Django论坛的分层权限与审计：多租户、私密版块与合规落地

大量技术社区同时服务企业团队与公开开发者，既要开放交流又要保护私密内容。本文提供一套 分层权限 + 审计追踪 的通用实现，适用于 django.cn/forum/ 的多租户与版块隔离需求。

多租户边界

• Schema/数据行级隔离 二选一：中小体量推荐行级隔离（模型加 tenant_id），查询全局注入 tenant 过滤器；
• 静态资源与对象存储采用租户前缀：/media/{tenant}/...；
• 缓存键命名含租户：forum:{tenant}:thread:{id}，避免跨租户污染。

角色模型

• 基础角色：Owner、Admin、Moderator、Member、Guest；
• 版块级 ACL：ForumPermission(role, forum_id, actions) 细化到 read/create/reply/pin/lock；
• 临时授权：活动或评审期授予短期角色，自动过期。

class ForumPermission(models.Model):
    role = models.ForeignKey(Role, on_delete=models.CASCADE)
    forum = models.ForeignKey(Forum, on_delete=models.CASCADE)
    can_read = models.BooleanField(default=True)
    can_create = models.BooleanField(default=False)
    can_reply = models.BooleanField(default=True)
    can_moderate = models.BooleanField(default=False)

中间件与策略合成

• 请求进入时解析 tenant（域名/子路径），加载用户的 角色集合 与 版块 ACL；
• 策略合成采用“显式拒绝优先、最小权限原则”，黑名单覆盖白名单；
• 接口级装饰器：@require_perm('forum.create')，统一返回 403 并附带可申请权限的提示。

私密版块与内容保护

• 私密论坛仅对角色开放目录；未授权用户返回 404（避免枚举）而非 403；
• 帖子级别可叠加 访问名单 与 阅后即焚（一次性令牌）；
• 附件签名 URL + 到期时间，防止外链扩散；水印记录 user_id 与 ts 用于追责。

审计与合规

• 关键行为审计：登录、角色变更、版块访问、帖子删除/编辑、批量操作；
• 审计日志写入独立库/索引，7~30 天热存储，≥180 天冷存储；
• 审计可检索：按用户/时间/资源定位；
• 合规工具：关键词/外链白名单、导出个人数据与删除请求流程（GDPR/隐私要求）。

风控与限流

• 新手期策略：未满 N 天或信誉分 < T 的用户，发帖频率/外链数量限额；
• 版块自定义阈值：招聘、二手等敏感区更严格的审核队列与速率限制；
• 异常检测：同 IP/指纹高频操作、批量相似内容、异常点赞图谱，触发验证码或人工复核。

运维与演练

• 权限策略变更前 灰度验证 与回滚脚本；
• 审计链路定期演练：随机抽检是否能完整还原“谁在何时对何内容做了什么”；
• 指标：拒绝率、误拒绝申诉率、审计延迟、越权访问告警数。

以上三篇分别覆盖“实时通知”“搜索与推荐”“权限与审计”三大关键能力，可直接服务于中高并发的 Django 论坛落地与持续演进。