实现简单的ACL

最新推荐文章于 2023-04-13 01:34:59 发布
最新推荐文章于 2023-04-13 01:34:59 发布
阅读量218 收藏
点赞数
分类专栏: FleaPHP/QEEPHP 资料 文章标签: php

终于写完了 呵呵 简单的一个实现

-- ACL Tables

-- 表的结构 `aclresources`
DROP TABLE IF EXISTS `aclresources`;
CREATE TABLE IF NOT EXISTS `aclresources` (
  `rsid` varchar(64) NOT NULL ,
  `access` int(4) NOT NULL default 0,  
  `desc` varchar(240) NOT NULL default '',
  `created_at` int(10) unsigned NOT NULL default 1,
  `updated_at` int(10) unsigned NOT NULL default 0,
  PRIMARY KEY  (`rsid`)
)DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

-- 表的结构 `aclroles`
DROP TABLE IF EXISTS `aclroles`;
CREATE TABLE IF NOT EXISTS `aclroles` (
  `id` int(10) unsigned NOT NULL auto_increment,
  `rolename` varchar(32) NOT NULL ,
  `durces_aclroles` (
  `rsid` varchar(64) NOT NULL ,
  `role_id` int(10) unsigned NOT NULL ,
  PRIMARY KEY  (`rsid`,`role_id`)
)DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

-- 表的结构 `ref_users_aclroles`
DROP TABLE IF EXISTS `ref_users_aclroles`;
CREATE TABLE IF NOT EXISTS `ref_users_aclroles` (
  `user_id` int(10) unsigned NOT NULL auto_increment,
  `role_id` int(10) unsigned NOT NULL ,
  PRIMARY KEY  (`user_id`,`role_id`)
)DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

-- 表的结构 `users`
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
  `id` int(10) unsigned NOT NULL auto_increment,
  `email` varchar(128) NOT NULL,
  `password` varchar(64) NOT NULL,
  `nickname` varchar(32) NOT NULL default '',
  `roles` varchar(240) NOT NULL default '',
  `created_at` int(10) unsigned NOT NULL default 1,
  `updated_at` int(10) unsigned NOT NULL default 0,
  PRIMARY KEY  (`id`),
  UNIQUE KEY `user_email` (`email`)
)DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

 

php 类

<?php
/**
 * 简单的 ACL 权限控制功能
 * 
 * 表定义
 * 
 * 1. 资源定义 	  (rsid,access,desc,created_at,updated_at)
 * 2. 角色定义 	  (id,rolename,desc,created_at,updated_at)
 * 3. 资源-角色关联 (rsid,role_id)
 * 4. 用户-角色关联 (user_id,role_id)
 * 
 * 依赖db.php sqlobject.php
 * 
 * @author vb2005xu.iteye.com 
 */
class AclBase {

	// --- ACL 访问授权
	
	/**
	 * 不允许任何人访问
	 */
	const NOBODY = 0;
	
	/**
	 * 允许任何人访问
	 */
	const EVERYONE = 1;
	
	/**
	 * 允许 拥有角色的用户访问
	 */
	const HAS_ROLE = 2;
	
	/**
	 * 允许 不带有角色的用户访问
	 */
	const NO_ROLE = 3;

	/**
	 * 在 资源-角色关联 定义的 角色才能访问
	 */
	const ALLOCATE_ROLES = 4;	
	
	// 定义相关的 表名
	public $tbResources = 'aclresources';
	public $tbRoles = 'aclroles';
	public $tbRefResourcesRoles = 'ref_aclresources_aclroles';
	public $tbRefUsersRoles = 'ref_users_aclroles';
	
	/**
	 * 格式化 资源的访问权限并返回
	 * 
	 * @return int
	 */
	static function formatAccessValue($access){
		static $arr = array(self::NOBODY,self::EVERYONE,self::HAS_ROLE,self::NO_ROLE,self::ALLOCATE_ROLES);
		return in_array($access,$arr) ? $access : self::NOBODY;
	}
	
	/**
	 * 创建资源,返回资源记录主键
	 * 
	 * @param string $rsid
	 * @param int $access
	 * @param string $desc
	 * 
	 * @return int
	 */
	function createResource($rsid,$access,$desc){
		if (empty($rsid)) return false;
		
