ホームページ  >  記事  >  php教程  >  RBAC在PHP中的应用

RBAC在PHP中的应用

WBOY
WBOYオリジナル
2016-06-06 19:40:251096ブラウズ

关于用户权限,有几种不同的处理方法,如位运算和ACL,他们都各有千秋。 使用位运算控制权限,由于在计算机中只允许位移次数在32或64次之间,所有权限最多只能有32-64位。 位运算控制权限资料链接:链接1,备用链接 http://xiaobin.net/200906/bitwise-permi

关于用户权限,有几种不同的处理方法,如位运算和ACL,他们都各有千秋。
使用位运算控制权限,由于在计算机中只允许位移次数在32或64次之间,所有权限最多只能有32-64位。
位运算控制权限资料链接:链接1,备用链接

http://xiaobin.net/200906/bitwise-permission/

http://www.cnblogs.com/toby/archive/2011/10/23/2221863.html

使用访问控制列表(ACL:access control list),但是这种方法只允许向对象分配权限,而无法使对象进行一些特殊的操作。
本文讲述的是“基于角色的访问控制”(RBAC:role based access control)。
用户通过赋予不同的角色来得到相关的权限,不同的角色又可以分配不同的权限。因此权限分配非常灵活。
但是缺点是,如果没有很好的对权限和角色进行组织,那么系统将会变得非常混乱。

RBAC的实现过程

数据库设计,RBAC的实现过程需要5张表:角色表、权限表、角色权限关联表、用户角色关联表、用户表。
其中用户表根据自己的项目进行设定,本文中不提供设计数据库的sql语句了,只使用到用户表中的位移id(user_id)。
几个表内容如下:

roles(角色)                      存储role id, role name
permissions(权限)       存储permission id, description
role_perm                      存储角色和权限的关联表role_id, perm_id
user_role                        存储用户和角色的关联表user_id, role_id

下面是建表SQL语句:

查看源代码 打印帮助

01 CREATE TABLE roles (

02   role_id INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,

03   role_name VARCHAR(50) NOT NULL,

04   PRIMARY KEY (role_id)

05 );

06   

07 CREATE TABLE permissions (

08   perm_id INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,

09   perm_name VARCHAR(50) NOT NULL,

10   PRIMARY KEY (perm_id)

11 );

12   

13 CREATE TABLE role_perm (

14   role_id INTEGER UNSIGNED NOT NULL,

15   perm_id INTEGER UNSIGNED NOT NULL,

16   FOREIGN KEY (role_id) REFERENCES roles(role_id),

17   FOREIGN KEY (perm_id) REFERENCES permissions(perm_id)

18 );

19   

20 CREATE TABLE user_role (

21   user_id INTEGER UNSIGNED NOT NULL,

22   role_id INTEGER UNSIGNED NOT NULL,

23   FOREIGN KEY (user_id) REFERENCES users(user_id),

24   FOREIGN KEY (role_id) REFERENCES roles(role_id)

25 );

默认情况下我们不需要对用户表中的用户进行角色分配,根据你自己的项目,写个sql来给用户进行添加角色,或者在privilegedUser类中对用户初始化一个空权限的角色。

Role Class – [Role.php]

Role是一个返回赋予了相关权限的角色类。并可以检测相关权限的可用状态。

查看源代码 打印帮助

01 class Role{

02     protected $permission;

03   

04     protected function __construct(){

05         $this->permission = array();

06     }

07   

08     // 返回一个综合权限的对象

09     public static function getRolePerms($role_id){

10         $role = new Role();

11         $sql = "SELECT t2.perm_name FROM role_perm as t1

12                 JOIN permisssions as t2 ON t1.perm_id = t2.perm_id

13                 WHERE t1.role_id = :role_id";

14         $sth = $GLOBALS['DB']->prepare($sql);

15         $sth->execute(array(":role_id" => $role_id));

16         while($row = $sth->fetch(PDO::FETCH_ASSOC)){

17             $role->permission[$row["perm_name"]] = TRUE;

18         }

19         return $role;

20     }

21   

22     // 检查是否具有权限

23     public function hasPerm($permission){

24         return isset($this->permission[$permission]);

25     }

26 }

Privilege User Class

这个可以集成你的User类,在新的方法中为user对象赋予新的属性。
方法initRoles()获取角色,并得到相关权限。

privilegedUser.php

查看源代码 打印帮助

01 class PrivilegedUser extends User{

02     private $roles;

03   

04     public function __construct(){

05         parent::__construct();

06     }

07   

08     public static function getByUsername($username){

09         $sql = "SELECT * FROM users WHERE username = :username";

10         $sth = $GLOBALS['DB']->prepare($sql);

11         $sth->execute(array(":username" => $username));

