关于RBAC权限管理控制

最新推荐文章于 2023-10-21 17:19:09 发布
最新推荐文章于 2023-10-21 17:19:09 发布
阅读量830 收藏 1
点赞数
分类专栏: php学习笔记 文章标签: RBAC权限管理 php yii2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liunian823/article/details/73527089
版权

本篇文章基于慕课网上一部关于 RBAC打造通用web管理项目 的视频教程,链接:http://www.imooc.com/learn/799 。于个人理解进行整理,仅做个人笔记使用,若不明白自行前往教程进行观摩学习。
常见权限管理模型有四种:ACL、RBAC、…(具体都有什么特点自行搜索引擎查看),这里只对RBAC进行介绍。
RBAC有三种对象:用户、角色、权限;
对应表则有五个:用户表——>用户角色关系表<—— 角色表——>角色权限关系表<——权限表.(三个对象及其相互之间的关系映射)。

本篇技术实现基于yii2框架,其他框架实现原理无差异,自行根据本语言框架特点具体根据场景做出逻辑处理。

对于一个安全的操作系统,除了登录页面,其他都要进行登录校验。另外,根据不同的用户级别,要做出访问权限合法性校验。具体使用表现形式,统一在基类控制器中进行逻辑处理(步骤二和三的校验统一放置于方法beforeAction()进行,原因不解释):

步骤一:
登录成功,进行相关信息创建存储等处理:

 /**
  * 登录时候设置登录相关cookie
   */
  protected function createLoginStatus($user)
  {
      $auth_token = $this->createAuthToken($user['id'], $user['name'], $user['email'], $_SERVER['HTTP_USER_AGENT']);
      $cookies = \Yii::$app->response->cookies;
      $cookies->add(new Cookie([
          'name' => $this->auth_cookie_name,
          'value' => $auth_token . '#' . $user['id'],
      ]));
  }

步骤二:
登录判断,其中checkLoginStatus方法是登录校验逻辑:

   /*
     * 检验是否登录或当期访问页面uri地址是否处于允许访问的页面集中
     * 注意:::::下面判断逻辑两种情况用&&,否则会发生频繁重定向
     * 只有未登录且当前请求链接地址处于允许不登录页可访问的链接集中才去跳转登陆页面
     */
    if (!$this->checkLoginStatus() && !in_array($action->getUniqueId(), $this->allowAllAction)) {
        if (\Yii::$app->request->isAjax)  //ajax请求则为局部刷新显示提示信息即可
            $this->renderJSON([], '未登录,请前往登录', 302);
        else    //直接跳往登录页面
            $this->redirect(UrlService::buildUrl('/user/login'));
        return false;
    }

步骤三:
登录校验通过后对于当前访问链接权限合法性进行校验:

    //判断当前用户访问的链接是否拥有对应的权限,若无则显示权限错误提示页面
   if (!$this->checkPrivilege($action->getUniqueId())) {
        $this->redirect(UrlService::buildUrl('/error/forbidden'));
        return false;
    }
    return true;

从逻辑上来说,对于一个安全的系统来说就这么三步:默认访问处于非登录状态则登录;登录成功生成登录信息;后期的每一个访问请求都要进行登录校验、访问合法性校验——一个完整流程。
当然正常情况下在每一次操作请求都应该生成记录日志,这个同样可以放置于beforeAction方法中。具体这个控制器基类如下:

<?php
namespace app\controllers\base;

use app\models\AccessModel;//权限模型
use app\models\AppAccessLogModel;//操作记录日志模型
use app\models\RoleAccessModel;//角色权限关系模型
use app\models\UserModel;//用户模型
use app\models\UserRoleModel;//用户角色关系模型
use app\services\UrlService;//
use yii\web\Controller;
use yii\web\Cookie;

class BaseController extends Controller{
    protected $auth_cookie_name = 'default_001';  //cookie存储当前登录用户名
    protected $current_user = null;   //当前登录用户信息
    protected $allowAllAction = [
        'user/login',
        'user/vlogin',
    ];   //允许访问的页面url地址
    protected $ignore_url = [
        'error/forbidden',
        'user/login',
        'user/vlogin',
    ];   //不需要进行权限校验的页面url地址
    private $privilege_urls = []; //保存当前用户拥有的权限链接集

