auth类的阅读
TP3.2 Auth权限验证
一、概念
1.数据库表
- 用户组表 : think_auth_group
- id 主键
- title 用户组中文名称
- rules 用户组拥有的规则id, 多个规则","隔开
- status 状态:为1正常,为0禁用
- 规则表 think_auth_rule
- id:主键,
- name:规则唯一标识, (eg:Admin/Index/index)
- title:规则中文名称
- status 状态:为1正常,为0禁用,
- condition:规则表达式,为空表示存在就验证,不为空表示按照条件验证
- 用户和用户组关系表 think_auth_group_acces
- uid:用户id,
- group_id:用户组id
- 管理员表(member)
- id
- username
- password
2. 类的特性说明
-
- 规则 不是节点,规则是事先定义好的,必须遵守。auth的验证规则就是验证
模块/控制器/方法 比如:Admin/Index/index
-
- 节点一般对应一个方法
比如 add edit
-
- 是对规则进行认证,不是对节点进行认证。
用户可以把节点当作规则名称实现对节点进行认证。
- 是对规则进行认证,不是对节点进行认证。
验证方法:check()
单条规则验证
$auth=new Auth();
$auth->check('规则名称','用户id')
-
- 可以同时对多条规则进行认证,并设置多条规则的关系(or或者and)
多条规则验证
$auth=new Auth();
$auth->check('规则1,规则2','用户id','and')
第三个参数为and时表示,用户需要同时具有规则1和规则2的权限。
当第三个参数为or时,表示用户值需要具备其中一个条件即可。默认为or
3.表的关系
-
权限的 id保存在 用户组的rules字段,逗号分隔
-
用户组 和用户关系 使用了中间表 auth_group_acces
二. 代码说明
1.默认配置
//默认配置
protected $_config = array(
'AUTH_ON' => true, // 认证开关
'AUTH_TYPE' => 1, // 认证方式,1为实时认证;2为登录认证。
'AUTH_GROUP' => 'auth_group', // 用户组数据表名
'AUTH_GROUP_ACCESS' => 'auth_group_access', // 用户-用户组关系表
'AUTH_RULE' => 'auth_rule', // 权限规则表
'AUTH_USER' => 'member' // 用户信息表
);
-
定义用到的四张表的表名
-
定义认证的开关
-
定义认证的方法
1为实时认证;2为登录认证 ,
时时验证就是每次更改就更新session,登陆验证就是登陆的时候读取一次session
2.构造方法
public function __construct() {
$prefix = C('DB_PREFIX');
$this->_config['AUTH_GROUP'] = $prefix.$this->_config['AUTH_GROUP'];
$this->_config['AUTH_RULE'] = $prefix.$this->_config['AUTH_RULE'];
$this->_config['AUTH_USER'] = $prefix.$this->_config['AUTH_USER'];
$this->_config['AUTH_GROUP_ACCESS'] = $prefix.$this->_config['AUTH_GROUP_ACCESS'];
if (C('AUTH_CONFIG')) {
//可设置配置项 AUTH_CONFIG, 此配置项为数组。
$this->_config = array_merge($this->_config, C('AUTH_CONFIG'));
}
}
- 读取默前缀 $prefix = C('DB_PREFIX');
- 拼接四张表
- 合并用户配置和默认配置 array_merge
3. 验证方法 check
/**
* 检查权限
* @param name string|array 需要验证的规则列表,支持逗号分隔的权限规则或索引数组
* @param uid int 认证用户的id
* @param string mode 执行check的模式
* @param relation string 如果为 'or' 表示满足任一条规则即通过验证;如果为 'and'则表示需满足所有规则才能通过验证
* @return boolean 通过验证返回true;失败返回false
*/
public function check($name, $uid, $type=1, $mode='url', $relation='or') {
if (!$this->_config['AUTH_ON'])
return true;
$authList = $this->getAuthList($uid,$type); //获取用户需要验证的所有有效规则列表
if (is_string($name)) {
$name = strtolower($name);
if (strpos($name, ',') !== false) {
$name = explode(',', $name);
} else {
$name = array($name);
}
}
$list = array(); //保存验证通过的规则名
if ($mode=='url') {
$REQUEST = unserialize( strtolower(serialize($_REQUEST)) );
}
foreach ( $authList as $auth ) {
$query = preg_replace('/^.+\?/U','',$auth);
if ($mode=='url' && $query!=$auth ) {
parse_str($query,$param); //解析规则中的param
$intersect = array_intersect_assoc($REQUEST,$param);
$auth = preg_replace('/\?.*$/U','',$auth);
if ( in_array($auth,$name) && $intersect==$param ) { //如果节点相符且url参数满足
$list[] = $auth ;
}
}else if (in_array($auth , $name)){
$list[] = $auth ;
}
}
if ($relation == 'or' and !empty($list)) {
return true;
}
$diff = array_diff($name, $list);
if ($relation == 'and' and empty($diff)) {
return true;
}
return false;
}
-
传入验证 规则和用户id
-
返回true或false 通过返回true,失败返回false
4. 传入用户id 获得 用户组 Id
/**
* 根据用户id获取用户组,返回值为数组
* @param uid int 用户id
* @return array 用户所属的用户组 array(
* array('uid'=>'用户id','group_id'=>'用户组id','title'=>'用户组名称','rules'=>'用户组拥有的规则id,多个,号隔开'),
* ...)
