php 权限设计检查_PHP RBAC权限管理

一、基本概念

RBAC(Role-Based Access Control，基于角色的访问控制)，用户通过角色与权限进行关联。

一个用户拥有若干角色，每一个角色拥有若干权限。这样，就构造成“用户-角色-权限”的授权模型。在这种模型中，用户与角色之间，角色与权限之间，一般者是多对多的关系。

RBAC 支持三个著名的安全原则：最小权限原则，责任分离原则和数据抽象原则。

用户：软件的使用者，凡是使用到该软件的都可以定义成用户，它应该有一些基本信息。

用户组：就是为角色的大体类，除非一个系统角色很多，否则一般不会用到用户组。

角色：软件使用者的身份，一定数量的权限的集合，权限的载体。

权限：对某一个资源是否有浏览的权利，或者对某一个数据是否有操作的权利。

二、RBAC设计与实现

1.RBAC模型

根据上述概念与RBAC模型设计相关数据表：

DROP DATABASE IF EXISTS `php_rbac`;

CREATE DATABASE `php_rbac` DEFAULT CHARSET UTF8;

USE `php_rbac`;

DROP TABLE IF EXISTS `users`;

CREATE TABLE `users`(

`user_id` int unsigned not null auto_increment comment '用户ID',

`user_name` varchar(150) not null comment '登录用户名',

`user_pwd` varchar(150) not null comment '登录密码',

primary key(`user_id`),

unique key(`user_name`)

)ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户表' AUTO_INCREMENT=1;

DROP TABLE IF EXISTS `roles`;

CREATE TABLE `roles`(

`role_id` int unsigned not null auto_increment comment '角色ID',

`role_name` varchar(100) not null comment '角色名',

`role_desc` varchar(200) not null default '' comment '角色描述',

primary key(`role_id`),

unique key(`role_name`)

)ENGINE=InnoDB CHARSET=utf8 COMMENT='角色表' AUTO_INCREMENT=1;

DROP TABLE IF EXISTS `permissions`;

CREATE TABLE `permissions`(

`per_id` int unsigned not null auto_increment comment '权限ID',

`per_name` varchar(100) not null default '' comment '权限名',

`per_desc` varchar(200) not null default '' comment '权限描述',

primary key(`per_id`),

unique key(`per_name`)

)ENGINE=InnoDB CHARSET=utf8 COMMENT='权限表' AUTO_INCREMENT=1;

DROP TABLE IF EXISTS `role_user`;

CREATE TABLE `role_user`(

`user_id` int unsigned not null,

`role_id` int unsigned not null,

foreign key(`user_id`) references `users`(`user_id`),

foreign key(`role_id`) references `roles`(`role_id`)

)ENGINE=InnoDB CHARSET=utf8 COMMENT='用户与角色关联表' AUTO_INCREMENT=1;

DROP TABLE IF EXISTS `permission_role`;

CREATE TABLE `permission_role`(

`per_id` int unsigned not null,

`role_id` int unsigned not null,

foreign key(`per_id`) references `permissions`(`per_id`),

foreign key(`role_id`) references `roles`(`role_id`)

)ENGINE=InnoDB CHARSET=utf8 COMMENT='角色与权限关联表' AUTO_INCREMENT=1;

2.管理员界面与相关实现

1).实现用户选择界面

admin.php：

//admin.php

require 'Medoo.php';

$database = new Medoo([

'database_type' => 'mysql',

'database_name' => 'php_rbac',

'server' => 'localhost',

'username' => 'root',

'password' => '123456',

'charset' => 'utf8',

'port' => 3306,

'option' => [

PDO::ATTR_CASE => PDO::CASE_NATURAL

]

]);

$users = $database->query("SELECT user_id,user_name FROM users")->fetchAll(PDO::FETCH_ASSOC);

$roles = $database->query("SELECT role_id,role_name FROM roles")->fetchAll(PDO::FETCH_ASSOC);