    /**
     * 后台系统大部分页面都要进行登录校验,在框架中加入统一验证方法
     */
    public function beforeAction($action){
        /*
         * 检验是否登录或当期访问页面uri地址是否处于允许访问的页面集中
         * 注意:::::下面判断逻辑两种情况用&&,否则会发生频繁重定向
         *  ----------只有未登录且当前请求链接地址处于允许不登录页可访问的链接集中才去跳转登陆页面
         */
        if (!$this->checkLoginStatus() && !in_array($action->getUniqueId(), $this->allowAllAction)) {
            if (\Yii::$app->request->isAjax)  //ajax请求则为局部刷新显示提示信息即可
                $this->renderJSON([], '未登录,请前往登录', 302);
            else    //直接跳往登录页面
                $this->redirect(UrlService::buildUrl('/user/login'));
            return false;
        }

        //将本次访问记录存入数据库日志表中
        $get_params = $this->get(null);
        $post_params = $this->post(null);
        $model_log = new AppAccessLogModel();
        $model_log->uid = $this->current_user ? $this->current_user['id'] : 0;  //当前访问用户id,未登录则 0
        $model_log->target_url = isset($_SERVER['REQUEST_URI']) ? $_SERVER['REQUEST_URI'] : '';//访问url
        $model_log->query_params = json_encode(array_merge($get_params, $post_params));    //json形式存储请求参数
        $model_log->ua = isset($_SERVER['HTTP_USER_AGENT']) ? $_SERVER['HTTP_USER_AGENT'] : '';   //浏览器信息
        $model_log->ip = isset($_SERVER['REMOTE_ADDR']) ? $_SERVER['REMOTE_ADDR'] : '';   //请求者ip地址
        $model_log->created_time = date('Y-m-d H:i:s');
        $model_log->save();

        //判断当前用户访问的链接是否拥有对应的权限,若无则显示权限错误提示页面
        if (!$this->checkPrivilege($action->getUniqueId())) {
            $this->redirect(UrlService::buildUrl('/error/forbidden'));
            return false;
        }
        return true;
    }

    /**
     * 统一获取get参数的方法
     */
    protected function get($key, $default = ''){
        return \Yii::$app->request->get($key, $default);
    }

    /**
     * 统一获取post参数的方法
     */
    protected function post($key, $default = ''){
        return \Yii::$app->request->post($key, $default);
    }

    /**
     * @param $data 返回数据信息
     * @param $msg 提示信息
     * @param int $code 状态码,默认200表示成功
     */
    protected function renderJSON($data, $msg, $code = 200){
        header('Content-type: application/json');//设置头部内容格式
        echo json_encode([
            "code" => $code,
            "msg" => $msg,
            "data" => $data,
            "req_id" => uniqid(),
        ]);
        return \Yii::$app->end();//终止请求直接返回
    }

    /**
     * 校验当前是否处于登录状态
     */
    private function checkLoginStatus(){
        $cookies = \Yii::$app->request->cookies;
        $auth_cookie = $cookies->get($this->auth_cookie_name);
        if (!$auth_cookie)  //获取登录用户信息cookie,不存在则校验登录失败
            return false;
        list($auth_token, $uid) = explode('#', $auth_cookie);   //以#拆分获取到的登录cookie信息
        if (!$auth_token || !$uid)  //拆分出来的token值或uid任何一个不存在则校验登录失败
            return false;
        if ($uid && preg_match("/^\d+$/", $uid)) {
            $user = UserModel::find()->where(['status' => 1, 'id' => $uid])->one();
            if (!$user) //校验uid对应的用户信息不存在则登录失败
                return false;
            if ($auth_token != $this->createAuthToken($user))
                return false;   //若拆分得到的token值与根据拆分拿到的uid对应的用户信息生成的token不一致则登录校验失败
            $this->current_user = $user;  //都校验通过则将该用户信息赋值
            \Yii::$app->view->params['current_user'] = $user; //将该用户信息赋值给共享属性参数集
            return true;    //这些逻辑处理完毕则登录校验通过
        }
        return false;
    }

