关于用户权限,有几种不同的处理方法,如位运算和ACL,他们都各有千秋。 使用位运算控制权限,由于在计算机中只允许位移次数在32或64次之间,所有权限最多只能有32-64位。 位运算控制权限资料链接:链接1,备用链接 http://xiaobin.net/200906/bitwise-permi
关于用户权限,有几种不同的处理方法,如位运算和ACL,他们都各有千秋。
使用位运算控制权限,由于在计算机中只允许位移次数在32或64次之间,所有权限最多只能有32-64位。
位运算控制权限资料链接:链接1,备用链接
http://xiaobin.net/200906/bitwise-permission/
http://www.cnblogs.com/toby/archive/2011/10/23/2221863.html
使用访问控制列表(ACL:access control list),但是这种方法只允许向对象分配权限,而无法使对象进行一些特殊的操作。
本文讲述的是“基于角色的访问控制”(RBAC:role based access control)。
用户通过赋予不同的角色来得到相关的权限,不同的角色又可以分配不同的权限。因此权限分配非常灵活。
但是缺点是,如果没有很好的对权限和角色进行组织,那么系统将会变得非常混乱。
RBAC的实现过程
数据库设计,RBAC的实现过程需要5张表:角色表、权限表、角色权限关联表、用户角色关联表、用户表。
其中用户表根据自己的项目进行设定,本文中不提供设计数据库的sql语句了,只使用到用户表中的位移id(user_id)。
几个表内容如下:
roles(角色) 存储role id, role name
permissions(权限) 存储permission id, description
role_perm 存储角色和权限的关联表role_id, perm_id
user_role 存储用户和角色的关联表user_id, role_id
下面是建表SQL语句:
查看源代码 打印帮助
01 |
CREATE TABLE roles ( |
02 |
role_id INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,
|
03 |
role_name VARCHAR(50) NOT NULL,
|
04 |
PRIMARY KEY (role_id)
|
05 |
); |
06 |
|
07 |
CREATE TABLE permissions ( |
08 |
perm_id INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,
|
09 |
perm_name VARCHAR(50) NOT NULL,
|
10 |
PRIMARY KEY (perm_id)
|
11 |
); |
12 |
|
13 |
CREATE TABLE role_perm ( |
14 |
role_id INTEGER UNSIGNED NOT NULL,
|
15 |
perm_id INTEGER UNSIGNED NOT NULL,
|
16 |
FOREIGN KEY (role_id) REFERENCES roles(role_id),
|
17 |
FOREIGN KEY (perm_id) REFERENCES permissions(perm_id)
|
18 |
); |
19 |
|
20 |
CREATE TABLE user_role ( |
21 |
user_id INTEGER UNSIGNED NOT NULL,
|
22 |
role_id INTEGER UNSIGNED NOT NULL,
|
23 |
FOREIGN KEY (user_id) REFERENCES users(user_id),
|
24 |
FOREIGN KEY (role_id) REFERENCES roles(role_id)
|
25 |
); |
默认情况下我们不需要对用户表中的用户进行角色分配,根据你自己的项目,写个sql来给用户进行添加角色,或者在privilegedUser类中对用户初始化一个空权限的角色。
Role Class – [Role.php]
Role是一个返回赋予了相关权限的角色类。并可以检测相关权限的可用状态。
查看源代码 打印帮助
01 |
class
Role{
|
02 |
protected
$permission;
|
03 |
|
04 |
protected
function __construct(){
|
05 |
$this->permission =
array();
|
06 |
}
|
07 |
|
08 |
// 返回一个综合权限的对象
|
09 |
public
static function
getRolePerms($role_id){
|
10 |
$role
= new
Role();
|
11 |
$sql
= "SELECT t2.perm_name FROM role_perm as
t1
|
12 |
JOIN permisssions
as t2 ON t1.perm_id = t2.perm_id
|
13 |
WHERE t1.role_id = :role_id";
|
14 |
$sth
= $GLOBALS['DB']->prepare($sql);
|
15 |
$sth->execute(array(":role_id"
=> $role_id));
|
16 |
while($row
= $sth->fetch(PDO::FETCH_ASSOC)){
|
17 |
$role->permission[$row["perm_name"]]
= TRUE;
|
18 |
}
|
19 |
return
$role;
|
20 |
}
|
21 |
|
22 |
// 检查是否具有权限
|
23 |
public
function hasPerm($permission){
|
24 |
return
isset($this->permission[$permission]);
|
25 |
}
|
26 |
} |
Privilege User Class
这个可以集成你的User类,在新的方法中为user对象赋予新的属性。
方法initRoles()获取角色,并得到相关权限。
privilegedUser.php
查看源代码 打印帮助
01 |
class
PrivilegedUser extends
User{
|
02 |
private
$roles;
|
03 |
|
04 |
public
function __construct(){
|
05 |
parent::__construct();
|
06 |
}
|
07 |
|
08 |
public
static function
getByUsername($username){
|
09 |
$sql
= "SELECT * FROM users WHERE username = :username";
|
10 |
$sth
= $GLOBALS['DB']->prepare($sql);
|
11 |
$sth->execute(array(":username"
=> $username));
|
12 |
$result
= $sth->fetchAll();
|
13 |
|
14 |
if(!empty($result)){
|
15 |
$privUser
= new
PrivilegedUser();
|
16 |
$privUser->user_id =
$result[0]["user_id"];
|
17 |
$privUser->username =
$username;
|
18 |
$privUser->password =
$result[0]["password"];
|
19 |
$privUser->email =
$result[0]["email"];
|
20 |
$privUser->initRoles();
|
21 |
return
$privUser;
|
22 |
}else{
|
23 |
return
FALSE;
|
24 |
}
|
25 |
}
|
26 |
|
27 |
// 获取角色,并得到相关权限
|
28 |
protected
function initRoles(){
|
29 |
