php api权限控制,关于接口权限控制以及rbac

最新推荐文章于 2024-02-17 12:09:33 发布
最新推荐文章于 2024-02-17 12:09:33 发布
阅读量663 收藏
点赞数
文章标签: php api权限控制

分端实现权限控制

最常见的接口权限控制就是分端形式了,不同的端实现不同的接口,一个用户登录后,只能访问这个端的接口,而不能去访问其他端的接口.

例如:

商城有商家端,管理端,买家端,各个端之间账号互不相通.

每个端对订单的操作逻辑也不一样

用户端只能新建,查看订单

商家端只能查看订单,发货订单

管理端只能查看订单

代码结构大致为:├── Admin  管理端

│   └── Order  订单

│       └── getList  查看订单列表

├── Shop  商家端

│   └── Order  订单

│       ├── deliver  发货

│       └── getList  查看订单列表

└── User 管理端

└── Order  订单

├── add  新增订单

└── getList 查看订单列表

这种权限控制的方法优点为:  通俗易懂,容易维护,项目复杂度不高,可以根据不同端来响应不同的字段

但是需要写更多的代码(查看订单写了3份,每次有字段改动都需要改动3份)

适合用户角色较少,分级明显的项目  (适合大多数项目)

rbac 权限控制

rbac其实百度已经很多了,我这边就大概说明下定义.

RBAC基于角色的访问控制(Role-Based Access Control )

按代码的方式来讲就是:

给角色赋予不同的权限,再通过给用户赋予不同的角色,来实现不同的权限控制.

例如 在一个企业中的货物管理系统中.

可能存在:

管理员:可操作所有权限

财务:管理货物价格

货物出入库管理员:货物出入库

货物主管:审核出入库

职工:申请货物

多个角色,如果按照分端来做的话,就需要分5个端甚至更多,同时查看货物的功能就需要写5份相同的代码.

这个时候,我们可以通过rbac权限控制的方法来做

代码结构为:└── User  所有角色都是用户,需要登陆,通过数据库授权

├── Apply

│   ├── add    职工

│   ├── getList  职工,货物主管

│   └── verify   货物主管

└── Goods

├── add    管理员

├── getList  货物管理员,财务,职工,货物主管

├── takeOut  职工,货物主管

├── update   管理员

├── updatePrice 财务

└── updateNum  货物管理员

我们可以给一个用户赋予多个角色,例如职工也可能是货物主管,也可能还是货物管理员等等

通过这种多重角色赋予,角色授权模式,可以更好的动态赋予权限

完善方法,响应参数控制

那么这样就行了吗?

不,上面的是一个demo.并不完整

假设

在Goods/getList 中,不允许职工看到价格,只允许财务看到,

那么该怎么实现?

很明显,最简单的方法就是,写一个 getListForStaff再写一个 getListForFinance

那么又会问了,既然方法还是要写这么多,那rbac权限控制还有存在的必要吗?

rbac除了可以省几个通用方法之外,最重要的一点是用户多角色授权,所以还是有必要的

rbac实现步骤#### role_list 角色表

- roleId `int 11`

- roleName `varchar 32  `

#### user_role_relation_list 用户角色关联表 (多对多)

- relationId `int`

- userId `int`

- roleId `int`

#### permission_list 权限表

- permissionId `int`

- permissionName `varchar 64`

- url `varchar 64  /Api/User/add `

#### role_permission_relation_list 角色权限关联表

- relationId `int`

- roleId `int`

- userId `int`

- permissionId `int`

- authorizeType `tinyint 1正向授权 2反向授权`

主要表为这4个表,通过对用户授权角色

用户,角色间的权限关联叠加(反向授权>正向授权) 得到最后的权限列表,进行判断

此为后端表现形式,但是因为前端需要做管理菜单 显示/隐藏 等,所以还需要附带一个菜单管理功能:#### menu_list 菜单表

- menuId `int 菜单id`

- menuName `varchar 菜单名称`

- permissionId `int 授权id (如果为0则代表不受权限控制管理)`

- url `varchar`

- pid `int 父级id`

- level `tinyint 菜单等级`

- displayMenu `tinyint 是否显示菜单 有些 更新/新增 权限明显不是菜单,不需要显示出来`

流程图:

