RBAC在PHP中的应用
关于用户权限,有几种不同的处理方法,如位运算和ACL,他们都各有千秋。 使用位运算控制权限,由于在计算机中只允许位移次数在32或64次之间,所有权限最多只能有32-64位。 位运算控制权限资料链接:链接1,备用链接 http://xiaobin.net/200906/bitwise-permi
关于用户权限,有几种不同的处理方法,如位运算和ACL,他们都各有千秋。
使用位运算控制权限,由于在计算机中只允许位移次数在32或64次之间,所有权限最多只能有32-64位。
位运算控制权限资料链接:链接1,备用链接
http://xiaobin.net/200906/bitwise-permission/
http://www.cnblogs.com/toby/archive/2011/10/23/2221863.html
使用访问控制列表(ACL:access control list),但是这种方法只允许向对象分配权限,而无法使对象进行一些特殊的操作。
本文讲述的是“基于角色的访问控制”(RBAC:role based access control)。
用户通过赋予不同的角色来得到相关的权限,不同的角色又可以分配不同的权限。因此权限分配非常灵活。
但是缺点是,如果没有很好的对权限和角色进行组织,那么系统将会变得非常混乱。
RBAC的实现过程
数据库设计,RBAC的实现过程需要5张表:角色表、权限表、角色权限关联表、用户角色关联表、用户表。
其中用户表根据自己的项目进行设定,本文中不提供设计数据库的sql语句了,只使用到用户表中的位移id(user_id)。
几个表内容如下:
roles(角色) 存储role id, role name
permissions(权限) 存储permission id, description
role_perm 存储角色和权限的关联表role_id, perm_id
user_role 存储用户和角色的关联表user_id, role_id
下面是建表SQL语句:
查看源代码 打印帮助
01 |
CREATE TABLE roles ( |
02 |
role_id INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,
|
03 |
role_name VARCHAR(50) NOT NULL,
|
04 |
PRIMARY KEY (role_id)
|
05 |
); |
06 |
|
07 |
CREATE TABLE permissions ( |
08 |
perm_id INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,
|
09 |
perm_name VARCHAR(50) NOT NULL,
|
10 |
PRIMARY KEY (perm_id)
|
11 |
); |
12 |
|
13 |
CREATE TABLE role_perm ( |
14 |
role_id INTEGER UNSIGNED NOT NULL,
|
15 |
perm_id INTEGER UNSIGNED NOT NULL,
|
16 |
FOREIGN KEY (role_id) REFERENCES roles(role_id),
|
17 |
FOREIGN KEY (perm_id) REFERENCES permissions(perm_id)
|
18 |
); |
19 |
|
20 |
CREATE TABLE user_role ( |
21 |
user_id INTEGER UNSIGNED NOT NULL,
|
22 |
role_id INTEGER UNSIGNED NOT NULL,
|
23 |
FOREIGN KEY (user_id) REFERENCES users(user_id),
|
24 |
FOREIGN KEY (role_id) REFERENCES roles(role_id)
|
25 |
); |
默认情况下我们不需要对用户表中的用户进行角色分配,根据你自己的项目,写个sql来给用户进行添加角色,或者在privilegedUser类中对用户初始化一个空权限的角色。
Role Class – [Role.php]
Role是一个返回赋予了相关权限的角色类。并可以检测相关权限的可用状态。
查看源代码 打印帮助
01 |
class
Role{
|
02 |
protected
$permission;
|
03 |
|
04 |
protected
function __construct(){
|
05 |
$this->permission =
array();
|
06 |
}
|
07 |
|
08 |
// 返回一个综合权限的对象
|
09 |
public
static function
getRolePerms($role_id){
|
10 |
$role
= new
Role();
|
11 |
$sql
= "SELECT t2.perm_name FROM role_perm as
t1
|
12 |
JOIN permisssions
as t2 ON t1.perm_id = t2.perm_id
|
13 |
WHERE t1.role_id = :role_id";
|
14 |
$sth
= $GLOBALS['DB']->prepare($sql);
|
15 |
$sth->execute(array(":role_id"
=> $role_id));
|
16 |
while($row
= $sth->fetch(PDO::FETCH_ASSOC)){
|
17 |
$role->permission[$row["perm_name"]]
= TRUE;
|
18 |
}
|
19 |
return
$role;
|
20 |
}
|
21 |
|
22 |
// 检查是否具有权限
|
23 |
public
function hasPerm($permission){
|
24 |
return
isset($this->permission[$permission]);
|
25 |
}
|
26 |
} |
Privilege User Class
这个可以集成你的User类,在新的方法中为user对象赋予新的属性。
方法initRoles()获取角色,并得到相关权限。
privilegedUser.php
查看源代码 打印帮助
01 |
class
PrivilegedUser extends
User{
|
02 |
private
$roles;
|
03 |
|
04 |
public
function __construct(){
|
05 |
parent::__construct();
|
06 |
}
|
07 |
|
08 |
public
static function
getByUsername($username){
|
09 |
$sql
= "SELECT * FROM users WHERE username = :username";
|
10 |
$sth
= $GLOBALS['DB']->prepare($sql);
|
11 |
$sth->execute(array(":username"
=> $username));
|
12 |
$result
= $sth->fetchAll();
|
13 |
|
14 |
if(!empty($result)){
|
15 |
$privUser
= new
PrivilegedUser();
|
16 |
$privUser->user_id =
$result[0]["user_id"];
|
17 |
$privUser->username =
$username;
|
18 |
$privUser->password =
$result[0]["password"];
|
19 |
$privUser->email =
$result[0]["email"];
|
20 |
$privUser->initRoles();
