一、基本概念
RBAC(Role-Based Access Control,基于角色的访问控制),用户通过角色与权限进行关联。
一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。
RBAC 支持三个著名的安全原则:最小权限原则,责任分离原则和数据抽象原则。
- 用户:软件的使用者,凡是使用到该软件的都可以定义成用户,它应该有一些基本信息。
- 用户组:就是为角色的大体类,除非一个系统角色很多,否则一般不会用到用户组。
- 角色:软件使用者的身份,一定数量的权限的集合,权限的载体。
- 权限:对某一个资源是否有浏览的权利,或者对某一个数据是否有操作的权利。
二、RBAC设计与实现
1.RBAC模型
根据上述概念与RBAC模型设计相关数据表:
DROP DATABASE IF EXISTS `php_rbac`;
CREATE DATABASE `php_rbac` DEFAULT CHARSET UTF8;
USE `php_rbac`;
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users`(
`user_id` int unsigned not null auto_increment comment '用户ID',
`user_name` varchar(150) not null comment '登录用户名',
`user_pwd` varchar(150) not null comment '登录密码',
primary key(`user_id`),
unique key(`user_name`)
)ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户表' AUTO_INCREMENT=1;
DROP TABLE IF EXISTS `roles`;
CREATE TABLE `roles`(
`role_id` int unsigned not null auto_increment comment '角色ID',
`role_name` varchar(100) not null comment '角色名',
`role_desc` varchar(200) not null default '' comment '角色描述',
primary key(`role_id`),
unique key(`role_name`)
)ENGINE=InnoDB CHARSET=utf8 COMMENT='角色表' AUTO_INCREMENT=1;
DROP TABLE IF EXISTS `permissions`;
CREATE TABLE `permissions`(
`per_id` int unsigned not null auto_increment comment '权限ID',
`per_name` varchar(100) not null default '' comment '权限名',
`per_desc` varchar(200) not null default '' comment '权限描述',
primary key(`per_id`),
unique key(`per_name`)
)ENGINE=InnoDB CHARSET=utf8 COMMENT='权限表' AUTO_INCREMENT=1;
DROP TABLE IF EXISTS `role_user`;
CREATE TABLE `role_user`(
`user_id` int unsigned not null,
`role_id` int unsigned not null,
foreign key(`user_id`) references `users`(`user_id`),
foreign key(`role_id`) references `roles`(`role_id`)
)ENGINE=InnoDB CHARSET=utf8 COMMENT='用户与角色关联表' AUTO_INCREMENT=1;
DROP TABLE IF EXISTS `permission_role`;
CREATE TABLE `permission_role`(
`per_id` int unsigned not null,
`role_id` int unsigned not null,
foreign key(`per_id`) references `permissions`(`per_id`),
foreign key(`role_id`) references `roles`(`role_id`)
)ENGINE=InnoDB CHARSET=utf8 COMMENT='角色与权限关联表' AUTO_INCREMENT=1;
2.管理员界面与相关实现
1).实现用户选择界面
admin.php:
<?php
//admin.php
require 'Medoo.php';
$database = new Medoo([
'database_type' => 'mysql',
'database_name' => 'php_rbac',
'server' => 'localhost',
'username' => 'root',
'password' => '123456',
'charset' => 'utf8',
'port' => 3306,
'option' => [
PDO::ATTR_CASE => PDO::CASE_NATURAL
]
]);
$users = $database->query("SELECT user_id,user_name FROM users")->fetchAll(PDO::FETCH_ASSOC);
$roles = $database->query("SELECT role_id,role_name FROM roles")->fetchAll(PDO::FETCH_ASSOC);
?>
<html>
<head>
<title></title>
<script type="text/javascript" src="jquery-2.0.3.min.js"></script>
</head>
<body>
<div>
<span>选择用户: </span>
<select name="" id="uid">
<option value="0">选择用户</option>
<?php foreach($users as $user):?>
<option value="<?php echo $user['user_id'];?>">
<?php
echo $user['user_name'];
