题主可以看下Laravel-RBAC

回到题主问题：权限列表和角色列表是不是预定义的

回答肯定是否定的;

使用laravel的rbac-package为例：

创建一个角色

$adminRole = new Role; $adminRole->name = 'Administrator'; $adminRole->slug = 'administrator'; $adminRole->description = 'System Administrator'; $adminRole->save();

分配角色,你可以将一个或多个角色分配给任何一个用户

$user = User::find(1); $user->roles()->attach($adminRole->id);

设置权限

$createUser = new Permission; $createUser->name = 'Create user'; $createUser->slug = 'user.create'; $createUser->description = 'Permission to create user'; $createUser->save();

你可以在中间件中控制访问对象，你也可以在页面局部控制访问对象

表设计:
用户表 user(id, name)
角色表 role(id, name)
操作表 oper(id, name)
用户对应的角色表 relation_user_role(user_id, role_id)
角色对应的操作表 relation_role_oper(role_id, oper_id, value)

//获取编号为1024的用户具有的操作权限 $user['operation'] = query(' select oper.name, relation_role_oper.value from user, role, oper, relation_user_role, relation_role_oper where relation_user_role.user_id = user.id and relation_user_role.role_id = role.id and relation_role_oper.role_id = role.id and relation_role_oper.oper_id = oper.id and user.id = 1024 '); function foo() { global $user; //执行foo函数体前先判断当前用户是否具有foo这个操作权限 if(!isset($user['operation']['foo']) || $user['operation']['foo'] != '1') { echo 'Operation not permitted'; exit(); } }