update docs

wu-clan · wu-clan · commit 806e4ef1f36c · 2025-02-19T18:30:38.000+08:00
diff --git a/docs/.vuepress/sidebar.ts b/docs/.vuepress/sidebar.ts
@@ -20,16 +20,17 @@ export const mySidebar: SidebarMulti = {
             prefix: 'reference/',
             items: [
                 {text: '路由', link: 'router'},
-                {text: 'JWT', link: 'jwt'},
                 {text: 'CRUD', link: 'CRUD'},
                 {text: '接口响应', link: 'response'},
                 {text: '分页', link: 'pagination'},
                 {text: '自定义异常', link: '/planet', icon: 'fluent-color:receipt-16'},
                 {text: '切换数据库', link: 'db'},
-                {text: '代码生成', link: 'code-generation'},
+                {text: 'JWT', link: 'jwt'},
+                {text: 'RBAC', link: 'RBAC'},
+                {text: '鉴权', link: 'permission'},
                 {text: '数据规则', link: '/planet', icon: 'fluent-color:video-16'},
+                {text: '代码生成', link: 'code-generation'},
                 {text: '跨域', link: 'CORS'},
-                {text: 'RBAC', link: 'RBAC'},
                 {text: '事务', link: 'transaction'},
                 {text: 'Celery', link: '/planet', icon: 'fluent-color:video-16'},
                 {text: 'APScheduler', link: 'apscheduler'},
diff --git a/docs/guide/reference/RBAC.md b/docs/guide/reference/RBAC.md
@@ -2,19 +2,21 @@
 title: RBAC
 ---
 
-我们通过两个自定义依赖组件，实现了 RBAC 的轻松集成，在 Java 或其他语言中，常见的方式可能是注解，但在 FastAPI 中，依赖是它的亮点，也是核心
+我们通过自定义依赖组件，实现了 RBAC 的轻松集成，在 Java 或其他语言中，常见的方式可能是注解，但在 FastAPI 中，依赖是它的亮点，也是核心
 
 ## RBAC
 
-RBAC 内置了两种解决方案，分别为【角色菜单】、【Casbin】
+fba 内置了两种解决方案，分别为【角色菜单】、【Casbin】
 
-【角色菜单】是各类语言 web 开发中比较常见的解决方案，它可以设置按钮级别的控制规则
+### 角色菜单
 
-【Casbin】是 Go 语言中比较流行的解决方案，它非常灵活，可以通过模型定义多种控制规则
+::: tip
+fba 中默认未启用此鉴权方式
+:::
 
-### 角色菜单
+此方案是各类语言 web 开发中比较常见的解决方案，它可以设置按钮级别的控制规则
 
-要想实现此 RBAC 调用，涉及到三处相关配置
+要想实现此 RBAC 鉴权，需要修改以下相关配置
 
 ::: steps
 
@@ -29,7 +31,7 @@ RBAC 内置了两种解决方案，分别为【角色菜单】、【Casbin】
 
 2. 添加接口依赖
 
-   只有在接口中填加以下相关依赖时，才能自动应用此鉴权方式
+   只有在接口中添加以下依赖时，才能自动调用此鉴权方式
 
     ```py{5-6}
     @router.post(
@@ -51,50 +53,82 @@ RBAC 内置了两种解决方案，分别为【角色菜单】、【Casbin】
 
