1
wubo19842008 2013-12-31 10:13:51 +08:00 1
权限设计一般都是用RBAC模型,也就是用户-角色-资源的三者关系
|
2
Keyes 2013-12-31 10:17:19 +08:00
对ER图什么的不了解,GOOGLE了一下有个粗浅的认识,ER图用来表现数据对象的各种关系(现学现卖有错望指点)
接下来看了一下:“通过auth的user才可以新建post,一个user一天只能新建不超过配额的post,一个user不能更新别的用户的post。” 这是数据库层面干的事吗?不是业务逻辑层做的吗?需要体现在ER这边吗? |
3
arbipher OP @Keyes 我没说清楚,sorry。就像“ER图”之于“Model”,用ER来描述 Model,有没有类似的东西,可以在“非代码”的层面描述“权限、配额”这些东西。
A is to B what C is to D. |
6
hustlzp 2013-12-31 10:50:37 +08:00 1
@wubo19842008 感谢分享,让我知道还有RBAC这个概念...
|
7
hustlzp 2013-12-31 10:52:34 +08:00
|
8
arbipher OP @wubo19842008 我也是第一次指知道RBAC,去wiki、stackoverflow和quora逛了一圈,大概知道是什么东西了。
我是在看django-rest-framework的文档时想到这个问题的。实例给的权限控制,就是在APIView里面指定,觉得这么硬编码进去不好。 如果是基于role的话,APIView根据这个角色所在的role的permission来判断。感觉上可行。我试试 谢谢。 |