?>

选择用户：

选择用户

echo $user['user_name'];

?>

选择角色：

$(document).ready(function(){

//选择用户

$('#uid').change(function(){

var uid = $(this).val();

$.ajax({

type: 'POST',

dataType: 'JSON',

data: {uid:uid},

url: 'admin_cl.php',

success: function (data) {

var ck = $('input[name=roles]');

ck.prop('checked',false);

for(var i = 0;i < ck.length;i++)

{

var cur = ck.eq(i).val();

if($.inArray(cur,data) >= 0)

{

ck.eq(i).prop("checked",true);

}

}

},

error: function (XMLHttpRequest) {

}

});

});

//保存

$("#save").click(function(){

var uid = $("#uid").val()

var ck = $('input[name=roles]');

var roles = new Array();

for(var i=0;i

{

if(ck.eq(i).prop("checked"))

{

roles.push(ck.eq(i).val());

}

}

$.ajax({

url:"admin_cl2.php",

data:{uid:uid,roles:roles},

type:"POST",

dataType:"JSON",

success: function(data){

if(data.res.trim() == "ok")

{

alert("保存成功！");

}

}

});

})

});

admin_cl.php：

//admin_cl.php

header('Content-Type: application/json');

require 'Medoo.php';

$database = new Medoo([

'database_type' => 'mysql',

'database_name' => 'php_rbac',

'server' => 'localhost',

'username' => 'root',

'password' => '123456',

'charset' => 'utf8',

'port' => 3306,

'option' => [

PDO::ATTR_CASE => PDO::CASE_NATURAL

]

]);

$uid = $_POST['uid'] ?? '';

$users = $database->query("SELECT role_id FROM role_user WHERE user_id = {$uid}")->fetchAll(PDO::FETCH_ASSOC);

$list = [];

foreach($users as $user){

array_push($list,$user['role_id']);

}

exit(json_encode($list));

admin_cl2.php：

//admin_cl2.php

header('Content-Type: application/json');

require 'Medoo.php';

$database = new Medoo([

'database_type' => 'mysql',

'database_name' => 'php_rbac',

'server' => 'localhost',

'username' => 'root',

'password' => '123456',

'charset' => 'utf8',

'port' => 3306,

'option' => [

PDO::ATTR_CASE => PDO::CASE_NATURAL

]

]);

$uid = $_POST['uid'] ?? '';

$roles = $_POST['roles'] ?? '';

$list = [];

foreach ($roles as $key => $role)

{

$list[$key]['user_id'] = $uid;

$list[$key]['role_id'] = $role;

}

$database->delete('role_user',[

'user_id' => $uid

]);

$last_user_id = $database->insert("role_user", $list);

exit(json_encode(['res' => 'ok']));

实现效果

3.登录界面与实现

login.php：

用户登录

账号：

密码：

$(document).ready(function () {

$("#btn").click(function(){

var user_name = $("#user-name").val();

var password = $("#password").val();

$.ajax({

url:"login_cl.php",

data:{user_name:user_name,password:password},

type:"POST",

dataType:"JSON",

success: function(data)

{

if(data.res.trim()=="ok")

{

window.location.href="main.php";

}

else

{

alert("用户名密码输入错误");

}

}

})

})

});

login_cl.php：

//login_cl.php

header('Content-Type: application/json');

session_start();

require 'Medoo.php';

$database = new Medoo([

'database_type' => 'mysql',

'database_name' => 'php_rbac',

'server' => 'localhost',

'username' => 'root',

'password' => '123456',

'charset' => 'utf8',

'port' => 3306,

'option' => [

PDO::ATTR_CASE => PDO::CASE_NATURAL

]

]);

$user_name = $_POST['user_name'] ?? '';

$password = $_POST['password'] ?? '';

$user = $database->get("users", ['user_id','user_name','user_pwd'],[

"AND" => [

"user_name" => $user_name,

"user_pwd" => md5($password)

]