?>
</option>
<?php endforeach;?>
</select>
</div>
<div>
<span>选择角色:</span>
<div id="role">
<?php foreach($roles as $role):?>
<input type="checkbox" name="roles" value="<?php echo $role['role_id']; ?>" /><?php echo $role['role_name'];?>
<?php endforeach;?>
</div>
</div>
<div>
<input type="button" value="保存" id="save" />
</div>
<script type="text/javascript">
$(document).ready(function(){
//选择用户
$('#uid').change(function(){
var uid = $(this).val();
$.ajax({
type: 'POST',
dataType: 'JSON',
data: {uid:uid},
url: 'admin_cl.php',
success: function (data) {
var ck = $('input[name=roles]');
ck.prop('checked',false);
for(var i = 0;i < ck.length;i++)
{
var cur = ck.eq(i).val();
if($.inArray(cur,data) >= 0)
{
ck.eq(i).prop("checked",true);
}
}
},
error: function (XMLHttpRequest) {
}
});
});
//保存
$("#save").click(function(){
var uid = $("#uid").val()
var ck = $('input[name=roles]');
var roles = new Array();
for(var i=0;i<ck.length;i++)
{
if(ck.eq(i).prop("checked"))
{
roles.push(ck.eq(i).val());
}
}
$.ajax({
url:"admin_cl2.php",
data:{uid:uid,roles:roles},
type:"POST",
dataType:"JSON",
success: function(data){
if(data.res.trim() == "ok")
{
alert("保存成功!");
}
}
});
})
});
</script>
</body>
</html>
admin_cl.php:
<?php
//admin_cl.php
header('Content-Type: application/json');
require 'Medoo.php';
$database = new Medoo([
'database_type' => 'mysql',
'database_name' => 'php_rbac',
'server' => 'localhost',
'username' => 'root',
'password' => '123456',
'charset' => 'utf8',
'port' => 3306,
'option' => [
PDO::ATTR_CASE => PDO::CASE_NATURAL
]
]);
$uid = $_POST['uid'] ?? '';
$users = $database->query("SELECT role_id FROM role_user WHERE user_id = {$uid}")->fetchAll(PDO::FETCH_ASSOC);
$list = [];
foreach($users as $user){
array_push($list,$user['role_id']);
}
exit(json_encode($list));
admin_cl2.php:
<?php
//admin_cl2.php
header('Content-Type: application/json');
require 'Medoo.php';
$database = new Medoo([
'database_type' => 'mysql',
'database_name' => 'php_rbac',
'server' => 'localhost',
'username' => 'root',
'password' => '123456',
'charset' => 'utf8',
'port' => 3306,
'option' => [
PDO::ATTR_CASE => PDO::CASE_NATURAL
]
]);
$uid = $_POST['uid'] ?? '';
$roles = $_POST['roles'] ?? '';
$list = [];
foreach ($roles as $key => $role)
{
$list[$key]['user_id'] = $uid;
$list[$key]['role_id'] = $role;
}
$database->delete('role_user',[
'user_id' => $uid
]);
$last_user_id = $database->insert("role_user", $list);
exit(json_encode(['res' => 'ok']));
实现效果
3.登录界面与实现
login.php:
<!--login.php-->
<html>
<head>
<title></title>
<script type="text/javascript" src="jquery-2.0.3.min.js"></script>
</head>
<body>
<h1>用户登录</h1>
<div>账号:<input type="text" id="user-name" /></div>
<div>密码:<input type="password" id="password" /></div>
<div><input type="button" value="登录" id="btn" /></div>
<script type="text/javascript">
$(document).ready(function () {
$("#btn").click(function(){
var user_name = $("#user-name").val();
