thinkPHP框架RBAC实现原理分析

RBAC就是:Role Based Access Controller,基于角色(role)的权限(Access)管理,这里简单介绍一下他的原理与实现方式之一。

Part 1 数据库设计

首先最基本的组成有:用户(admin),角色(role),具体权限(auth),这三者之间的关系是这样的:一个用户只拥有一种角色,一种角色下拥有多个权限,一个权限也会同时被多个角色拥有,也就是说admin表和role表是一对一关系,role和auth表是多对多关系,本来符合范式设计要求的情况应该是需要一张关联表的,但是这里为了简单,就只把role拥有的auth写成一个字段auth_id_lst。所以具体的表设计就是:

admin

admin_id

admin_name

role_id (foreign_key)

role

role_id

role_name

auth_id_lst

auth

auth_id

auth_name

auth_pid

为了更直接的理解,这里放几个每张表的具体记录:

auth

auth_id auth_name auth_pid
1   供应商管理   0  
2   供应商添加   1  
3   供应商修改   1  
4   商品管理   0  
5   商品下架   4  
6   顾客管理   0  

role

role_id role_name auth_id_lst
1   物流部门经理   1,2,3  
2   销售部门经理   4,5  
3   公关部门经理   6  

admin

admin_id admin_name role_id
1   张三   1  
2   李四   2  
3   王五   3  

这样就可以保存住具体的用户所拥有的具体权限了,而其中为了能更好的管理具体auth,同时也为了更好的理解,所以加入了role表进行补充,如果做一个类似的话,更像下面的形式:

admin:具体人员

role:部门

auth:具体所需要的权限

同一个部门的人,所需要的权限基本是相同的,所以可以使用一个role进行统一管理。

Part 2 代码实现

上面只是简单做一个介绍,这一部分开始将介绍具体的实施方案,来自于一个带我的大哥。看懂下面的部分你需要具备的知识点有:

thinkphp的基础知识

session的用法

这个使用的场景是一个后台管理系统,针对不同role开放不同的Controller(控制器)和Action(方法),所以auth表具体结构如下:

admin

auth_id

auth_name

auth_c 保存控制器名

auth_a 保存方法名

auth_pid 权限之间存在分类情况,使用该字段进行保存

接下来就是具体的操作步骤了:

1.1 新建Controller类

在thinkphp中每个Controller都会继承一个thinkphp下的Think\Controller,这个时候可以新建一个Controller,之后让所有的Controller都继承这个新建的类,这样所有进行的操作都要先经过这个新建控制器的筛选。

下面是这个新建类的部分内容:

<?php namespace Admin\Controller; use Think\Controller; class FatherController extends Controller{ // 构造函数 public function __construct(){ // 实例化父类构造函数 parent::__construct(); // session('admin_id')会在后面的验证成功后被保存 // session()中的?表示判断 fi(!session('?admin_id')){ $this->error('必须登录后才可以执行操作',U('Back/login')); } // 后面还有内容,这里先到这里 } } ?>

1.2 跳转到登录页面

1.1中跳转到一个登录的页面,在这个登录页面中输入用户名、密码、验证码之后,就可以调用专门Model类来进行验证了。这里就细讲了,这里讲解一下具体步骤:

在BackController的login方法中实例化AdminModel类

在AdminModel类中设置自动验证和自动完成,保证用户名和密码都经过验证

如果用户名和密码都正确,则将admin_id保存在session中,并从role表中读取该用户的role,与auth_id_lst,同样保存在session中。这里做一下总结:

session('admin_id') 登录者的id

session('user_name') 登录者注册名

session('auth') 登录者所拥有的role中的auth_id_lst中对应auth表的具体值,格式为 Controller/Action
session('menu') 登录者所能操作的具体的权限信息

1.3 回到最初新建的Controller类

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/addf9d97b8f7109fe4b42ed31698885b.html