*/
public function getGroups($uid) {
static $groups = array();
if (isset($groups[$uid]))
return $groups[$uid];
$user_groups = M()
->table($this->_config['AUTH_GROUP_ACCESS'] . ' a')
->where("a.uid='$uid' and g.status='1'")
->join($this->_config['AUTH_GROUP']." g on a.group_id=g.id")
->field('uid,group_id,title,rules')->select();
$groups[$uid]=$user_groups?:array();
return $groups[$uid];
}
/**
5. 传入 用户id获得 权限列表
/**
* 获得权限列表
* @param integer $uid 用户id
* @param integer $type
*/
protected function getAuthList($uid,$type) {
static $_authList = array(); //保存用户验证通过的权限列表
$t = implode(',',(array)$type);
if (isset($_authList[$uid.$t])) {
return $_authList[$uid.$t];
}
if( $this->_config['AUTH_TYPE']==2 && isset($_SESSION['_AUTH_LIST_'.$uid.$t])){
return $_SESSION['_AUTH_LIST_'.$uid.$t];
}
//读取用户所属用户组
$groups = $this->getGroups($uid);
$ids = array();//保存用户所属用户组设置的所有权限规则id
foreach ($groups as $g) {
$ids = array_merge($ids, explode(',', trim($g['rules'], ',')));
}
$ids = array_unique($ids);
if (empty($ids)) {
$_authList[$uid.$t] = array();
return array();
}
$map=array(
'id'=>array('in',$ids),
'type'=>$type,
'status'=>1,
);
//读取用户组所有权限规则
$rules = M()->table($this->_config['AUTH_RULE'])->where($map)->field('condition,name')->select();
//循环规则,判断结果。
$authList = array(); //
foreach ($rules as $rule) {
if (!empty($rule['condition'])) { //根据condition进行验证
$user = $this->getUserInfo($uid);//获取用户信息,一维数组
$command = preg_replace('/\{(\w*?)\}/', '$user[\'\\1\']', $rule['condition']);
//dump($command);//debug
@(eval('$condition=(' . $command . ');'));
if ($condition) {
$authList[] = strtolower($rule['name']);
}
} else {
//只要存在就记录
$authList[] = strtolower($rule['name']);
}
}
$_authList[$uid.$t] = $authList;
if($this->_config['AUTH_TYPE']==2){
//规则列表结果保存到session
$_SESSION['_AUTH_LIST_'.$uid.$t]=$authList;
}
return array_unique($authList);
}
- 这个方法调用了获取用户组方法
- 注意去重
6.获得用户信息的方法
···
/**
* 获得用户资料,根据自己的情况读取数据库
*/
protected function getUserInfo($uid) {
static $userinfo=array();
if(!isset($userinfo[$uid])){
$userinfo[$uid]=M()->where(array('uid'=>$uid))->table($this->_config['AUTH_USER'])->find();
}
return $userinfo[$uid];
}
···
1.查询用户表
三 、重点说明
- 验证规则 需要变为小写strtolower
- 注意去重 array_unique
- 代码中没有融入 超级管理的判断 ,我们调用 check() 跳过就行
四.验证方法
authcheck()
namespace Admin\Controller;
use Think\Controller;
Class CommonController extends Controller{
public function _initialize(){
if(!isset($_SESSION['uid'])){
redirect(U('Login/index'));
}
//权限验证
$name=MODULE_NAME.'/'.CONTROLLER_NAME.'/'.ACTION_NAME;
// var_dump(authcheck($name,$_SESSION['uid']));
if(!authcheck($name,$_SESSION['uid'])){
$this->error('没有权限!');
}
}
}
定义函数去验证
/**
* 函数库
*/
/**
* 检查权限
* @param name string|array 需要验证的规则列表,支持逗号分隔的权限规则或索引数组
* @param uid int 认证用户的id
* @param string mode 执行check的模式
* @param relation string 如果为 'or' 表示满足任一条规则即通过验证;如果为 'and'则表示需满足所有规则才能通过验证
* @return boolean 通过验证返回true;失败返回false
*/
function authcheck($name, $uid, $type=1, $mode='url', $relation='or'){
if(!in_array($uid,C('ADMINISTRATOR'))){
$auth=new \Think\Auth();
return $auth->check($name, $uid, $type, $mode, $relation)?true:false;
}else{
return true;
}
}
浙公网安备 33010602011771号