|
21 |
return
$privUser;
|
22 |
}else{
|
23 |
return
FALSE;
|
24 |
}
|
25 |
}
|
26 |
|
27 |
// 获取角色,并得到相关权限
|
28 |
protected
function initRoles(){
|
29 |
$this->roles =
array();
|
30 |
$sql
= "SELECT t1.role_id, t2.role_name FROM user_role AS t1
|
31 |
JOIN roles AS t2 ON t1.role_id = t2.role_id
|
32 |
WHERE t1.user_id = :user_id";
|
33 |
$sth
= $GLOBALS["DB"]->prepare($sql);
|
34 |
$sth->execute(array(":user_id"
=> $this->user_id));
|
35 |
|
36 |
while($row
= $sth->fetch(PDO::FETCH_ASSOC)){
|
37 |
$this->roles[$row['role_name']]
= Role::getRolePerms($row["role_id"]);
|
38 |
}
|
39 |
}
|
40 |
|
41 |
// 判断特殊权限
|
42 |
public
function hasPrivilege($perm){
|
43 |
foreach($this->row
as $row){
|
44 |
if($role->hasperm($perm)){
|
45 |
return
TRUE;
|
46 |
}
|
47 |
}
|
48 |
return
FALSE;
|
49 |
}
|
50 |
} |
简单的使用代码:
查看源代码 打印帮助
01 |
include_once('User.php');
|
02 |
include_once('Role.php');
|
03 |
include_once('PrivilegedUser.php');
|
04 |
|
05 |
$GLOBALS['DB'] =
new PDO('mysql:host=localhost;dbname=dbname',
'root', '');
|
06 |
|
07 |
session_start(); |
08 |
// 根据自己的程序设置下面的session |
09 |
if(isset($_SESSION['loggedin'])){
|
10 |
// 获取相应的角色权限
|
11 |
$u
= PrivilegedUser::getByUsername('lijing');
|
12 |
} |
13 |
|
14 |
// 如果存在权限进行什么操作 |
15 |
if($u->hasPrivilege('primission')){
|
16 |
// action code here
|
17 |
} |
代码增强:
以下代码主要为了更好的管理角色权限。将这些方法根据需求放入自己的项目(Role.php)中。
查看源代码 打印帮助
01 |
// 添加角色名称 |
02 |
public
static function insertRole($role_name){
|
03 |
$sql
= "INSERT INTO roles(role_name) VALUES (:role_name)";
|
04 |
$sth
= $GLOBALS['DB']->prepare($sql);
|
05 |
return
$sth->execute(array(":role_name"
=> $role_name));
|
06 |
} |
07 |
// 为用户添加角色 |
08 |
public
static function insertUserRoles($user_id,
$roles){
|
09 |
$sql
= "INSERT INTO user_role(user_id, role_id) VALUES(:user_id, :role_id)";
|
10 |
$sth
= $GLOBALS['DB']->prepare($sql);
|
11 |
$sth->bindParam(":user_id",
$user_id, PDO::PARAM_STR);
|
12 |
$sth->bindParam(":role_id",
$role_id, PDO::PARAM_STR);
|
13 |
foreach($roles
as $role_id){
|
14 |
$sth->execute();
|
15 |
}
|
16 |
return
true;
|
17 |
} |
18 |
// 删除角色和相关权限 |
19 |
public
static function deleteRoles($roles) {
|
20 |
$sql
= "DELETE
t1, t2, t3 FROM roles as
t1
|
21 |
JOIN user_role
as t2 on t1.role_id = t2.role_id
|
22 |
JOIN role_perm
as t3 on t1.role_id = t3.role_id
|
23 |
WHERE t1.role_id = :role_id";
|
24 |
$sth
= $GLOBALS["DB"]->prepare($sql);
|
25 |
$sth->bindParam(":role_id",
$role_id, PDO::PARAM_INT);
|
26 |
foreach
($roles
as $role_id) {
|
27 |
$sth->execute();
|
28 |
}
|
29 |
return
true;
|
30 |
} |
31 |
// 删除用户的角色 |
32 |
public
static function deleteUserRoles($user_id) {
|
33 |
$sql
= "DELETE FROM user_role WHERE user_id = :user_id";
|
34 |
$sth
= $GLOBALS["DB"]->prepare($sql);
|
35 |
return
$sth->execute(array(":user_id"
=> $user_id));
|
36 |
} |
把下面的方法加入到privilegedUser类中
查看源代码 打印帮助
01 |
// 检查用户是否具有特殊角色 |
02 |
public
function hasRole($role_name) {
|
03 |
return
isset($this->roles[$role_name]);
|
04 |
} |
05 |
|
06 |
// 添加一个权限 |
07 |
public
static function insertPerm($role_id,
$perm_id) {
|
08 |
$sql
= "INSERT INTO role_perm (role_id, perm_id) VALUES (:role_id, :perm_id)";
|
09 |
$sth
= $GLOBALS["DB"]->prepare($sql);
|
10 |
return
$sth->execute(array(":role_id"
=> $role_id,
":perm_id" =>
$perm_id));
|
11 |
} |
12 |
|
13 |
// 删除所有权限角色 |
14 |
public
static function deletePerms() {
|
15 |
$sql
= "TRUNCATE role_perm";
|
16 |
$sth
= $GLOBALS["DB"]->prepare($sql);
|
17 |
return
$sth->execute();
|
18 |
} |
也可以添加自己的角色权限管理方法。