		$resource = array(
			'rsid' => $rsid,
			'access' => self::formatAccessValue($access),
			'desc' => $desc,
			'created_at' => CURRENT_TIMESTAMP
		);
		
		return SingleTableCRUD::insert($this->tbResources,$resource);
	}
	
	/**
	 * 修改资源,返回成功状态
	 * 
	 * @param array $resource
	 * @return int
	 */
	function updateResource(array $resource){		
		if (!isset($resource['rsid'])) return false;
		
		$resource['updated_at'] = CURRENT_TIMESTAMP;
		
		return SingleTableCRUD::update($this->tbResources,$resource,'rsid');
	}
	
	/**
	 * 删除资源
	 * 
	 * @param string $rsid
	 * @return int
	 */
	function deleteResource($rsid){
		if (empty($rsid)) return false;
		return SingleTableCRUD::delete($this->tbResources,array('rsid'=>$rsid));
	}
	
	/**
	 * 创建角色,返回角色记录主键
	 * 
	 * @param string $rolename
	 * @param string $desc
	 * 
	 * @return int
	 */
	function createRole($rolename,$desc){
		if (empty($rolename)) return false;
		
		$role = array(
			'rolename' => $rolename,
			'desc' => $desc,
			'created_at' => CURRENT_TIMESTAMP
		);
		
		return SingleTableCRUD::insert($this->tbRoles,$role);
	}
	
	/**
	 * 修改角色,返回成功状态
	 * 
	 * @param array $role
	 * @return int
	 */
	function updateRole(array $role){		
		if (!isset($role['id'])) return false;
		
		if (isset($role['rolename'])) unset($role['rolename']);
		$role['updated_at'] = CURRENT_TIMESTAMP;
		
		return SingleTableCRUD::update($this->tbRoles,$role,'id');
	}
	
	/**
	 * 删除角色
	 * 
	 * @param int $role_id
	 * @return int
	 */
	function deleteRole($role_id){
		if (empty($role_id)) return false;
		return SingleTableCRUD::delete($this->tbRoles,array('role_id'=>(int) $role_id));
	}
	
	/**
	 * 为资源指定角色,每次均先全部移除表中相关记录再插入
	 * 
	 * @param int $rsid
	 * @param mixed $roleIds
	 * @param boolean $setNull 当角色id不存在时,是否将资源从关联表中清空
	 */
	function allocateRolesForResource($rsid,$roleIds,$setNull=false,$defaultAccess=-1){
		if (empty($rsid)) return false;
		
		$roleIds = normalize($roleIds,',');
		if (empty($roleIds)){
			if ($setNull){
				SingleTableCRUD::delete($this->tbRefResourcesRoles,array('rsid'=>$rsid));
				
				if ($defaultAccess != -1){
					$defaultAccess = self::formatAccessValue($defaultAccess);
					$this->updateResource(array('rsid'=>$rsid,'access'=>$defaultAccess));
				}
				return true; 
			}
			return false;
		}
		
		SingleTableCRUD::delete($this->tbRefResourcesRoles,array('rsid'=>$rsid));
		
		$roleIds = array_unique($roleIds);
		
		foreach ($roleIds as $role_id){
			SingleTableCRUD::insert($this->tbRefResourcesRoles,array('rsid'=>$rsid,'role_id'=>(int)$role_id));
		}
		return true;
	}
	
	function cleanRolesForResource($rsid){
		if (empty($rsid)) return false;
		return SingleTableCRUD::delete($this->tbRefResourcesRoles,array('rsid'=>$rsid));
	}
	
	function cleanResourcesForRole($role_id){
		if (empty($role_id)) return false;
		return SingleTableCRUD::delete($this->tbRefResourcesRoles,array('role_id'=>(int) $role_id));
	}
	
	/**
	 * 为角色分配资源,每次均先全部移除表中相关记录再插入
	 * 
	 * @param int $role_id
	 * @param mixed $rsids
	 * 
	 * @return boolean
	 */
	function allocateResourcesForRole($role_id,$rsids){
		if (empty($role_id)) return false;
		
		$role_id = (int) $role_id;
		$rsids = normalize($rsids,',');
		if (empty($rsids)){
			return false;		
		}
		
