PHP RBAC权限管理

最新推荐文章于 2022-09-23 15:04:49 发布
最新推荐文章于 2022-09-23 15:04:49 发布
阅读量345 收藏
点赞数
文章标签: php javascript 人工智能 ViewUI
原文链接:https://my.oschina.net/programs/blog/1648205
版权

 

一、基本概念

RBAC(Role-Based Access Control,基于角色的访问控制),用户通过角色与权限进行关联。

一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。

RBAC 支持三个著名的安全原则:最小权限原则,责任分离原则和数据抽象原则。

  • 用户:软件的使用者,凡是使用到该软件的都可以定义成用户,它应该有一些基本信息。
  • 用户组:就是为角色的大体类,除非一个系统角色很多,否则一般不会用到用户组。
  • 角色:软件使用者的身份,一定数量的权限的集合,权限的载体。
  • 权限:对某一个资源是否有浏览的权利,或者对某一个数据是否有操作的权利。

二、RBAC设计与实现

1.RBAC模型

根据上述概念与RBAC模型设计相关数据表:

DROP DATABASE IF EXISTS `php_rbac`;
CREATE DATABASE `php_rbac` DEFAULT CHARSET UTF8;
USE `php_rbac`;


DROP TABLE IF EXISTS `users`;
CREATE TABLE `users`(
    `user_id` int unsigned not null auto_increment comment '用户ID',
    `user_name` varchar(150) not null comment '登录用户名',
    `user_pwd` varchar(150) not null comment '登录密码',
primary key(`user_id`),
unique key(`user_name`)
)ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户表' AUTO_INCREMENT=1;


DROP TABLE IF EXISTS `roles`;
CREATE TABLE `roles`(
    `role_id` int unsigned not null auto_increment comment '角色ID',
    `role_name` varchar(100) not null comment '角色名',
    `role_desc` varchar(200) not null default '' comment '角色描述',
primary key(`role_id`),
unique key(`role_name`)
)ENGINE=InnoDB CHARSET=utf8 COMMENT='角色表' AUTO_INCREMENT=1;


DROP TABLE IF EXISTS `permissions`;
CREATE TABLE `permissions`(
    `per_id` int unsigned not null auto_increment comment '权限ID',
    `per_name` varchar(100) not null default '' comment '权限名',
    `per_desc` varchar(200) not null default '' comment '权限描述',
primary key(`per_id`),
unique key(`per_name`)
)ENGINE=InnoDB CHARSET=utf8 COMMENT='权限表' AUTO_INCREMENT=1;


DROP TABLE IF EXISTS `role_user`;
CREATE TABLE `role_user`(
    `user_id` int unsigned not null,
    `role_id` int unsigned not null,
foreign key(`user_id`) references `users`(`user_id`),
foreign key(`role_id`) references `roles`(`role_id`)
)ENGINE=InnoDB CHARSET=utf8 COMMENT='用户与角色关联表' AUTO_INCREMENT=1;



DROP TABLE IF EXISTS `permission_role`;
CREATE TABLE `permission_role`(
    `per_id` int unsigned not null,
    `role_id` int unsigned not null,
foreign key(`per_id`) references `permissions`(`per_id`),
foreign key(`role_id`) references `roles`(`role_id`)
)ENGINE=InnoDB CHARSET=utf8 COMMENT='角色与权限关联表' AUTO_INCREMENT=1;
2.管理员界面与相关实现

1).实现用户选择界面

admin.php:

<?php
    //admin.php
    require 'Medoo.php';

    $database = new Medoo([
        'database_type' => 'mysql',
        'database_name' => 'php_rbac',
        'server' => 'localhost',
        'username' => 'root',
        'password' => '123456',

        'charset' => 'utf8',
        'port' => 3306,

        'option' => [
            PDO::ATTR_CASE => PDO::CASE_NATURAL
        ]
    ]);
    $users = $database->query("SELECT user_id,user_name FROM users")->fetchAll(PDO::FETCH_ASSOC);
    $roles = $database->query("SELECT role_id,role_name FROM roles")->fetchAll(PDO::FETCH_ASSOC);
?>
<html>
    <head>
        <title></title>
        <script type="text/javascript" src="jquery-2.0.3.min.js"></script>
    </head>