$this->roles =
array();
|
30 |
$sql
= "SELECT t1.role_id, t2.role_name FROM user_role AS t1
|
31 |
JOIN roles AS t2 ON t1.role_id = t2.role_id
|
32 |
WHERE t1.user_id = :user_id";
|
33 |
$sth
= $GLOBALS["DB"]->prepare($sql);
|
34 |
$sth->execute(array(":user_id"
=> $this->user_id));
|
35 |
|
36 |
while($row
= $sth->fetch(PDO::FETCH_ASSOC)){
|
37 |
$this->roles[$row['role_name']]
= Role::getRolePerms($row["role_id"]);
|
38 |
}
|
39 |
}
|
40 |
|
41 |
// 判断特殊权限
|
42 |
public
function hasPrivilege($perm){
|
43 |
foreach($this->row
as $row){
|
44 |
if($role->hasperm($perm)){
|
45 |
return
TRUE;
|
46 |
}
|
47 |
}
|
48 |
return
FALSE;
|
49 |
}
|
50 |
} |
简单的使用代码:
查看源代码 打印帮助
01 |
include_once('User.php');
|
02 |
include_once('Role.php');
|
03 |
include_once('PrivilegedUser.php');
|
04 |
|
05 |
$GLOBALS['DB'] =
new PDO('mysql:host=localhost;dbname=dbname',
'root', '');
|
06 |
|
07 |
session_start(); |
08 |
// 根据自己的程序设置下面的session |
09 |
if(isset($_SESSION['loggedin'])){
|
10 |
// 获取相应的角色权限
|
11 |
$u
= PrivilegedUser::getByUsername('lijing');
|
12 |
} |
13 |
|
14 |
// 如果存在权限进行什么操作 |
15 |
if($u->hasPrivilege('primission')){
|
16 |
// action code here
|
17 |
} |
代码增强:
以下代码主要为了更好的管理角色权限。将这些方法根据需求放入自己的项目(Role.php)中。
查看源代码 打印帮助
01 |
// 添加角色名称 |
02 |
public
static function insertRole($role_name){
|
03 |
$sql
= "INSERT INTO roles(role_name) VALUES (:role_name)";
|
04 |
$sth
= $GLOBALS['DB']->prepare($sql);
|
05 |
return
$sth->execute(array(":role_name"
=> $role_name));
|
06 |
} |
07 |
// 为用户添加角色 |
08 |
public
static function insertUserRoles($user_id,
$roles){
|
09 |
$sql
= "INSERT INTO user_role(user_id, role_id) VALUES(:user_id, :role_id)";
|
10 |
$sth
= $GLOBALS['DB']->prepare($sql);
|
11 |
$sth->bindParam(":user_id",
$user_id, PDO::PARAM_STR);
|
12 |
$sth->bindParam(":role_id",
$role_id, PDO::PARAM_STR);
|
13 |
foreach($roles
as $role_id){
|
14 |
$sth->execute();
|
15 |
}
|
16 |
return
true;
|
17 |
} |
18 |
// 删除角色和相关权限 |
19 |
public
static function deleteRoles($roles) {
|
20 |
$sql
= "DELETE
t1, t2, t3 FROM roles as
t1
|
21 |
JOIN user_role
as t2 on t1.role_id = t2.role_id
|
22 |
JOIN role_perm
as t3 on t1.role_id = t3.role_id
|
23 |
WHERE t1.role_id = :role_id";
|
24 |
$sth
= $GLOBALS["DB"]->prepare($sql);
|
25 |
$sth->bindParam(":role_id",
$role_id, PDO::PARAM_INT);
|
26 |
foreach
($roles
as $role_id) {
|
27 |
$sth->execute();
|
28 |
}
|
29 |
return
true;
|
30 |
} |
31 |
// 删除用户的角色 |
32 |
public
static function deleteUserRoles($user_id) {
|
33 |
$sql
= "DELETE FROM user_role WHERE user_id = :user_id";
|
34 |
$sth
= $GLOBALS["DB"]->prepare($sql);
|
35 |
return
$sth->execute(array(":user_id"
=> $user_id));
|
36 |
} |
把下面的方法加入到privilegedUser类中
查看源代码 打印帮助
01 |
// 检查用户是否具有特殊角色 |
02 |
public
function hasRole($role_name) {
|
03 |
return
isset($this->roles[$role_name]);
|
04 |
} |
05 |
|
06 |
// 添加一个权限 |
07 |
public
static function insertPerm($role_id,
$perm_id) {
|
08 |
$sql
= "INSERT INTO role_perm (role_id, perm_id) VALUES (:role_id, :perm_id)";
|
09 |
$sth
= $GLOBALS["DB"]->prepare($sql);
|
10 |
return
$sth->execute(array(":role_id"
=> $role_id,
":perm_id" =>
$perm_id));
|
11 |
} |
12 |
|
13 |
// 删除所有权限角色 |
14 |
public
static function deletePerms() {
|
15 |
$sql
= "TRUNCATE role_perm";
|
16 |
$sth
= $GLOBALS["DB"]->prepare($sql);
|
17 |
return
$sth->execute();
|
18 |
} |
也可以添加自己的角色权限管理方法。
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
SAP NetWeaver Server Adapter for Eclipse
將Eclipse與SAP NetWeaver應用伺服器整合。
SublimeText3 英文版
推薦:為Win版本,支援程式碼提示!
SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
Safe Exam Browser
Safe Exam Browser是一個安全的瀏覽器環境,安全地進行線上考試。該軟體將任何電腦變成一個安全的工作站。它控制對任何實用工具的訪問,並防止學生使用未經授權的資源。