		SingleTableCRUD::delete($this->tbRefResourcesRoles,array('role_id'=>$role_id));
		
		$rsids = array_unique($rsids);
		
		foreach ($rsids as $rsid){
			SingleTableCRUD::insert($this->tbRefResourcesRoles,array('rsid'=>$rsid,'role_id'=>$role_id));
		}
		return true;
	}
	
	/**
	 * 为用户指派角色,每次均先全部移除表中相关记录再插入
	 * 
	 * 此处在用户很多的时候可能会有性能问题 ... 后面再想怎么优化
	 * 
	 * @param int $user_id
	 * @param mixed $roleIds
	 * 
	 * @return boolean
	 */
	function allocateRolesForUser($user_id,$roleIds){
		if (empty($user_id)) return false;
		
		$user_id = (int) $user_id;
		$roleIds = normalize($roleIds,',');
		if (empty($roleIds)){
			return false;		
		}
		
		SingleTableCRUD::delete($this->tbRefUsersRoles,array('user_id'=>$user_id));
		
		$roleIds = array_unique($roleIds);
		
		foreach ($roleIds as $roleId){
			SingleTableCRUD::insert($this->tbRefUsersRoles,array('user_id'=>$user_id,'role_id'=>$role_id));
		}
		return true;
	}
	
	/**
	 * 清除用户的角色信息
	 * 
	 * @param int $user_id
	 * 
	 * @return boolean
	 */
	function cleanRolesForUser($user_id){
		if (empty($user_id)) return false;
		return SingleTableCRUD::delete($this->tbRefUsersRoles,array('user_id'=>(int) $user_id));
	}
	
	/**
	 * 清除角色的用户关联
	 * 
	 * @param int $role_id
	 * 
	 * @return boolean
	 */
	function cleanUsersForRole($role_id){
		if (empty($role_id)) return false;
		return SingleTableCRUD::delete($this->tbRefUsersRoles,array('role_id'=>(int) $role_id));
	}
		
}

 

具体 检测的代码 如下:

/**
 * 对资源进行acl校验
 * 
 * @param string $rsid 资源标识
 * @param array $user  特定用户,不指定则校验当前用户
 * 
 * @return boolean
 */
function aclVerity($rsid ,array $user = null){
	
	if (empty($rsid)) return false;

	if (!CoreApp::$defaultAcl) {
		CoreApp::$defaultAcl = new AclFlat();
	}
	
	$rsRow = aclGetResource($rsid);
	
	// 未定义资源的缺省访问策略
	if (!$rsRow) return false;
	
	CoreApp::writeLog($rsRow,'test');
	
	$rsRow['access'] = AclBase::formatAccessValue($rsRow['access']);
	
	// 允许任何人访问
	if (AclBase::EVERYONE == $rsRow['access']) return true;
	
	// 不允许任何人访问
	if (AclBase::NOBODY == $rsRow['access']) return false;
	
	// 获取用户信息
	if (empty($user)) $user = isset($_SESSION['SI-SysUser']) ? $_SESSION['SI-SysUser'] : null;
	
	// 用户未登录,则当成无访问权限
	if (empty($user)) return false;
	
	$user['roles'] = empty($user['roles']) ? null : normalize($user['roles'],';');
	
	$userHasRoles = !empty($user['roles']);
	
	/**
	 * 允许 不带有角色的用户访问
	 */
	if (AclBase::NO_ROLE == $rsRow['access']) return $userHasRoles ? false : true;
	
	/**
	 * 允许 带有角色的用户访问
	 */
	if (AclBase::HAS_ROLE == $rsRow['access']) return $userHasRoles ? true : false;
	
	// --- 对用户进行 资源 <-> 角色 校验
	if ($userHasRoles){
		foreach ($user['roles'] as $role_id){
			if ( aclGetRefResourcesRoles($rsid,$role_id) )
				return true;
		}
		dump($user);
	}
	return false;
}
 

 