    <body>
        <div>
            <span>选择用户: </span>
            <select name="" id="uid">
                <option value="0">选择用户</option>
                <?php foreach($users as $user):?>
                    <option value="<?php echo $user['user_id'];?>">
                        <?php
                            echo $user['user_name'];
                        ?>
                    </option>
                <?php endforeach;?>
            </select>
        </div>
        <div>
            <span>选择角色:</span>
            <div id="role">
                <?php foreach($roles as $role):?>
                     <input type="checkbox" name="roles" value="<?php echo $role['role_id']; ?>" /><?php echo $role['role_name'];?>
                <?php endforeach;?>
            </div>
        </div>
        <div>
            <input type="button" value="保存" id="save" />
        </div>
        <script type="text/javascript">
            $(document).ready(function(){
                //选择用户
                $('#uid').change(function(){
                    var uid = $(this).val();
                    $.ajax({
                        type: 'POST',
                        dataType: 'JSON',
                        data: {uid:uid},
                        url: 'admin_cl.php',
                        success: function (data) {
                            var ck = $('input[name=roles]');
                            ck.prop('checked',false);
                            for(var i = 0;i < ck.length;i++)
                            {
                                var cur = ck.eq(i).val();
                                if($.inArray(cur,data) >= 0)
                                {
                                    ck.eq(i).prop("checked",true);
                                }
                            }
                        },
                        error: function (XMLHttpRequest) {

                        }
                    });
                });

                //保存
                $("#save").click(function(){
                    var uid = $("#uid").val()
                    var ck = $('input[name=roles]');
                    var roles = new Array();
                    for(var i=0;i<ck.length;i++)
                    {
                        if(ck.eq(i).prop("checked"))
                        {
                            roles.push(ck.eq(i).val());
                        }
                    }
                    $.ajax({
                        url:"admin_cl2.php",
                        data:{uid:uid,roles:roles},
                        type:"POST",
                        dataType:"JSON",
                        success: function(data){
                            if(data.res.trim() == "ok")
                            {
                                alert("保存成功!");
                            }
                        }
                    });
                })
            });
        </script>
    </body>
</html>

admin_cl.php:

<?php
//admin_cl.php
header('Content-Type: application/json');
require 'Medoo.php';

$database = new Medoo([
    'database_type' => 'mysql',
    'database_name' => 'php_rbac',
    'server' => 'localhost',
    'username' => 'root',
    'password' => '123456',

    'charset' => 'utf8',
    'port' => 3306,

    'option' => [
        PDO::ATTR_CASE => PDO::CASE_NATURAL
    ]
]);

$uid = $_POST['uid'] ?? '';
$users = $database->query("SELECT role_id FROM role_user WHERE user_id = {$uid}")->fetchAll(PDO::FETCH_ASSOC);
$list = [];
foreach($users as $user){
    array_push($list,$user['role_id']);
}
exit(json_encode($list));

admin_cl2.php: 

<?php
//admin_cl2.php
header('Content-Type: application/json');
require 'Medoo.php';

$database = new Medoo([
    'database_type' => 'mysql',
    'database_name' => 'php_rbac',
    'server' => 'localhost',
    'username' => 'root',
    'password' => '123456',

    'charset' => 'utf8',
    'port' => 3306,

    'option' => [
        PDO::ATTR_CASE => PDO::CASE_NATURAL
    ]
]);

$uid = $_POST['uid'] ?? '';
$roles = $_POST['roles'] ?? '';

$list = [];
foreach ($roles as $key => $role)
{
    $list[$key]['user_id'] = $uid;
    $list[$key]['role_id'] = $role;
}

$database->delete('role_user',[
    'user_id' => $uid
]);

$last_user_id = $database->insert("role_user", $list);
exit(json_encode(['res' => 'ok']));

实现效果

3.登录界面与实现

login.php:  

<!--login.php-->
<html>
<head>
    <title></title>
    <script type="text/javascript" src="jquery-2.0.3.min.js"></script>
</head>

<body>
    <h1>用户登录</h1>
    <div>账号:<input type="text" id="user-name" /></div>
    <div>密码:<input type="password" id="password" /></div>
    <div><input type="button" value="登录" id="btn" /></div>
    <script type="text/javascript">
        $(document).ready(function () {
            $("#btn").click(function(){
                var user_name = $("#user-name").val();
                var password = $("#password").val();
                $.ajax({
                    url:"login_cl.php",
                    data:{user_name:user_name,password:password},
                    type:"POST",
                    dataType:"JSON",
                    success: function(data)
                    {
                        if(data.res.trim()=="ok")
                        {
                            window.location.href="main.php";
                        }
                        else
                        {
                            alert("用户名密码输入错误");
                        }
                    }
                })
            })
        });
    </script>
</body>
</html>

login_cl.php: 

