ThinkPHP的RBAC(基于角色权限控制)详解
一、什么是RBAC
基于角色的访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。
在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。
在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。
二、ThinkPHP中的RBAC
先看下官方给的实例所用到的数据表,通过5张表实现权限控制,定义如下:
RBAC 要用到5个数据表
think_user (用户表)
think_role (用户分组表)
think_node (操作节点)
think_role_user (用户和用户分组的对应)
think_access (各个操作和用户组的对应)
用户表
角色表,有哪些角色,该角色与对应的userid用户相关联
根据用户表的id给出对应的角色id相关联,也就是给用户分配角色,比如userid为3的角色为2,根据role角色表,7代表员工的角色
access表,权限表,比如角色id为2,也就是员工的权限,可以的对应的结点
结点表,代表有哪些应用-模块-模块方法,并且定义了之间的一种关系,比如noteid为30的是Public模块,noteid为31,32,33,34的方法add,insert,edit,update都属于Public。noteid为85的test方法,属于noteid为84的Game模块下的方法。
表结构 用户表(think_user)、用户组表(think_role)、节点表(think_node)、用户与用户组关系表(think_role_user)、权限表(think_access)。
CREATE TABLE IF NOT EXISTS `think_access` ( `role_id` smallint(6) unsigned NOT NULL, `node_id` smallint(6) unsigned NOT NULL, `level` tinyint(1) NOT NULL, `module` varchar(50) DEFAULT NULL, KEY `groupId` (`role_id`), KEY `nodeId` (`node_id`) ) ENGINE=MyISAM DEFAULT CHARSET=utf8;
CREATE TABLE IF NOT EXISTS `think_node` ( `id` smallint(6) unsigned NOT NULL AUTO_INCREMENT, `name` varchar(20) NOT NULL, `title` varchar(50) DEFAULT NULL, `status` tinyint(1) DEFAULT '0', `remark` varchar(255) DEFAULT NULL, `sort` smallint(6) unsigned DEFAULT NULL, `pid` smallint(6) unsigned NOT NULL, `level` tinyint(1) unsigned NOT NULL, PRIMARY KEY (`id`), KEY `level` (`level`), KEY `pid` (`pid`), KEY `status` (`status`), KEY `name` (`name`) ) ENGINE=MyISAM DEFAULT CHARSET=utf8;
CREATE TABLE IF NOT EXISTS `think_role` ( `id` smallint(6) unsigned NOT NULL AUTO_INCREMENT, `name` varchar(20) NOT NULL, `pid` smallint(6) DEFAULT NULL, `status` tinyint(1) unsigned DEFAULT NULL, `remark` varchar(255) DEFAULT NULL, PRIMARY KEY (`id`), KEY `pid` (`pid`), KEY `status` (`status`) ) ENGINE=MyISAM DEFAULT CHARSET=utf8 ;
CREATE TABLE IF NOT EXISTS `think_role_user` ( `role_id` mediumint(9) unsigned DEFAULT NULL, `user_id` char(32) DEFAULT NULL, KEY `group_id` (`role_id`), KEY `user_id` (`user_id`) ) ENGINE=MyISAM DEFAULT CHARSET=utf8;
注意其中没有think_user表的生成语句,这张表在你编写“用户模型(User Model)”时自行创建,因为RBAC类不做类似于登录时用户名、密码是否匹配的工作。换句话说,检查用户名、密码是否匹配,该用户能不能成功登录的代码是你写的,你需要在用户成功登录后,将这个用户的ID写到相应的SESSION里,普通用户的写到$_SESSION[C('USER_AUTH_KEY')]里,管理员的写到$_SESSION[C('ADMIN_AUTH_KEY')]里。
接下来要说明的是几个相关的配置项:
三、config配置文件详解
我们看看thinkphp官方示例中的config文件:
array(
'APP_AUTOLOAD_PATH'=>'@.TagLib',
'SESSION_AUTO_START'=>true,
'USER_AUTH_ON' =>true,
'USER_AUTH_TYPE' =>1, // 默认认证类型 1 登录认证 2 实时认证
'USER_AUTH_KEY' =>'authId', // 用户认证SESSION标记
'ADMIN_AUTH_KEY' =>'administrator',//管理员认证SESSION标记
'USER_AUTH_MODEL' =>'User', // 默认验证数据表模型