]);

if(!empty($user) && md5($password) == $user['user_pwd']){

$_SESSION['user'] = ['user_id' => $user['user_id'],'user_name' => $user['user_name']];

exit(json_encode(['res' => 'ok']));

}

exit(json_encode(['res' => '']));

实现效果：

4.登录后完善

session_start();

if(!isset($_SESSION['user']) || empty($_SESSION['user'])){

header('Location:login.php');

}else{

$user = $_SESSION['user'];

echo '欢迎登录 ',$user['user_name'];

}

require 'Medoo.php';

$database = new Medoo([

'database_type' => 'mysql',

'database_name' => 'php_rbac',

'server' => 'localhost',

'username' => 'root',

'password' => '123456',

'charset' => 'utf8',

'port' => 3306,

'option' => [

PDO::ATTR_CASE => PDO::CASE_NATURAL

]

]);

$roles = $database->query("select * from permissions where per_id in (select per_id from permission_role where role_id in (SELECT role_id from role_user where user_id = {$user['user_id']}))")->fetchAll(PDO::FETCH_ASSOC);

echo '

';print_r($roles);die;

基本的RBAC就简易的实现了，实际项目中会略为复杂些。

三、RBAC扩展

1.用户组

角色是什么？可以理解为一定数量的权限的集合，权限的载体。

例如：一个论坛系统，“超级管理员”、“版主”都是角色。版主可管理版内的帖子、可管理版内的用户等，这些是权限。要给某个用户授予这些权限，不需要直接将权限授予用户，可将“版主”这个角色赋予该用户。

当用户的数量非常大时，要给系统每个用户逐一授权(授角色)，是件非常烦琐的事情。这时，就需要给用户分组，每个用户组内有多个用户。除了可给用户授权外，还可以给用户组授权。这样一来，用户拥有的所有权限，就是用户个人拥有的权限与该用户所在用户组拥有的权限之和。

2.权限分类

在应用系统中，权限表现成什么？

对功能模块的操作，对上传文件的删改，菜单的访问，甚至页面上某个按钮、某个图片的可见性控制，都可属于权限的范畴。

有些权限设计，会把功能操作作为一类，而把文件、菜单、页面元素等作为另一类，这样构成“用户-角色-权限-资源”的授权模型。而在做数据表建模时，可把功能操作和资源统一管理，也就是都直接与权限表进行关联，这样可能更具便捷性和易扩展性。

3.最终模型扩展

权限表中有一列“权限类型”，我们根据它的取值来区分是哪一类权限，如“MENU”表示菜单的访问权限、“OPERATION”表示功能模块的操作权限、“FILE”表示文件的修改权限、“ELEMENT”表示页面元素的可见性控制等。

这样设计的好处有二。其一，不需要区分哪些是权限操作，哪些是资源，(实际上，有时候也不好区分，如菜单，把它理解为资源呢还是功能模块权限呢？)。其二，方便扩展，当系统要对新的东西进行权限控制时，我只需要建立一个新的关联表“权限XX关联表”，并确定这类权限的权限类型字符串。

注意：权限表与权限菜单关联表、权限菜单关联表与菜单表都是一对一的关系。(文件、页面权限点、功能操作等同理)。也就是每添加一个菜单，就得同时往这三个表中各插入一条记录。这样，可以不需要权限菜单关联表，让权限表与菜单表直接关联，此时，须在权限表中新增一列用来保存菜单的ID，权限表通过“权限类型”和这个ID来区分是种类型下的哪条记录。

随着系统的日益庞大，为了方便管理，可引入角色组对角色进行分类管理，跟用户组不同，角色组不参与授权。例如：某电网系统的权限管理模块中，角色就是挂在区局下，而区局在这里可当作角色组，它不参于权限分配。另外，为方便上面各主表自身的管理与查找，可采用树型结构，如菜单树、功能树等，当然这些可不需要参于权限分配。

具体使用还是要根据具体的业务来做出调整！