<?php
//login_cl.php
header('Content-Type: application/json');
session_start();

require 'Medoo.php';
$database = new Medoo([
    'database_type' => 'mysql',
    'database_name' => 'php_rbac',
    'server' => 'localhost',
    'username' => 'root',
    'password' => '123456',

    'charset' => 'utf8',
    'port' => 3306,

    'option' => [
        PDO::ATTR_CASE => PDO::CASE_NATURAL
    ]
]);


$user_name = $_POST['user_name'] ?? '';
$password = $_POST['password'] ?? '';

$user = $database->get("users", ['user_id','user_name','user_pwd'],[
    "AND" => [
        "user_name" => $user_name,
        "user_pwd" => md5($password)
    ]
]);

if(!empty($user) && md5($password) == $user['user_pwd']){
    $_SESSION['user'] = ['user_id' => $user['user_id'],'user_name' => $user['user_name']];
    exit(json_encode(['res' => 'ok']));
}
exit(json_encode(['res' => '']));

实现效果:

4.登录后完善
<?php

session_start();
if(!isset($_SESSION['user']) || empty($_SESSION['user'])){
    header('Location:login.php');
}else{
    $user = $_SESSION['user'];
    echo '欢迎登录 ',$user['user_name'];
}


require 'Medoo.php';
$database = new Medoo([
    'database_type' => 'mysql',
    'database_name' => 'php_rbac',
    'server' => 'localhost',
    'username' => 'root',
    'password' => '123456',

    'charset' => 'utf8',
    'port' => 3306,

    'option' => [
        PDO::ATTR_CASE => PDO::CASE_NATURAL
    ]
]);

$roles = $database->query("select * from permissions where per_id in (select per_id from permission_role where role_id in (SELECT role_id from role_user where user_id = {$user['user_id']}))")->fetchAll(PDO::FETCH_ASSOC);
echo '<pre>';print_r($roles);die;

基本的RBAC就简易的实现了,实际项目中会略为复杂些。

三、RBAC扩展

1.用户组

角色是什么?可以理解为一定数量的权限的集合,权限的载体。

例如:一个论坛系统,“超级管理员”、“版主”都是角色。版主可管理版内的帖子、可管理版内的用户等,这些是权限。要给某个用户授予这些权限,不需要直接将权限授予用户,可将“版主”这个角色赋予该用户。

当用户的数量非常大时,要给系统每个用户逐一授权(授角色),是件非常烦琐的事情。这时,就需要给用户分组,每个用户组内有多个用户。除了可给用户授权外,还可以给用户组授权。这样一来,用户拥有的所有权限,就是用户个人拥有的权限与该用户所在用户组拥有的权限之和。

2.权限分类

在应用系统中,权限表现成什么?

对功能模块的操作,对上传文件的删改,菜单的访问,甚至页面上某个按钮、某个图片的可见性控制,都可属于权限的范畴。

有些权限设计,会把功能操作作为一类,而把文件、菜单、页面元素等作为另一类,这样构成“用户-角色-权限-资源”的授权模型。而在做数据表建模时,可把功能操作和资源统一管理,也就是都直接与权限表进行关联,这样可能更具便捷性和易扩展性。

3.最终模型扩展

权限表中有一列“权限类型”,我们根据它的取值来区分是哪一类权限,如“MENU”表示菜单的访问权限、“OPERATION”表示功能模块的操作权限、“FILE”表示文件的修改权限、“ELEMENT”表示页面元素的可见性控制等。

这样设计的好处有二。其一,不需要区分哪些是权限操作,哪些是资源,(实际上,有时候也不好区分,如菜单,把它理解为资源呢还是功能模块权限呢?)。其二,方便扩展,当系统要对新的东西进行权限控制时,我只需要建立一个新的关联表“权限XX关联表”,并确定这类权限的权限类型字符串。

注意:权限表与权限菜单关联表、权限菜单关联表与菜单表都是一对一的关系。(文件、页面权限点、功能操作等同理)。也就是每添加一个菜单,就得同时往这三个表中各插入一条记录。这样,可以不需要权限菜单关联表,让权限表与菜单表直接关联,此时,须在权限表中新增一列用来保存菜单的ID,权限表通过“权限类型”和这个ID来区分是种类型下的哪条记录。

随着系统的日益庞大,为了方便管理,可引入角色组对角色进行分类管理,跟用户组不同,角色组不参与授权。例如:某电网系统的权限管理模块中,角色就是挂在区局下,而区局在这里可当作角色组,它不参于权限分配。另外,为方便上面各主表自身的管理与查找,可采用树型结构,如菜单树、功能树等,当然这些可不需要参于权限分配。

具体使用还是要根据具体的业务来做出调整!

