Home >php教程 >php手册 >RBAC在PHP中的应用

RBAC在PHP中的应用

WBOY
WBOYOriginal
2016-06-06 19:40:251135browse

关于用户权限,有几种不同的处理方法,如位运算和ACL,他们都各有千秋。 使用位运算控制权限,由于在计算机中只允许位移次数在32或64次之间,所有权限最多只能有32-64位。 位运算控制权限资料链接:链接1,备用链接 http://xiaobin.net/200906/bitwise-permi

关于用户权限,有几种不同的处理方法,如位运算和ACL,他们都各有千秋。
使用位运算控制权限,由于在计算机中只允许位移次数在32或64次之间,所有权限最多只能有32-64位。
位运算控制权限资料链接:链接1,备用链接

http://xiaobin.net/200906/bitwise-permission/

http://www.cnblogs.com/toby/archive/2011/10/23/2221863.html

使用访问控制列表(ACL:access control list),但是这种方法只允许向对象分配权限,而无法使对象进行一些特殊的操作。
本文讲述的是“基于角色的访问控制”(RBAC:role based access control)。
用户通过赋予不同的角色来得到相关的权限,不同的角色又可以分配不同的权限。因此权限分配非常灵活。
但是缺点是,如果没有很好的对权限和角色进行组织,那么系统将会变得非常混乱。

RBAC的实现过程

数据库设计,RBAC的实现过程需要5张表:角色表、权限表、角色权限关联表、用户角色关联表、用户表。
其中用户表根据自己的项目进行设定,本文中不提供设计数据库的sql语句了,只使用到用户表中的位移id(user_id)。
几个表内容如下:

roles(角色)                      存储role id, role name
permissions(权限)       存储permission id, description
role_perm                      存储角色和权限的关联表role_id, perm_id
user_role                        存储用户和角色的关联表user_id, role_id

下面是建表SQL语句:

查看源代码 打印帮助

01 CREATE TABLE roles (

02   role_id INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,

03   role_name VARCHAR(50) NOT NULL,

04   PRIMARY KEY (role_id)

05 );

06   

07 CREATE TABLE permissions (

08   perm_id INTEGER UNSIGNED NOT NULL AUTO_INCREMENT,

09   perm_name VARCHAR(50) NOT NULL,

10   PRIMARY KEY (perm_id)

11 );

12   

13 CREATE TABLE role_perm (

14   role_id INTEGER UNSIGNED NOT NULL,

15   perm_id INTEGER UNSIGNED NOT NULL,

16   FOREIGN KEY (role_id) REFERENCES roles(role_id),

17   FOREIGN KEY (perm_id) REFERENCES permissions(perm_id)

18 );

19   

20 CREATE TABLE user_role (

21   user_id INTEGER UNSIGNED NOT NULL,

22   role_id INTEGER UNSIGNED NOT NULL,

23   FOREIGN KEY (user_id) REFERENCES users(user_id),

24   FOREIGN KEY (role_id) REFERENCES roles(role_id)

25 );

默认情况下我们不需要对用户表中的用户进行角色分配,根据你自己的项目,写个sql来给用户进行添加角色,或者在privilegedUser类中对用户初始化一个空权限的角色。

Role Class – [Role.php]

Role是一个返回赋予了相关权限的角色类。并可以检测相关权限的可用状态。

查看源代码 打印帮助

01 class Role{

02     protected $permission;

03   

04     protected function __construct(){

05         $this->permission = array();

06     }

07   

08     // 返回一个综合权限的对象

09     public static function getRolePerms($role_id){

10         $role = new Role();

11         $sql = "SELECT t2.perm_name FROM role_perm as t1

12                 JOIN permisssions as t2 ON t1.perm_id = t2.perm_id

13                 WHERE t1.role_id = :role_id";

14         $sth = $GLOBALS['DB']->prepare($sql);

15         $sth->execute(array(":role_id" => $role_id));

16         while($row = $sth->fetch(PDO::FETCH_ASSOC)){

17             $role->permission[$row["perm_name"]] = TRUE;

18         }

19         return $role;

20     }

21   

22     // 检查是否具有权限

23     public function hasPerm($permission){

24         return isset($this->permission[$permission]);

25     }

26 }

Privilege User Class

这个可以集成你的User类,在新的方法中为user对象赋予新的属性。
方法initRoles()获取角色,并得到相关权限。

privilegedUser.php

查看源代码 打印帮助

01 class PrivilegedUser extends User{

02     private $roles;

03   

04     public function __construct(){

05         parent::__construct();

06     }

07   

08     public static function getByUsername($username){

09         $sql = "SELECT * FROM users WHERE username = :username";

10         $sth = $GLOBALS['DB']->prepare($sql);