a8ea77bae1c9b53bfaf1a3be7f550673.png

本文为仙士可原创文章,转载无需和我联系,但请注明来自仙士可博客www.php20.cn

ForAui
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP接口权限控制
weixin_42560621的博客
03-28 1725
1,数据表 CREATE TABLE `pet_permission_node` ( `id` int(11) NOT NULL AUTO_INCREMENT, `node_name` varchar(155) NOT NULL DEFAULT '' COMMENT '节点名称', `module_name` varchar(155) NOT NULL DEFAULT '' COMM...
基于Laravel 7.x的后台权限验证API
06-29
你将学习到如下知识:1、如何使用laravel编写Restful api接口; 2、如何使用composer进行项目依赖管理,laravel常用扩展的安装与使用,如dingo/api 以及repository; 3、如何使用jwt进行实现后台用户认证机制; 4、学习...
php api权限控制,API接口要怎样实现权限控制
weixin_31188927的博客
03-10 899
怎样防止别人调用API用什么方法来对API接口进行控制?当不合法的请求接口的时候不返回数据回复内容:怎样防止别人调用API用什么方法来对API接口进行控制?当不合法的请求接口的时候不返回数据加签名验证就行。提供密钥进行MD5。首先,安全起见,最好使用HTTPS通信,以防止中间人截获。其次,在HTTPS的前提下,对于API访问权限控制可以在,请求头里面添加一个字段传输Token(或者直接放在URL里...
大型API网关(四)—— 接口权限
xinzhongtianxia的博客
03-05 3055
想象一下,我们的API网关对外开放了好多个接口,有的接口是通用的,大家都可以访问,有的接口是定制的,只对特定用户开放,比如付费用户、合作伙伴等,这就涉及到接口权限控制的问题。 权限功能的示意图如下: 接口权限是一个网关系统最基本的需求,实现方式也有很多。我们这里只讨论最简单的一种。 ACL这个英文缩写,大家都不陌生,全拼是Access Control Lists 访问控制列表。 举个例子,我们有service1,service2,service3三个接口,有userA, userB, userC三个用户.
webidl,接口权限实现api
hunter
11-06 853
https://developer.mozilla.org/en-US/docs/Mozilla/WebIDL_bindings     1.接口,mozAdhoc 2.权限,adhoc 3.api, navigator.mozAdhoc 4.                              ...
RBAC权限 API声明四种kubernetes对象
learnalwaystodie的博客
02-14 222
RBAC SERVICEACCOUNT 凭据角色
php授权验证系统 c,Clink和Cbottom权限验证
weixin_39857153的博客
03-13 234
通过Clink和Cbottom可以在模块内容界面中显示对应的操作链接,本教程用于权限验证,决定哪个模块是否显示这些链接如果不进行权限验证,那么所以模块都会显示这些链接1、在插件modles目录创建Auth.php模型文件例如插件目录是Demo,dayrui/App/Demo/Models/Auth.php...
基于laravel5.5开发的基础后台管理脚手架, RBAC权限控制; 接口-laravel_admin_api.zip
01-29
总结,这个项目是一个基于Laravel 5.5的后台管理系统,具备RBAC权限管理功能,且提供API接口供外部系统集成,对于初学者或开发者来说,是一个了解和实践Laravel框架、RBAC以及API设计的好例子。
基于thinkphp5.1与layui编写的rbac权限管理
11-16
3. **权限管理**:定义系统资源的访问权限,可以是操作、菜单、API接口等。 4. **角色与权限关系**:定义角色能访问哪些权限,通常通过多对多关联实现。 5. **用户与角色关系**:分配用户到角色,一个用户可以有多个...
tp5Api接口权限纯净版.zip