转载于:https://my.oschina.net/programs/blog/1648205

chuangqudiao9845
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phprbac:PHP基于角色的访问控制库-开源
04-25
RBAC(基于角色的访问控制)是授权和访问控制中的事实上的标准,因为它比传统的ACL更易于维护和使用。 不幸的是,由于内部结构复杂,没有很多可用的实现。 PHP RBAC与NIST 2级RBAC标准兼容,并且甚至提供了更多功能,并具有可用于任何授权库及其PHP的最佳性能。 注意:开发和支持已移至Github(https://github.com/OWASP/rbac)。 新版本将继续在SF上发布。
php之 角色的权限管理RBAC)详解
php-yyds
10-28 1613
RBAC模型在商业应用中得到了广泛的使用,可以有效地管理用户的权限,减少系统管理的负担,提高系统安全性,是一种很受欢迎的权限管理模型。php之 角色的权限管理RBAC)详解
phpRBAC权限管理
范范的博客
12-22 316
1.RBAC概念和原理 RBAC:全称叫做Role-Based Access Control,中文翻译叫做基于角色的访问控制。其主要的作用是实现项目的权限控制。 效果:让不同的管理员,能够访问的页面不一样。比如运营人员 只能看到运营相关模块。财务人员只能看到财务相关模块。 传统权限管理RBAC权限管理RBAC权限管理: 权限的管理相对规范,角色拥有的权限可以按照一定标准定义好。 新增管...
php rbac实现,php实现rbac权限管理
weixin_39586265的博客
03-10 777
php实现rbac权限管理介绍:RBAC(Role-Based Access Control)基于角色的权限管理方式。RBAC的最大特征就是将权限跟角色挂钩,用户又跟角色挂钩。优点: ①管理维护上比较容易; ②在项目开发初期,权限体系就已经有成型的标准;所以一般在大型网站的后台都会使用RBAC权限分配方式进行管理。这种权限到底是怎么实现的呢?看下图表的关系代码的具体实现:1:根据用户的role_i...
PHP-人员权限管理RBAC
withoutfear的博客
09-23 846
权限管理可以想做vip的功能,普通用户和vip用户的功能是不一样的,大致会用到五张表:用户表、角色表、功能表,还有他们之间。6.最后就是保存修改后的值了,可以直接用全部删除在重新写入的方法来进行值的选择;4.这样,再考虑怎么让数据库中用户本有的角色显示出来,那就是要用到下拉列表和复选框的值了。2.登录处理的页面 dlchuli.php。二.完成管理员页面后,下面就是登录页面。3.保存的处理页面 add.php。联的表:用户与角色表、角色与功能表。3.主页面 main.php。一.首先写的是管理员页面。
php人员权限管理(RBAC),php 人员权限管理(RBAC)
weixin_30939909的博客
03-21 373
一、想好这个权限是什么?就做一个就像是vip的功能,普通用户和vip用户的功能是不一样的,先来考虑一下数据库怎么设计肯定要有用户表、还有用户所用的角色、然后就是权限功能表;可是在这里面有关联也就 是会另外有两张相互关联的表,这样也就是5张表在数据库中建好这五张表:(1)用户表、角色表、功能表 (2)主表中的外键关系得两个表:用户与角色表、角色与功能表 二、建好表之后就是开始写代码了,...
rbac 权限详解 php,PHPRBAC权限详解
weixin_34702885的博客
03-11 285
本文主要和大家分享PHPRBAC权限详解,希望能帮助到大家,首先我们应该先知道权限管理要有哪些功能:(1)、用户只能访问,指定的控制器,指定的方法(2)、用户可以存在于多个用户组里(3)、用户组可以选择,指定的控制器,指定的方法(4)、可以添加控制器和方法RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干...
ThinkPHP5.1RBAC权限管理系统.zip
最新发布
05-08
ThinkPHP 5.1 RBAC权限管理系统,实现了结余角色的权限管理,本系统是基于权限节点进行权限认证,权限控制菜单显示隐藏。 软件架构 前端框架:layui 2.5.6 后端框架:ThinkPHP 5.1.39 LTS
Flask框架实现的RBAC权限管理系统源码
03-25
项目概述:本项目管理系统基于流行的Python Flask框架,实现了一套完整的RBAC(基于角色的访问控制)...简而言之,这是一个集成了多技术栈的Flask项目,专注于为用户提供一个功能全面、易于管理的RBAC权限管理系统。
风聆RBAC权限管理系统-PHP