 

bj123nimab
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cisco实现ACL配置
yunfeng
06-17 1万+
1. 什么是ACL 大家先看下面这张图: 当给路由器R1和路由器R2均配好路由选择协议之后 PC1可以ping通PC3 PC2也可以ping通PC3 那如果我现在不想让PC2去ping通PC3咋办,那就是去实现ACL(可以在路由器R2上去实现,也可以在路由器R1上,我下边在R2上实现) 2. 给各个路由器配置端口IP和路由协议 配置路由器R1: int f0/0 ip add 192.168.1.1 255.255.255.0 no shut int e1/0 ip add 192
ACL简单运用
许多网络
01-18 4772
ACL简单运用 SW1 : VLAN 10 IP:10.10.1.1/30  SW2 :VLAN10 IP :10.10.1.2/30 SW1 : VLAN 20 IP:10.10.2.1/30  SW2 :VLAN20 IP :10.10.2.2/30 SW1配置: # interface Vlanif10  ip address 10.10.1.1 255.255.25
ACL的技术原理与实现,很实用
qq_23930765的博客
08-19 2759
ACL(Access Control List:访问控制列表),通过定义一系列关于数据报文的匹配规则,对数据报文的转发进行控制的技术。在数据通信过程中,通过定义ACL,可以对数据流量的转发进行分类和控制。如果把一个网络比作一条高速公路,流量相当于各种不同的车辆,那么ACL就是中间的收费站规则,这些规则会对车辆进行一些限制,比如不让自行车和摩托车上高速,对于要下高速的车辆也会进行各种检查等。ACL可以定义在端口的入方向或者出方向,就像高速公路会对进入和离开的车辆都进行检查一样。 ACL ACL相关的术语和特性
【源码】【ACL实现原理】
盖世英雄
11-19 409
概念理解 zookeeper权限设置只是针对固定的一个节点,子节点不会继承父节点的权限。 权限ACL组成为(scheme:id, perms)构成,具体上网查询分别代表什么意思; 客户端创建节点时候可以指定ArrayList集合,代码如下; ACL acl = new ACL(); acl.setPerms(Perms.READ);//perms Id id = new Id(); //id id.setId(DigestAuthenticationProvider.ge
配置ACL
weixin_64444995的博客
04-13 4737
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。 应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝。
ACL实现原理
qq_39783611的博客
09-29 2005
ACL作用 Acl其实就是一种报文过滤器,Acl分为iAcl(入方向过滤)和eAcl(出方向过滤),其中iAcl的动作可以是forward、trap to cpu、drop和mirror,而eAcl的动作是drop。 ACL芯片匹配规则 在交换芯片内部匹配通常只有TCAM表查找和HASH表查找,而ACL是通过TCAM表中的二进制关键字进行匹配,通过TCAM表中的掩码可以设置精准匹配和模糊匹配(1代...
php实现简单ACL 完结篇
10-28
总的来说,这个简单PHP ACL实现提供了一个基础框架,可以根据项目需求进行扩展,比如添加更复杂的权限模型、支持动态权限分配等。对于初学者来说,这是一个很好的起点,有助于理解权限控制的概念和实现方式。
acl.zip_ACL_权限控制
09-21
这些文件很可能是用来演示如何通过HTTP GET请求参数实现简单ACL权限控制。下面将详细解释ACL的概念以及如何在PHP实现这一功能。 **访问控制列表(ACL)基本概念** 1. **ACL的定义**:访问控制列表是一系列规则...
网络工程实验 配置标准ACL
12-15
标准ACL(Access Control List)是一种常用的网络访问控制机制,它可以根据预定义的规则对网络中的数据进行过滤,以实现简单的访问控制。在这个实验中,我们将学习如何配置标准IP ACL实现访问控制。 知识点1:...
ACL和前缀列表区别详解.doc
03-09
例如,在路由器中,可以使用 ACL实现简单的路由条目过滤,而在需要精确抓取路由条目的情况下,可以使用前缀列表。此外,在网络安全和防火墙等应用中,ACL 和前缀列表也可以结合使用,以实现更加复杂和精确的路由...
BCM实现ACL功能
11-19
实现ACL功能。 ACL,Access Control List,访问控制列表,是路由器和交换机接口的指令列表,用来控制端口进出的数据包。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。 ACL的本质其实是一种流分类技术,它是人为定义的一些规则,目的是通过网络设备对数据流进行分类,以便执行用户规定的动作。
