RBAC

什么是rbac?

-- 基于角色的权限控制  Role-Based Access Control

一个url就代表一个权限 // url分配给角色,角色分配给用户

-- 6个model,4张表

菜单表
    name　　　　 标题
    icon        图标
    weight      权重 排序
权限表
    title     标题    做显示用
    url       正则表达式 str 不加^$  (a标签href属性 )
    name　　　 url别名  --权限控制到按钮级别
    menu    外键关联菜单表
    parent  自关联/判断二级菜单的
角色表
    name
    permissions  多对多关联权限
用户表
    name     账号
    pwd      密码
    roles    多对多关联角色表
manytomany  -- django会创建下面2表:
角色和权限的关系表
用户和角色的关系表

流程:

权限控制流程 -- 
登录
首先经过 中间件 middleware /process_request
　　　　获取当前url地址  request.path_info
　　　　白名单  　　　　 settings.py  列表[正则]
　　　　校验通过
　　　　路由匹配 login 视图函数
　　　　login页面
　　　　form表单 填用户名 密码 提交POST请求
　　　　中间件 白名单 login def post请求  校验账号密码
　　　　失败的话拒绝 跳转到重新登录
　　　　登录成功  --> 权限信息初始化 -> 函数init_permission(request,obj)
　　　　-->获取权限obj.roles.all().filter(permissions__url__isnull=False).values(permissions__跨表).distinct(去重) 过滤非空权限

　　　 保存数据到session中,json序列化数字电子字典的key,(注意str)
　　　 返回一个跳转location响应头 中间件 get请求 路由匹配 index页面 点击其他 开始真正的权限校验,正则匹配
　　　　匹配到了之后(字符串格式化^$),没有匹配到返回HttpResponse('无权限')
　　　　匹配成功之后,获取当前权限id和父权限id

权限的校验

        -正则匹配

        -匹配成功

            id  权限的id

            pid  父权限的id

            有pid    当前访问的是一个子权限   

                request.current_ment_id = pid

                1. request.breadcrumb_list.append({  permission_dict [ str(pid) ]        })

                2. request.breadcrumb_list.append({  permission_dict [ pname ]        })

                request.breadcrumb_list.append({ url title  })

            没有pid    当前访问的是一个父权限   二级菜单

                request.current_ment_id = id 

                路径导航

                    request.breadcrumb_list.append({ url title  })

    return  HttpResponse('没有权限')

　　模板 动态生成二级菜单 inclusion_tag menu.html 两次for循环 排序 有序字典 字典也是个类 加()就是实例化

二级菜单class = active

一级菜单 class = ''  第一次循环的时候加了hide

路径导航 inclusion_tag  breadcrumb.html 最后一个不可点击的状态

权限控制到按钮级别  --只有filter 能写在if 判断里,其他两个都是标签,-->

在模板里使用  html

{%　if   request|has_permission:'customer_add'　％｝

返回布尔值
True 就显示
False 就不显示