 ### Casbin
 
-我们在最初架构设计时，参考了 go-admin，gin-vue-admin... 等优秀的开源项目，同时引入了
-Casbin，它在众多 python web 开源项目中可能是极为罕见的，并且，它的学习成本非常高，如果你对此感兴趣，可以通过
-[Casbin 官网](https://casbin.org/docs/get-started) 进行学习，另外，可参考视频教程
-[半小时彻底弄懂Casbin基础模型](https://www.bilibili.com/video/BV1qz4y167XP/?spm_id_from=333.999.0.0&vd_source=958c4d7f9243c68a0ec9dcd327bad930)、
-[Casbin的代码使用、api调用、自定义比较方法](https://www.bilibili.com/video/BV13r4y1M7AC/?spm_id_from=333.999.0.0&vd_source=958c4d7f9243c68a0ec9dcd327bad930)
-，讲的是非常好
+::: tip
+fba 中默认使用此鉴权方式
+:::
+
+此方案是 Go 语言中比较流行的解决方案，它非常灵活，可以通过模型定义多种控制规则
+
+要想使用此 RBAC 鉴权，需要学习以下几点
+
+::: steps
+
+1. 了解 Casbin
+
+   我们在最初架构设计时，参考了 go-admin，gin-vue-admin... 等优秀的开源项目，同时引入了 Casbin，它在众多 python web
+   开源项目中可能是极为罕见的，并且，它的学习成本非常高，如果你对此感兴趣，可以通过 [Casbin 官网](https://casbin.org/docs/get-started)
+   进行学习，另外，可参考视频教程 [半小时彻底弄懂Casbin基础模型](https://www.bilibili.com/video/BV1qz4y167XP/?spm_id_from=333.999.0.0&vd_source=958c4d7f9243c68a0ec9dcd327bad930)、[Casbin的代码使用、api调用、自定义比较方法](https://www.bilibili.com/video/BV13r4y1M7AC/?spm_id_from=333.999.0.0&vd_source=958c4d7f9243c68a0ec9dcd327bad930)
+   ，讲的是非常好
+
+2. 了解规则
+
+   通过以上学习之后，我们再来看内置规则（不学习 == 天书），你可以通过[编辑器](https://casbin.org/zh/docs/online-editor)
+   进行模型规则验证
+
+   内置模型 `backend/plugin/casbin/utils/rbac.py`：
+
+    ```model
+    [request_definition]
+    r = sub, obj, act
+    
+    [policy_definition]
+    p = sub, obj, act
+    
+    [role_definition]
+    g = _, _
+    
+    [policy_effect]
+    e = some(where (p.eft == allow))
+    
+    [matchers]
+    m = g(r.sub, p.sub) && (keyMatch(r.obj, p.obj) || keyMatch3(r.obj, p.obj)) && (r.act == p.act || p.act == "*")
+    ```
+
+3. 了解策略
 
-通过以上学习之后，我们再来看内置规则（不学习 == 天书），
-你可以通过[编辑器](https://casbin.org/zh/docs/online-editor)进行模型规则验证
+   p 策略：
+    - 添加基于角色的访问权限（推荐）
 
-模型：
+      需要配合添加 g 策略才能实现用户访问权限，适合配置所有用户接口访问策略，拥有此角色的用户便能拥有相应的访问权限<br>
 
-```
-[request_definition]
-r = sub, obj, act
+      格式：`角色 role + 访问路径 path + 访问方法 method`
 
-[policy_definition]
-p = sub, obj, act
+    - 添加基于用户的访问权限（不推荐）
 
-[role_definition]
-g = _, _
+      不需要配合添加 g 策略就能实现用户访问权限，适合配置指定用户接口访问策略<br>
 
-[policy_effect]
-e = some(where (p.eft == allow))
+      格式：`用户 uuid + 访问路径 path + 访问方法 method`
 
-[matchers]
-m = g(r.sub, p.sub) && (keyMatch(r.obj, p.obj) || keyMatch3(r.obj, p.obj)) && (r.act == p.act || p.act == "*")
-```
+   g 策略（基于 p 策略）：
+    - 添加基于角色的访问权限
 
-p 策略：
+      格式：`用户 uuid + 角色 role`
 
-- 推荐添加基于角色的访问权限, 需配合添加 g 策略才能真正拥有访问权限，适合配置全局接口访问策略<br>
-  **格式**: 角色 role + 访问路径 path + 访问方法 method
+4. 添加策略
 
-- 如果添加基于用户的访问权限, 不需配合添加 g 策略就能真正拥有权限，适合配置指定用户接口访问策略<br>
-  **格式**: 用户 uuid + 访问路径 path + 访问方法 method
+   在文件 `backend/plugin/casbin/api/v1/sys/casbin.py` 中，包含策略相关接口，依据模型和策略规则添加相关策略即可
 