10-14
【标题】"tp5Api接口权限纯净版.zip"是一个基于ThinkPHP5.0框架构建的API接口系统,集成了完整的权限控制、登录认证、角色管理、管理员管理、菜单管理和Token验证功能。这个项目旨在提供一个简洁且实用的API开发...
基于thinkphp的auth权限验证
12-06
这个项目是我学习thinphp的anth验证写的,实现了对于不同用户组实现不同的权限,没有权限的菜单自动隐藏
PHP---API 接口设计教程
12-12
* 认证和授权:使用基于角色的访问控制RBAC)等方式控制用户的访问权限。 * 加密:使用 SSL/TLS 等加密协议来保护数据传输。 * 输入验证:验证用户输入的数据来防止 SQL 注入和跨站脚本攻击等。 API 接口设计是...
《优化接口设计的思路》系列:第四篇—接口权限控制
csx2804498964的博客
09-27 891
大家好!我是sum墨,一个一线的底层码农,平时喜欢研究和思考一些技术相关的问题并整理成文,限于本人水平,如果文章和代码有表述不当之处,还请不吝赐教。
php只能用浏览器触发吗,PHP只允许某个域名或者URL访问调用不允许浏览器直接执行的方法...
weixin_42356284的博客
03-17 487
我们在使用PHP建站的过程中,经常需要用到防止页面被外部调用的情况,这个时候主要是用到判断来路的$_SERVER['HTTP_REFERER'] 参数,但是这也仅能防止一部分人,如果对方伪造来路,这个也没办法。不过日常使用是够了。这样可以防止PHP文件被直接放到浏览器中访问,必须通过你设定的那个链接来访问或者调用才行$fromurl="https://www.zzrrr.com/upload.ph...
Api接口是什么意思,Api接口该如何防护呢?
最新发布
杨荧的CSDN博客
02-17 4403
API接口在不同的领域和场景中都具有重要的作用,为应用程序的开发、集成和扩展提供了便利和灵活性
php开发API接口的安全认证方法总结
chenyy2050的博客
09-11 930
这个必须要做,隐藏在app里的接口如果没有认证,现在hack app的人这么多,很快就会被人发现,用来直接操作数据库。 直观总结方法二: 1.请求头里带用户username和password,到服务器端做验证,通过才继续下边业务逻辑。 有点:防止了服务器端api被随意调用。 缺点:每次都交...
php 微信公众号授权配置以及自动创建菜单接口配置
qq_25861247的博客
01-21 1987
以前配置好多次了怕以后又忘记了现在我们一步步来配置 首先进入我们申请的公众号中   这个就是配置创建菜单的接口权限的地方 对应你的控制器有这个请求接口。 微信调用用户信息和获取信息跳转接口配置地方 我记得这个要是没有配置会出现 提示说什么回调地址不一样什么的 出现错误代码 这个在接口权限   点击修改进去 这三个地方进行设置就ok了 然后在请求测试哈。 文...
漏刻有时数据可视化多功能php-API接口开发实战记录百问百答(mysql语句用户、权限分配、日期格式、跨表查询,数据分表)
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
06-12 664
在漏刻有时数据可视化的开发过程中,对于php-api的后端开发,牵涉到数据统计、数据清洗、数据过滤等多种方式,其中环境部署、需求变化、技术迭代等问题,将在本文做集中处理。
php前端路由权限,SaaS-前端权限控制
weixin_36169116的博客
03-24 226
1 前端权限控制1.1 需求分析1.1.1 需求说明基于前后端分离的开发模式中,权限控制分为前端页面可见性权限与后端API接口可访问行权限。前端的权限控制主要围绕在菜单是否可见,以及菜单中按钮是否可见两方面展开的。1.1.2 实现思路在vue工程中,菜单可以简单的理解为vue中的路由,只需要根据登录用户的权限信息动态的加载路由列表就可以动态的构造出访问菜单。登录成功后获取用户信息,包含权限列表(菜...
rbac权限管理设计 如何控制接口设计
12-14
RBAC(Role-Based Access Control)是一种基于角色的访问控制,它通过将权限分配给角色,再将角色分配给用户来控制对资源的访问。在接口设计中,可以通过以下步骤来实现RBAC权限管理设计: 1.定义角色:根据业务...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值