'AUTH_PWD_ENCODER' =>'md5', // 用户认证密码加密方式
'USER_AUTH_GATEWAY' =>'/Public/login',// 默认认证网关
'NOT_AUTH_MODULE' =>'Public', // 默认无需认证模块
'REQUIRE_AUTH_MODULE' =>'', // 默认需要认证模块
'NOT_AUTH_ACTION' =>'', // 默认无需认证操作
'REQUIRE_AUTH_ACTION' =>'', // 默认需要认证操作
'GUEST_AUTH_ON' =>false, // 是否开启游客授权访问
'GUEST_AUTH_ID' =>0, // 游客的用户ID
'DB_LIKE_FIELDS' =>'title|remark',
'RBAC_ROLE_TABLE' =>'think_role',
'RBAC_USER_TABLE' =>'think_role_user',
'RBAC_ACCESS_TABLE' =>'think_access',
'RBAC_NODE_TABLE' =>'think_node',
'SHOW_PAGE_TRACE'=>1//显示调试信息
);
// ADMIN_AUTH_KEY 管理员认证SESSION标记
// USER_AUTH_KEY 用户认证SESSION标记
//
// $_SESSION[C('USER_AUTH_KEY')] 用来保存登陆成功后的用户ID
// $_SESSION[C('ADMIN_AUTH_KEY')] 用来保存登陆成功后的管理员ID
//
// USER_AUTH_ON 是否需要认证
// USER_AUTH_TYPE 认证类型,1是登陆认证,2是实时认证
// USER_AUTH_MODEL 用户模型名称
// GUEST_AUTH_ON 是否开启游客授权访问
// GUEST_AUTH_ID 游客的用户ID
//
// REQUIRE_AUTH_MODULE 需要认证模块(若定义了,则只验证给出的模块;否则验证所有模块)
// NOT_AUTH_MODULE 无需认证模块(若定义了“需要认证模块”则本条定义无效)
// REQUIRE_AUTH_ACTION 需要认证操作(若定义了,则只验证给出的操作;否则验证所有操作)
// NOT_AUTH_ACTION 无需认证操作(若定义了“需要认证操作”则本条定义无效)
//
// USER_AUTH_GATEWAY 认证网关,如果用户没有登录则转到这页(URL路由规则)
// RBAC_DB_DSN 数据库连接DSN
// RBAC_ROLE_TABLE 角色表名称
// RBAC_USER_TABLE 用户表名称(应该是用户、用户组关系表)
// RBAC_ACCESS_TABLE 权限表名称
// RBAC_NODE_TABLE 节点表名称
认证方法
public function _initialize(){
// 用户权限检查
if (C('USER_AUTH_ON') && !in_array(MODULE_NAME, explode(',', C('NOT_AUTH_MODULE')))) {
import('ORG.Util.RBAC');
if (!RBAC::AccessDecision()) {
//检查认证识别号
if (!$_SESSION [C('USER_AUTH_KEY')]) {
//跳转到认证网关
redirect(PHP_FILE . C('USER_AUTH_GATEWAY'));
}
// 没有权限 抛出错误
if (C('RBAC_ERROR_PAGE')) {
// 定义权限错误页面
redirect(C('RBAC_ERROR_PAGE'));
} else {
if (C('GUEST_AUTH_ON')) {
$this->assign('jumpUrl', PHP_FILE . C('USER_AUTH_GATEWAY'));
}
// 提示错误信息
$this->error(L('_VALID_ACCESS_'));
}
}
}
}
大家看注释就应该懂大半了,其中Public模块是无需认证的,道理很简单,没登录之前大家都是游客身份,如果登录页面也要权限,那从哪里登录呢?是吧,呵呵。默认网关地址就是认证失败,没有权限跳转到此处,重新登陆。ADMIN_AUTH_KEY表示超级管理员权限,如果你在user表建立一个名为admin的用户,那么这个用户就是超级管理员,不用给它分配权限,什么权限都有,为什么要设置一个这样的管理员,因为当你把权限分配错了容易引起系统权限混乱,搞得大家都访问不了,这时候超级管理员就来了。
四、RBAC类的几个重要的方法
authenticate($map,$model=”)方法 传入查询用户的条件和用户表的MODEL 返回数组包含用户的信息
saveAccessList($authId=null)方法 传入用户的ID 此方法不返回值,只是设置 $_SESSION['_ACCESS_LIST']的值,其中包含了所有该用户对应的用户组的有权限操作的所有节点 $_SESSION['_ACCESS_LIST']['项目名']['模块名']['操作名'],以后判断权限就是判断当前项目,模块和操作是否在 $_SESSION['_ACCESS_LIST']中能找到。s
checkAccess() 方法 检测当前模块和操作是否需要验证 返回bool类型
checkLogin()方法 检测登录
AccessDecision($appName=APP_NAME) 方法 就是检测当前项目模块操作 是否在$_SESSION['_ACCESS_LIST']数组中,也就是说 在 $_SESSION['_ACCESS_LIST'] 数组中$_SESSION['_ACCESS_LIST']['当前操作']['当前模块']['当前操作']是否存在。如果存在表示有权限 否则返回flase。
getAccessList($authId) 方法 通过查询数据库 返回权限列表 $_SESSION['_ACCESS_LIST']的值了。
在定义了这几项之后,就可以调用RBAC类中的方法了,这些方法的声明及解释如下:
1.
