关于角色权限控制，网上有很多参考，为了加深理解，自己就写了一套，再对比其他的方案，学习补充自己的不足．

后台需求是这样的：

1. 系统拥有多个角色，每一个角色拥有若干权限，不同角色可能拥有相同权限．
2. 每一个用户只属于某一个角色，每一个用户可能拥有角色外的权限．

角色：

1. 管理员: 拥有其他角色的所有权限，并且能添加管理员.
2. 开发组：查看操作日志，系统日志，发布版本更新.
   开发组管理：添加开发人员．

暂且提取这么多角色吧，其他的都一样．

解决方案：

以功能划分权限，每一个功能是一个权限．例如：添加管理员，是一个单独的权限，查看操作日志，是一个单独的权限.

1. 数据表：权限表，角色表，用户表，角色-权限表，用户-权限表;
2. 权限表-用户表多对多关系，权限表-角色表多对多关系;
3. 创建权限表的时候，初始化所有权限，创建角色表的时候，初始化所有角色，并为所有角色创建权限;
4. 在使用功能的时候，通过装饰器去验证该用户是否拥有这个功能的权限，通过则可以访问功能，否则无法访问．
   在用户表中创建权限检测：

# 获取用户所属角色与用户个人私有权限，判断该用户是否用于要访问的功能的权限．
def check_permissions(self, permission):
      roles_permissions = self.admin_role.roles_permissions.all()
      personal_permissions = self.admin_permissions.all()
      if (permission in [role_permission.permission_value for role_permission in roles_permissions]) or (permission in [personal_permission.permission_value for personal_permission in personal_permissions]):
          return True
      return False

权限装饰器中增加功能权限装饰器：

  # 用户操作权限检测
  def permission_required(permission):
      def decorator(f):
          @wraps(f)
          def decorated_function(*args, **kwargs):
              if not current_user.check_permissions(permission):
                  return redirect(url_for('error.page_not_found'))
              return f(*args, **kwargs)
          return decorated_function
      return decorator

  # 添加管理员功能权限
  def add_admin_required(f):
      return permission_required(AdminPermissions.PermissionsValue.add_admin)(f)

5. 如果用于有特殊权限，则为用户分配特殊权限，此属于用户-权限关系表,不做细述．

其他代码：

'''用户-权限表'''
admin_to_permissions = db.Table('admin_to_permissions',
                                      db.Column('admin_id', db.Integer, db.ForeignKey('admin.id')),
                                      db.Column('permissions_id', db.Integer, db.ForeignKey('permissions.id')),
                                      info={'bind_key': 'admins'}
                                      )

'''角色－权限关系表'''
roles_to_permissions = db.Table('roles_to_permissions',
                                      db.Column('roles_id', db.Integer, db.ForeignKey('roles.id')),
                                      db.Column('permissions_id', db.Integer, db.ForeignKey('permissions.id')),
                                      info={'bind_key': 'admins'}
                                      )

# 外键
# 用户外键关系:所属角色之外的私有权限
admin_permissions = db.relationship('AdminPermissions', secondary=admin_to_permissions,
                                    backref=db.backref('admins', lazy="joined"), lazy="dynamic")

# 角色外键关系:拥有权限关系关联
roles_permissions = db.relationship('AdminPermissions', secondary=roles_to_permissions,
                                    backref=db.backref('roles', lazy="joined"), lazy="dynamic")

好了，大概就说这么多吧，接下来找找自己的不足，记下以做参考．