12         $result = $sth->fetchAll();

13   

14         if(!empty($result)){

15             $privUser = new PrivilegedUser();

16             $privUser->user_id = $result[0]["user_id"];

17             $privUser->username = $username;

18             $privUser->password = $result[0]["password"];

19             $privUser->email = $result[0]["email"];

20             $privUser->initRoles();

21             return $privUser;

22         }else{

23             return FALSE;

24         }

25     }

26   

27     // 获取角色,并得到相关权限

28     protected function initRoles(){

29         $this->roles = array();

30         $sql = "SELECT t1.role_id, t2.role_name FROM user_role AS t1

31                 JOIN roles AS t2 ON t1.role_id = t2.role_id

32                 WHERE t1.user_id = :user_id";

33         $sth = $GLOBALS["DB"]->prepare($sql);

34         $sth->execute(array(":user_id" => $this->user_id));

35   

36         while($row = $sth->fetch(PDO::FETCH_ASSOC)){

37             $this->roles[$row['role_name']] = Role::getRolePerms($row["role_id"]);

38         }

39     }

40   

41     // 判断特殊权限

42     public function hasPrivilege($perm){

43         foreach($this->row as $row){

44             if($role->hasperm($perm)){

45                 return TRUE;

46             }

47         }

48         return FALSE;

49     }

50 }

简单的使用代码:

查看源代码 打印帮助

01 include_once('User.php');

02 include_once('Role.php');

03 include_once('PrivilegedUser.php');

04   

05 $GLOBALS['DB'] = new PDO('mysql:host=localhost;dbname=dbname', 'root', '');

06   

07 session_start();

08 // 根据自己的程序设置下面的session

09 if(isset($_SESSION['loggedin'])){

10     // 获取相应的角色权限

11     $u = PrivilegedUser::getByUsername('lijing');

12 }

13   

14 // 如果存在权限进行什么操作

15 if($u->hasPrivilege('primission')){

16     // action code here

17 }

代码增强:
以下代码主要为了更好的管理角色权限。将这些方法根据需求放入自己的项目(Role.php)中。

查看源代码 打印帮助

01 // 添加角色名称

02 public static function insertRole($role_name){

03     $sql = "INSERT INTO roles(role_name) VALUES (:role_name)";

04     $sth = $GLOBALS['DB']->prepare($sql);

05     return $sth->execute(array(":role_name" => $role_name));

06 }

07 // 为用户添加角色

08 public static function insertUserRoles($user_id, $roles){

09     $sql = "INSERT INTO user_role(user_id, role_id) VALUES(:user_id, :role_id)";

10     $sth = $GLOBALS['DB']->prepare($sql);

11     $sth->bindParam(":user_id", $user_id, PDO::PARAM_STR);

12     $sth->bindParam(":role_id", $role_id, PDO::PARAM_STR);

13     foreach($roles as $role_id){

14         $sth->execute();

15     }

16     return true;

17 }

18 // 删除角色和相关权限

19 public static function deleteRoles($roles) {

20     $sql = "DELETE t1, t2, t3 FROM roles as t1

21             JOIN user_role as t2 on t1.role_id = t2.role_id

22             JOIN role_perm as t3 on t1.role_id = t3.role_id

23             WHERE t1.role_id = :role_id";

24     $sth = $GLOBALS["DB"]->prepare($sql);

25     $sth->bindParam(":role_id", $role_id, PDO::PARAM_INT);

26     foreach ($roles as $role_id) {

27         $sth->execute();

28     }

29     return true;

30 }

31 // 删除用户的角色

32 public static function deleteUserRoles($user_id) {

33     $sql = "DELETE FROM user_role WHERE user_id = :user_id";

34     $sth = $GLOBALS["DB"]->prepare($sql);

35     return $sth->execute(array(":user_id" => $user_id));

36 }

把下面的方法加入到privilegedUser类中

查看源代码 打印帮助

01 // 检查用户是否具有特殊角色

02 public function hasRole($role_name) {

03     return isset($this->roles[$role_name]);

04 }

05   

06 // 添加一个权限

07 public static function insertPerm($role_id, $perm_id) {

08     $sql = "INSERT INTO role_perm (role_id, perm_id) VALUES (:role_id, :perm_id)";

09     $sth = $GLOBALS["DB"]->prepare($sql);

10     return $sth->execute(array(":role_id" => $role_id, ":perm_id" => $perm_id));

11 }

12   

13 // 删除所有权限角色

14 public static function deletePerms() {

15     $sql = "TRUNCATE role_perm";

16     $sth = $GLOBALS["DB"]->prepare($sql);

17     return $sth->execute();

18 }

也可以添加自己的角色权限管理方法。

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。