Вся логика работы прав доступа сосредоточена в модуле django.contrib.auth через модель Permission и методы для работы с ней.
Модель Permission имеет Many-to-many связь с моделью Group (через поле permissions в модели Group), это позволяет назначать конкретные права группам.
Модель Permission имеет Many-to-many связь с моделью User (через поле user_permissions в модели User), это позволяет назначать конкретные права отдельным пользователям.
Наличие права X у пользователя/группы Y фактически означает наличие соответствующей записи в табличке ManyToMany-связей.
Права доступа - это строчки в таблице прав доступа. Назначение права доступа пользователю - это соответствие между строкой в таблице прав доступа, и строкой в таблице юзеров (или групп) |
Напрямую с правами доступа как моделями и/или записями в БД мы не работаем. Для работы с правами доступа в Django предусмотрен специальный "синтаксический сахар".
Права доступа всегда привязаны к какой-либо сущности.
Например: у нас есть сущность "Общежитие". Логически подумав, мы пришли к тому, что хотим:
1) Скрывать общежитие для некоторых пользователей
2) Давать некоторым пользователям управлять общежитием (например, изменять контент находящихся в нём помещений).
Любое право доступа обязательно характеризуется словами "для некоторых пользователей". Если такого требования нет - достаточно флажка в модели (если хотим скрывать или показывать общежитие всем пользователям одновременно - то для этого достаточно поля "is_hidden" типа BooleanField в модели общежития).