06-21
风聆RBAC权限管理系统是一个基于ThinkPHP 5.1的RBAC权限管理系统,实现了基本的权限管理,本系统是基于权限节点进行认证,可控制菜单显示隐藏,基于角色控制权限节点。 风聆RBAC权限管理系统软件架构 1、前端框架:...
php-casbin:一个授权库,支持PHP中的访问控制模型,如ACL,RBAC,ABAC
02-05
PHP的Casbin | | 最新消息: 现在可用,它是Laravel框架的授权库。 PHP-Casbin是一个功能强大且高效的开源项目,用于PHP项目。 它为基于各种授权实施提供支持。 Casbin支持的所有语言: 准备生产 准备生产 准备生产 准备生产 准备生产 准备生产 实验性的 准备生产 安装 在项目的composer.json中需要此软件包。 这将下载软件包: composer require casbin/casbin 开始吧 新建一个带有模型文件和策略文件的Casbin强制程序: require_once './vendor/autoload.php' ; use
php 人员权限管理(RBAC)实例(推荐)
12-20
php-人员权限管理RBAC权限管理可以想做vip的功能,普通用户和vip用户的功能是不一样的,大致会用到五张表:用户表、角色表、功能表,还有他们之间互相关联的表:用户与角色表、角色与功能表 我用到的五张表如下: 一. 首先写的是管理员页面 1.用下拉列表显示用户名 <div> <select id="user"> <?php require"../DBDA.class.php"; $db = new DBDA(); $sql = "select * from users"; $arr = $db->query($sql,1); foreach(
ThinkPHP5_RBAC
12-07
ThinkPHP5_RBAC案例,有学习thinkphp5的可以了解一下!
thinkphp Rbac源码
09-04
基于thinkphpRBAC类 源码 ========================================================================================================================================
PHP权限管理系统源码
04-06
实现了基本的权限管理,本系统是基于权限节点进行认证,可控制菜单显示隐藏,基于角色控制权限节点。 1、前端框架:layui2.5.6 2、后端框架:ThinkPHP5.1.39LTS 3、后端界面基于layuimini 权限管理系统安装教程: 1...
php-人员权限管理RBAC
code_nutter的博客
12-26 533
大致会用到五张表:用户表、角色表、功能表,还有他们之间互相关联的表:用户与角色表、角色与功能表 在登录是检测人员权限 //根据用户id查询角色id //根据角色id查询权限id //根据权限查处权限 $role_id = $res->role_id; if($role_id!=1){ $role = Role::find($role_id)->toArray(); //根据权限ids查询权限表, $au.
php 权限功能设计,详解php人员权限管理(RBAC)的实现方法
weixin_42298378的博客
03-09 1769
在说权限管理前,应该先知道权限管理要有哪些功能:(1)、用户只能访问,指定的控制器,指定的方法(2)、用户可以存在于多个用户组里(3)、用户组可以选择,指定的控制器,指定的方法(4)、可以添加控制器和方法RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角...
php rbac 权限管理,PHP语言-人员权限管理RBAC
weixin_29838911的博客
03-09 372
本文主要向大家介绍了PHP语言-人员权限管理(RBAC),通过具体的内容向大家展示,希望对大家学习php语言有所帮助。权限管理可以想做vip的功能,普通用户和vip用户的功能是不一样的,大致会用到五张表:用户表、角色表、功能表,还有他们之间互相关联的表:用户与角色表、角色与功能表一.首先写的是管理员页面1.用下拉列表显示用户名id="user">require"../DBDA.class.p...
thinkphp6 RBAC权限管理
04-09
可以帮我讲解一下吗? 当然可以,RBAC权限管理是指基于角色的访问控制,即将用户分配到不同的角色中,每个...而thinkphp6是一个非常流行的PHP框架,它提供了简单易用的RBAC权限管理功能,可以轻松实现权限管理系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值