Java实现字符串匹配(基于正则)
09-03
主要介绍了Java中使用正则表达式实现字符串匹配,字符串查找,匹配,替换,正则无不能做,特别是灵活的运用子串匹配,感兴趣的小伙伴们可以参考一下
ACL实现防火墙功能
王陈锋的博客
12-04 2935
目录实验目的:实验所需软硬件实验步骤:1、按以下拓扑接好线路。2、配置好设备的IP地址和静态路由,使得所有设备可以互通。(配置截图)PC2PC0Router0Router1​编辑Server3、测试各PC/服务器互联状态(截图验证)PC0PC24、设置标准ACL,使得PC2可以ping通,而PC0无法ping通服务器server0,配置截图如下:Router15、使用ping命令进行验证,截图如下:PC0PC26、设置扩展ACL,使得PC2和PC0无法ping通服务器server0,也无法登录服务器的ftp
java acl权限控制_【Zookeeper 学习笔记】-ACL权限控制 - Java 技术驿站-Java 技术驿站...
weixin_34921609的博客
02-13 348
ZK 类似文件系统,Client 可以在上面创建节点、更新节点、删除节点等如何做到权限的控制?查阅文档,zk的ack(Access Control List)能够保证权限,但是调研完后发现它不是很好用。ACL 权限控制,使用:schema:id:permission 来标识,主要涵盖 3 个方面:权限模式(Schema):鉴权的策略授权对象(ID)权限(Permission)其特性如下:ZooKe...
浅谈ACL实现机制
从宏观到微观,从抽象到具象!
03-15 7106
ACL可以匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口号等元素都可以作为ACL匹配对象,比如我路由器收到许许多多的数据报文,然后使用ACL把来自于PCA的数据包抓取出来,做进一步策略,其实就是匹配数据包源IP地址为PCA网卡IP的那些流量
java acl 框架_java – 使用ACL与策展人
weixin_31077513的博客
02-13 458
Apache Curator中的ACL用于访问控制.因此,ZooKeeper不提供任何身份验证机制,如没有正确密码的客户端无法连接到ZooKeeper或无法创建ZNodes.它可以做的是防止未经授权的客户端访问特定的Znode / ZNodes.为了做到这一点,你必须设置CuratorFramework实例,如下所述.请记住,这样可以保证具有给定ACL的ZNode创建可以由同一客户端或呈现相同身份...
acl限制 Java,动态Proxy与Java ACL用户访问控制机制实现
weixin_39807896的博客
03-29 211
用户访问控制(Access control )机制总是围绕粗粒度和细粒度两个方面来讨论:粗粒度控制:可以规定访问整个对象或对象群的某个层,而细粒度控制则总是在方法或属性层进行控制,比如:答应一个文件为只读是属于粗粒度控制,而答应对这个文件某行有写操作则属于细粒度控制。一个好的用户控制机制当然既答应粗粒度也答应细粒度控制,在Jive中我们看到是使用Proxy来达到这个目的,但是我们也发现,由于需要对...
ACL功能的实现
热门推荐
wangzhen_csdn的博客
11-05 1万+
ACL:看控制访问列表(Access Control List) 控制指定的用户能否通过指定的接口访问本机的服务(http、https、ftp、ssh、telnet),举个例子:没开启ACL功能前,任意用户都能在外网通过wan连接的ip或者内网通过lan口的ip访问设备的web页面,开启ACL功能,添加规则,填写范围A-B,接口选择为wan,勾选http和https,这样就只有外网IP地址在A-...
权限学习--BlueDavy之技术Blog漫谈权限系统之基于ACL实现
weixin_30940783的博客
09-02 115
基于ACL实现 ACL介绍 ACL全称Access Control List,在ACL中,包含用户(User)、资源(Resource)、资源操作(Operation)三个关键要素。通过将资源以及资源操作授权给用户而使用户获取对资源进行操作的权限,模型如下图所示: 图表 1 ACL模型 实现方案 通过上面对ACL模型的介绍,可以看出ACL是个简单的模...
acl可以用verilog实现
最新发布
05-20
ACL(Access Control List)可以使用 Verilog 实现,但是 ACL ...总之,ACL实现需要深入的知识和经验,如果你有充足的 Verilog 设计经验,可以尝试实现一个简单ACL,但是在实际的应用中,需要非常谨慎和严谨。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值