-g 策略 (**依赖 p 策略**)：
+5. 检查接口依赖
 
-- 如果在 p 策略中添加了基于角色的访问权限, 则还需要在 g 策略中添加基于用户组的访问权限, 才能真正拥有访问权限<br>
-  **格式**: 用户 uuid + 角色 role
+   只有在接口中添加以下依赖时，才能自动调用此鉴权方式
 
-- 如果在 p 策略中添加了基于用户的访问权限, 则不添加相应的 g 策略能直接拥有访问权限，但是拥有的不是用户角色的所有权限,
-  而只是单一的对应的 p 策略所添加的访问权限
+    ```python{1}
+    @router.post('/hello', summary='你好', dependencies=[DependsRBAC])
+    async def hello():
+        ....
+    ```
+
+:::
 
 ## 解耦
 
diff --git a/docs/guide/reference/jwt.md b/docs/guide/reference/jwt.md
@@ -45,12 +45,12 @@ class JwtAuthMiddleware(AuthenticationBackend):
 
 ## Token
 
-内置遵循 [rfc6750](https://datatracker.ietf.org/doc/html/rfc6750) 标准实现的 HTTP 授权方式，如果您想使用自定义 header
-添加 token 进行授权，可以查看我们的 [非公开内容](../../planet.md#fastapi)
+内置遵循 [rfc6750](https://datatracker.ietf.org/doc/html/rfc6750) 标准实现的 HTTP 授权方式，如果您想通过自定义 header 添加
+token 进行授权，可以查看 [Header Token（自定义 header token 实现授权）](../../planet.md#fastapi)
 
-### 验证码登录
+## 验证码登录
 
-您可以通过验证码登录获取 token，在大多数情况下，这更适用于配合前端实现登录授权
+你可以通过此方式获取 token，在大多数情况下，这更适用于配合前端实现登录授权
 
 我们在 fba 中使用 [fast_captcha](https://github.com/wu-clan/fast-captcha) 生成 base64 验证码，通过接口进行数据返回；您可以通过在线
 base64 转图片或配合前端项目将其转为图片进行预览，以下使其工作流程：
@@ -73,11 +73,11 @@ fast_captcha ->> Redis: 缓存验证码
 Token -->> 客户端: 成功
 ```
 
-### Swagger 登录
+## Swagger 登录
 
-这是一种快捷的授权方式，但仅出于调试目的，在服务启动后，进入 Swagger 文档，可通过此调试接口快速获取授权 token（无需验证码）
+这是一种快捷的授权方式，仅用于调试目的，在服务启动后，进入 Swagger 文档，可通过此调试接口快速获取 token（无需验证码）
 
-### OAuth 2.0
+## OAuth 2.0
 
 这种授权方式通常适用于第三方平台认证登录，第三方授权成功后，将依据第三方平台信息自动创建本地用户并自动授权登录，这一切都是用户无感知的
 
diff --git a/docs/guide/reference/permission.md b/docs/guide/reference/permission.md
@@ -0,0 +1,26 @@
+---
+title: 鉴权
+---
+
+在 fba 中，我们主要通过 [JWT](./jwt.md) 和 [RBAC](./RBAC.md) 实现鉴权，但它们的控制方式有所不同
+
+## JWT
+
+在文件 `backend/common/security/jwt.py` 中，包含以下代码
+
+```python
+# JWT authorizes dependency injection
+DependsJwtAuth = Depends(HTTPBearer())
+```
+
+我们通过在接口函数中添加此依赖实现 JWT 快速校验，它可以帮助我们检查请求头中是否包含 Bearer Token，使用方式参考如下：
+
+```python{1}
+@router.get('/hello', summary='你好', dependencies=[DependsJwtAuth])
+async def hello():
+    ...
+```
+
+## RBAC
+
+请参考 [RBAC](./RBAC.md#角色菜单) 相关内容