    /**
     * @param $url 判断该链接是否拥有访问权限
     * 取出当前用户所属角色,通过角色取出其所属权限关系集,比对该链接是否处于取出的权限关系集中
     */
    protected function checkPrivilege($url){
        //若当前用户是超级管理员,则不需要判断权限
        if ($this->current_user && $this->current_user['is_admin'])
            return true;
        //若该链接处于忽略权限检查的集合中则不需要判断
        if (in_array($url, $this->ignore_url))
            return true;
        return in_array($url, $this->getRolePrivilege());
    }

    /**
     * 取出当前用户所拥有的访问权限链接集
     */
    protected function getRolePrivilege($uid = 0){
        if (!$uid && $this->current_user)
            $uid = $this->current_user->id;
        if (!$this->privilege_urls) {
            //取出uid对应角色id集
            $role_ids = UserRoleModel::find()->where(['uid' => $uid])->select('role_id')->asArray()->column();
            if ($role_ids) { //取出角色集对应的权限id集
                $access_ids = RoleAccessModel::find()->where(['role_id' => $role_ids])->select('access_id')->asArray()->column();
                //根据权限id集取出对应的权限链接集
                $access_list = AccessModel::find()->where(['id' => $access_ids])->all();
                if ($access_list) {
                    foreach ($access_list as $item) {
                        $urls = @json_decode($item['urls'], true);
                        $this->privilege_urls = array_merge($this->privilege_urls, $urls);
                    }
                }
            }
        }
        return $this->privilege_urls;
    }

    /**
     * 登录时候设置登录相关cookie
     */
    protected function createLoginStatus($user){
        $auth_token = $this->createAuthToken($user);
        $cookies = \Yii::$app->response->cookies;
        $cookies->add(new Cookie([
            'name' => $this->auth_cookie_name,
            'value' => $auth_token . '#' . $user['id'],
        ]));
    }

    /**
     * 生成用户加密校验token值,可以自行根据需要进行不同安全程度的加密生成值
     */
    private function createAuthToken($user){
        return md5($user['id'] . $user['name'] . $user['email'] . $_SERVER['HTTP_USER_AGENT']);
    }

