actions
    def delete(self):
        return "delete" in self.actions
    def edit(self):
        return "edit" in self.actions
    def list(self):
        return "search" in self.actions

def device_list(request):
    ret = models.Device.objects.all()
    #在前端页面显示用户名
    per = Per(request.actions)
    return render(request, 'device/device_list.html', locals())

9.前端页面写模板语言,下面代码是写在form表单

<div class="col-md-1 pull-right new-add">
    #判断用户是否有add添加权限,如果有则显示按钮,否则不显示
     {% if per.add %}
         <a href="/add_device/" class="btn btn-success">
             <i class="fa fa-plus fa-fw"></i>新增
         </a>
     {% endif %}
</div>

同样是判断是否有删除和编辑权限

{% if per.delete %}
   <a class="btn btn-danger del" href="/del_device/{{ device.id }}">
        <i class="fa fa-trash-o fa-fw"></i>删除
   </a>
   {% endif %}
   {% if per.edit %}
      <a class="btn btn-info" href="/edit_device/{{ device.id }}">
       <i class="fa fa-pencil fa-fw"></i>编辑
     </a>
{% endif %}

10.显示图,登陆jack用户
Django项目中的实现rbac功能
再登陆luyc用户
Django项目中的实现rbac功能
可以看到lucy没有添加删除编辑的按钮,就算成功了。

补充一点,url和views.py都写在项目中,不是写在应用中喔。