var password = $("#password").val();
$.ajax({
url:"login_cl.php",
data:{user_name:user_name,password:password},
type:"POST",
dataType:"JSON",
success: function(data)
{
if(data.res.trim()=="ok")
{
window.location.href="main.php";
}
else
{
alert("用户名密码输入错误");
}
}
})
})
});
</script>
</body>
</html>
login_cl.php:
<?php
//login_cl.php
header('Content-Type: application/json');
session_start();
require 'Medoo.php';
$database = new Medoo([
'database_type' => 'mysql',
'database_name' => 'php_rbac',
'server' => 'localhost',
'username' => 'root',
'password' => '123456',
'charset' => 'utf8',
'port' => 3306,
'option' => [
PDO::ATTR_CASE => PDO::CASE_NATURAL
]
]);
$user_name = $_POST['user_name'] ?? '';
$password = $_POST['password'] ?? '';
$user = $database->get("users", ['user_id','user_name','user_pwd'],[
"AND" => [
"user_name" => $user_name,
"user_pwd" => md5($password)
]
]);
if(!empty($user) && md5($password) == $user['user_pwd']){
$_SESSION['user'] = ['user_id' => $user['user_id'],'user_name' => $user['user_name']];
exit(json_encode(['res' => 'ok']));
}
exit(json_encode(['res' => '']));
实现效果:
4.登录后完善
<?php
session_start();
if(!isset($_SESSION['user']) || empty($_SESSION['user'])){
header('Location:login.php');
}else{
$user = $_SESSION['user'];
echo '欢迎登录 ',$user['user_name'];
}
require 'Medoo.php';
$database = new Medoo([
'database_type' => 'mysql',
'database_name' => 'php_rbac',
'server' => 'localhost',
'username' => 'root',
'password' => '123456',
'charset' => 'utf8',
'port' => 3306,
'option' => [
PDO::ATTR_CASE => PDO::CASE_NATURAL
]
]);
$roles = $database->query("select * from permissions where per_id in (select per_id from permission_role where role_id in (SELECT role_id from role_user where user_id = {$user['user_id']}))")->fetchAll(PDO::FETCH_ASSOC);
echo '<pre>';print_r($roles);die;
基本的RBAC就简易的实现了,实际项目中会略为复杂些。
三、RBAC扩展
1.用户组
角色是什么?可以理解为一定数量的权限的集合,权限的载体。
例如:一个论坛系统,“超级管理员”、“版主”都是角色。版主可管理版内的帖子、可管理版内的用户等,这些是权限。要给某个用户授予这些权限,不需要直接将权限授予用户,可将“版主”这个角色赋予该用户。
当用户的数量非常大时,要给系统每个用户逐一授权(授角色),是件非常烦琐的事情。这时,就需要给用户分组,每个用户组内有多个用户。除了可给用户授权外,还可以给用户组授权。这样一来,用户拥有的所有权限,就是用户个人拥有的权限与该用户所在用户组拥有的权限之和。
2.权限分类
在应用系统中,权限表现成什么?
对功能模块的操作,对上传文件的删改,菜单的访问,甚至页面上某个按钮、某个图片的可见性控制,都可属于权限的范畴。
有些权限设计,会把功能操作作为一类,而把文件、菜单、页面元素等作为另一类,这样构成“用户-角色-权限-资源”的授权模型。而在做数据表建模时,可把功能操作和资源统一管理,也就是都直接与权限表进行关联,这样可能更具便捷性和易扩展性。
3.最终模型扩展
权限表中有一列“权限类型”,我们根据它的取值来区分是哪一类权限,如“MENU”表示菜单的访问权限、“OPERATION”表示功能模块的操作权限、“FILE”表示文件的修改权限、“ELEMENT”表示页面元素的可见性控制等。
这样设计的好处有二。其一,不需要区分哪些是权限操作,哪些是资源,(实际上,有时候也不好区分,如菜单,把它理解为资源呢还是功能模块权限呢?)。其二,方便扩展,当系统要对新的东西进行权限控制时,我只需要建立一个新的关联表“权限XX关联表”,并确定这类权限的权限类型字符串。
注意:权限表与权限菜单关联表、权限菜单关联表与菜单表都是一对一的关系。(文件、页面权限点、功能操作等同理)。也就是每添加一个菜单,就得同时往这三个表中各插入一条记录。这样,可以不需要权限菜单关联表,让权限表与菜单表直接关联,此时,须在权限表中新增一列用来保存菜单的ID,权限表通过“权限类型”和这个ID来区分是种类型下的哪条记录。
随着系统的日益庞大,为了方便管理,可引入角色组对角色进行分类管理,跟用户组不同,角色组不参与授权。例如:某电网系统的权限管理模块中,角色就是挂在区局下,而区局在这里可当作角色组,它不参于权限分配。另外,为方便上面各主表自身的管理与查找,可采用树型结构,如菜单树、功能树等,当然这些可不需要参于权限分配。
具体使用还是要根据具体的业务来做出调整!