}

具体应用场景的使用根据框架及需求进行适当的植入。

liunian823
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RBAC权限管理
彳亍
09-28 4388
1. 简介RBAC是Role-Based Access Control的首字母,即基于角色的访问控制,是最简单的权限管理解决方案。它对权限控制精度一般为节点。基本模型为用户-角色-权限(节点),用户和角色之间、角色和节点之间都是多对多的关系。实现原理:在用户登录的时候,将用户拥有的权限(可访问的模块、控制器和方法),保存到session中; 在用户访问某个页面或按钮时,进行权限的验证,如果没有权
rbac权限管理方法
可爱馅儿的怂包子
03-03 195
权限管理 并不是类,只是自己瞎琢磨出来的方法,放在common里面的,反正emmmm….能用就行 use think\Request; use think\Controller; use think\Session; use app\admin\model\RbacUser; use app\admin\model\RbacRole; use app\admin\model\RbacAcces...
RBAC权限控制
qq_39981183的博客
03-14 272
RBAC权限控制1、建表:用户表 角色表 权限表 根据关系分析出另外两张关系表 这是最基本的五张表 只要是RBAC一般都是五张表注:权限表的p_path字段代表的是父级权限id,可以这么说:当前记录的p_path就是父级记录的p_id2、初始化好表数据,例如用户信息,角色信息,基本的权限信息3、搭建tp框架,首先做登录(防非法登录,即存session的问题,引入第三方类判断session)4、登录...
rbac权限管理(一)用户+角色+操作
liweitsky的专栏
12-24 270
一:概述 首先介绍一下我的权限进展实现了用户+角色+操作的操作,可对用户操作进行日志记录,已经生成了rbac包,在spring+struts1.2+hibernate中可以直接引用使用。 rabc框架图: [img]http://dl.iteye.com/upload/attachment/377418/90aa6647-f0f0-336c-bdae-c7312b15d68f.jpg[/im...
RBAC权限概念
corleone_4ever的博客
01-31 835
一、RBAC基础 0. 前言 最近刚参与设计完角色权限的第二版,趁着还有些印象,赶紧来总结下,省的以后忘记了。 1. 什么是RBAC?   RBAC(Role-Based Access Control),基于角色的访问控制,就是用户通过角色与权限进行关联,通俗的说,就是一个用户有多个角色,每个角色又有多个权限,这样就构成了用户-角色-权限的一种模型。在这种模型中,用户与角色之间,角色与权限...
Flask框架实现的RBAC权限管理系统源码
最新发布
03-25
项目概述:本项目管理系统基于流行的Python Flask框架,实现了一套完整的RBAC(基于角色的访问控制)...简而言之,这是一个集成了多技术栈的Flask项目,专注于为用户提供一个功能全面、易于管理RBAC权限管理系统。
基于django的RBAC权限管理控制模块
02-22
**基于Django的RBAC权限管理控制模块** 在Web开发中,权限管理是不可或缺的一部分,特别是在大型企业级应用中。Role-Based Access Control(RBAC)是一种广泛采用的权限管理模式,它将用户角色与权限绑定,通过角色...
基于Django和Vue的RBAC权限控制后台管理系统源码
03-25
项目概述:本源码为基于角色基础访问控制RBAC)模型的中小型应用开发平台,采用前后端分离架构。...该平台为开发人员提供了一个具有完善权限控制的后台管理系统,支持快速开发具有复杂权限需求的中后台应用。
基于RBAC权限控制模型的后台管理系统
01-20
  该项目主要展示 RBAC权限控制效果,并提供员工管理模块以供测试。用户登录系统后,根据用户所关联的角色,查询角色拥有的权限,如:菜单权限、按钮权限。不同角色的用户,所显示的菜单可能也不尽相同。 系统...
风聆RBAC权限管理系统
08-14
风聆RBAC权限管理系统是一个基于ThinkPHP 5.1的RBAC权限管理系统,实现了基本的权限管理,本系统是基于权限节点进行认证,可控制菜单显示隐藏,基于角色控制权限节点。风聆RBAC权限管理系统软件架构1、前端框架:...
到底什么是RBAC权限模型?!
beidaol的专栏
02-27 1724
RBAC之知其然,却一直不知其所以然。 这次决定借着想要写博客的被动需求,好好研究一下这个RBACRBAC是个啥 RBAC就是一个权限控制模型,这个模型是经过时间沉淀之后,相当通用、成熟且被大众接受认可的一个模型。我的理解是RBAC和数学公式是一个道理,数学题可以套用数学公式,而权限系统也可以套用RBAC权限模型。 RBAC(Role-Based Access Control)权限模型...
RBAC——基于角色权限的模型
热门推荐
林隐的博客
10-21 2万+
学习RBAC——基于角色权限的模型
RBAC基于角色的权限控制(一)】RBAC权限数据库设计
后端研发工程师Marion的博客
08-12 2183
-- 管理员-&gt;权限表 DROP TABLE IF EXISTS `b_admin_permissions`; CREATE TABLE `b_admin_permissions` ( `id` int(10) NOT NULL AUTO_INCREMENT COMMENT 'ID', `name` varchar(64) NOT NULL DEFAULT '' COMMENT '...
万字长文,SpringSecurity
mySoul
06-30 968
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
RBAC权限的概念
前端泡面人
09-02 417
什么是RBAC权限
产品经理需理解的权限管理模型
vnnfv123的博客
11-06 2542
我们在做任何一款产品的时候,或多或少都会涉及到用户和权限的问题。譬如,做企业类软件,不同部门、不同职位的人的权限是不同的;做论坛类产品的时候,版主和访客权限也是不一样的;再例如一款产品的收费用户和免费用户权限也是迥然不同的。但在设计产品的用户和权限的关系的时候,很多产品经理可能按照感觉来,在并不清楚用户和权限是否存在优秀的理论模型的时候,就按照自我推理搭建了产品的用户和权限模型。而这种基于感觉和推
rbac权限管理设计 如何控制接口设计
12-14
在接口设计中,可以通过以下步骤来实现RBAC权限管理设计: 1.定义角色:根据业务需求,定义不同的角色,例如管理员、普通用户等。 2.分配权限:将不同的权限分配给不同的角色,例如管理员可以访问所有接口,普通...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值