static public function authenticate($map,$model='')
根据map中指定的条件查询“用户模型”,返回符合条件的数据。其实就是M(User)->where($map)->find()。
2.
static function saveAccessList($authId=null)
检测当前用户的所有权限,并将这些拥有的权限保存在$_SESSION['_ACCESS_LIST']中,不返回任何东西。开销很大,是对RBAC::getAccessList的默认参数封装。
3.
static function getRecordAccessList($authId=null,$module='')
检测当前用户在当前模块中所拥有的权限,并将这些权限返回。开销很大,是对getModuleAccessList的默认参数封装。
4.
static function checkAccess()
检查当前操作是否需要认证,需要认证则返回true,不需要则返回false.
5.
static public function checkLogin()
检查用户是否登录。如果没有登录,则尝试进行“游客”登录;如果没有开启以游客身份登录,则跳转到认证网关。登录成功将返回true。
6.
static public function AccessDecision($appName=APP_NAME)
权限认证的过滤器方法,检查当前操作是否被允许,返回bool值。
7.
static public function getAccessList($authId)
取得指定用户的权限列表。
8.
static public function getModuleAccessList($authId,$module)
取得指定用户、指定模块的权限列表。
认证的过程。
RBAC.Class.php中有若干函数,其中我们新手直接打交道的却只有一下几个:
authenticate() saveAccessList() checkLogin() AccessDecision()
1、检查系统是否开启认证功能C('USER_AUTH_ON')
2、检查当前操作是否需要认证
3、如果当前操作需要认证,检查当前用户是否具有权限。if(有),啥也不做。
4、if(没有),检查原因。如果是因为没有登录,跳转至登录页面。如果是没有权限,报错。
这4步就完成了用户的认证,其中 AccessDecision()就搞定了前三步!
而checkLogin()负责第4步中检查浏览器是否登录。
首先我们需要在要认证模块中加入一下代码
protected function _initialize(){
Import ( 'ORG.Util.RBAC' );
if (! RBAC::AccessDecision ())//未通过认证
{
// 登录检查 RBAC::checkLogin();
// 提示错误信息 无权限
$this->error ( L ( '_VALID_ACCESS_' ) );
}
}
目的就是告诉程序,在未通过认证的时候,需要怎么做。
另外,我们需要在用户输入用户名和密码的时候检测一下用户是否输入的正确,这个东东也就是所谓的认证网关。
名称在config.php中用'USER_AUTH_GATEWAY'定义。
我的代码如下所示:
//生成认证条件 //生成认证条件
$map = array();
$map['account'] = $_POST['account'];
$map["status"] = array('gt', 0);
import('ORG.Util.RBAC');
$authInfo = RBAC: :authenticate($map);
//使用用户名、密码和状态的方式进行认证
if (false === $authInfo) {
$this - >error('帐号不存在或已禁用!');
} else {
if ($authInfo['password'] != md5($_POST['password'])) {
$this - >error('密码错误!');
}
$_SESSION[C('USER_AUTH_KEY')] = $authInfo['id'];
if ($authInfo['account'] == 'admin') {
$_SESSION[C('ADMIN_AUTH_KEY')] = true;
}
// 缓存访问权限
RBAC: :saveAccessList();
$this - >success('登录成功!');
好了,这样一个完整的RBAC认证就完成了
当然了,你或许还需要一个完整的用户/权限管理系统。
如果你把以上基本原理搞明白,那个就很容易明白了,具体可以参考官方的RBAC示例。
里边不过是对user role role_user node access这几个表做“增删改查”操作,并不涉及基本的RBAC操作
浙公网安备 33010602011771号