简单认识RBAC

RBAC是什么

　　 RBAC是基于角色的访问控制（Role-Based Access Control ）在 RBAC中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。

　　 这就极大地简化了权限的管理。这样管理都是层级相互依赖的，权限赋予给角色，而把角色又赋予用户，这样的权限设计很清楚，管理起来很方便。

　　 RBAC一般都是公司内部进行使用，如财务部成员拥有查看财务报表的权限，人事部的成员拥有查看近期公司人员入职离职情况的权限等。

前台和后台

　　 在前台中，也就是面向用户的资源中主要有三大权限，如下：

　　 认证（是否登录）

　　 权限（是否能查看到该资源）

　　 频率（请求是否过于频繁）

　　 而在后台中，也就是面向公司内部的人员拥有哪些权限。

　　 就通过RBAC来进行管理。

　　 普通员工（只有查看某一张表、某一条记录的权限）

　　 小组长（能修改，能新增）

　　 大BOSS（对任何表都具有增删改查的权限）

Django-Auth组件

　　 最基本的权限管理其实三张表就够了，如下所示：

　　

　　 每个用户所属不同部门，那么不同部门拥有哪些权限则这些用户就具有哪些权限，这是非常广泛的。

　　 但是三张表局限性太过强烈，比如Jerry不属于助教部，它也想获取辅导的权限该怎么做呢（管理人员也可以来进行辅导呀）？所以这个时候三表权限就显得捉襟见肘。

　　

　　 Django中所使用的是六表权限，（基本上五表权限就够了），它包含了用户与组的关系，用户与权限的关系（很重要），以及组与权限的关系。

　　 那么有六张表时，就可以通过修改用户与权限关系表来让Jerry达到具有辅导的权限，但是Jerry并不会属于助教部，也就是额外的部门之外的权限。

　　 这么说可能有点抽象，举一个更加形象的例子，如公司老板不属于任何部门，那么他理应来说应该具有该公司所有权限，所以三表不够用，至少要五表才OK。

混合的权限

　　 其实对于前台和后台用户来说，一般要分为两张表。

　　 比如前台的是该站用户，后台是该站管理人员。’

　　 在Django中，它只用了一张表，当然这也是可行的，我们来看一下admin中对超级管理员对于普通用户的管理

　　

　　 可以看见，Django会将前台和后台的用户统一存放至auth_user表中，同时用字段来区分到底是前台还是后台用户。

　　 如果是后台用户，则才能够分配权限，当然Django提供的权限分配相对来说还是比较粗糙的，对于权限的区分甚至可以精确某一字段或记录。

　　 这里不再过多阐述。