11         $sth->execute(array(":username" => $username));

12         $result = $sth->fetchAll();

13   

14         if(!empty($result)){

15             $privUser = new PrivilegedUser();

16             $privUser->user_id = $result[0]["user_id"];

17             $privUser->username = $username;

18             $privUser->password = $result[0]["password"];

19             $privUser->email = $result[0]["email"];

20             $privUser->initRoles();

21             return $privUser;

22         }else{

23             return FALSE;

24         }

25     }

26   

27     // 获取角色,并得到相关权限

28     protected function initRoles(){

29         $this->roles = array();

30         $sql = "SELECT t1.role_id, t2.role_name FROM user_role AS t1

31                 JOIN roles AS t2 ON t1.role_id = t2.role_id

32                 WHERE t1.user_id = :user_id";

33         $sth = $GLOBALS["DB"]->prepare($sql);

34         $sth->execute(array(":user_id" => $this->user_id));

35   

36         while($row = $sth->fetch(PDO::FETCH_ASSOC)){

37             $this->roles[$row['role_name']] = Role::getRolePerms($row["role_id"]);

38         }

39     }

40   

41     // 判断特殊权限

42     public function hasPrivilege($perm){

43         foreach($this->row as $row){

44             if($role->hasperm($perm)){

45                 return TRUE;

46             }

47         }

48         return FALSE;

49     }

50 }

简单的使用代码:

查看源代码 打印帮助

01 include_once('User.php');

02 include_once('Role.php');

03 include_once('PrivilegedUser.php');

04   

05 $GLOBALS['DB'] = new PDO('mysql:host=localhost;dbname=dbname', 'root', '');

06   

07 session_start();

08 // 根据自己的程序设置下面的session

09 if(isset($_SESSION['loggedin'])){

10     // 获取相应的角色权限

11     $u = PrivilegedUser::getByUsername('lijing');

12 }

13   

14 // 如果存在权限进行什么操作

15 if($u->hasPrivilege('primission')){

16     // action code here

17 }

代码增强:
以下代码主要为了更好的管理角色权限。将这些方法根据需求放入自己的项目(Role.php)中。

查看源代码 打印帮助

01 // 添加角色名称

02 public static function insertRole($role_name){

03     $sql = "INSERT INTO roles(role_name) VALUES (:role_name)";

04     $sth = $GLOBALS['DB']->prepare($sql);

05     return $sth->execute(array(":role_name" => $role_name));

06 }

07 // 为用户添加角色

08 public static function insertUserRoles($user_id, $roles){

09     $sql = "INSERT INTO user_role(user_id, role_id) VALUES(:user_id, :role_id)";

10     $sth = $GLOBALS['DB']->prepare($sql);

11     $sth->bindParam(":user_id", $user_id, PDO::PARAM_STR);

12     $sth->bindParam(":role_id", $role_id, PDO::PARAM_STR);

13     foreach($roles as $role_id){

14         $sth->execute();

15     }

16     return true;

17 }

18 // 删除角色和相关权限

19 public static function deleteRoles($roles) {

20     $sql = "DELETE t1, t2, t3 FROM roles as t1

21             JOIN user_role as t2 on t1.role_id = t2.role_id

22             JOIN role_perm as t3 on t1.role_id = t3.role_id

23             WHERE t1.role_id = :role_id";

24     $sth = $GLOBALS["DB"]->prepare($sql);

25     $sth->bindParam(":role_id", $role_id, PDO::PARAM_INT);

26     foreach ($roles as $role_id) {

27         $sth->execute();

28     }

29     return true;

30 }

31 // 删除用户的角色

32 public static function deleteUserRoles($user_id) {

33     $sql = "DELETE FROM user_role WHERE user_id = :user_id";

34     $sth = $GLOBALS["DB"]->prepare($sql);

35     return $sth->execute(array(":user_id" => $user_id));

36 }

把下面的方法加入到privilegedUser类中

查看源代码 打印帮助

01 // 检查用户是否具有特殊角色

02 public function hasRole($role_name) {

03     return isset($this->roles[$role_name]);

04 }

05   

06 // 添加一个权限

07 public static function insertPerm($role_id, $perm_id) {

08     $sql = "INSERT INTO role_perm (role_id, perm_id) VALUES (:role_id, :perm_id)";

09     $sth = $GLOBALS["DB"]->prepare($sql);

10     return $sth->execute(array(":role_id" => $role_id, ":perm_id" => $perm_id));

11 }

12   

13 // 删除所有权限角色

14 public static function deletePerms() {

15     $sql = "TRUNCATE role_perm";

16     $sth = $GLOBALS["DB"]->prepare($sql);

17     return $sth->execute();

18 }

也可以添加自己的角色权限管理方法。

Statement:
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn