許可權系統模塊對於互聯網產品是一個非常重要的功能,可以控制不同的角色合理的訪問不同的資源從而達到安全訪問的作用
許可權控制有哪些模型
- ACL
- RBAC 基於角色的訪問控制
從上圖我們可以看出,ACL是用戶和許可權直接關係的,而RBAC則是通過角色間接關聯用戶和許可權的。所以我們注意到角色是RBAC系統的一個重要屬性。
什麼是RBAC模型
RBAC(Role-Based Access Control,基於角色的訪問控制),就是用戶通過角色與許可權進行關聯。簡單地說,一個用戶擁有若干角色,每一個角色擁有若干許可權。這樣,就構造成「用戶-角色-許可權」的授權模型。在這種模型中,用戶與角色之間,角色與許可權之間,一般者是多對多的關係。
為什麼要選擇RBAC模型
原因如下:
- 方便用戶分組
- 方便許可權分配和回收
- 擴展方便,可以滿足大部分業務需求
這些也就是我們在說許可權管理前,應該先知道許可權管理要有功能。
RBAC模型的關係圖
圖中有重要的RBAC模型5大屬性,分別是:
1 用戶屬性(張三、李四、王五)
2 角色屬性(銷售經理、銷售、前台)
3 用戶與角色的關係(張三 是 銷售經理 、李四 王五 是 銷售)
4 許可權(添加客戶、編輯客戶、刪除客戶,查看客戶)
5 許可權與角色的關係(銷售 擁有 查看客戶的 權 限、銷售經理可以 查看/添加/刪除/編輯客戶的)
一個RBAC許可權模塊,必然要實現三個功能
- 用戶管理
用戶列表添加用戶編輯用戶設置用戶角色 - 角色管理 角色列表
添加角色編輯角色設置角色許可權 - 許可權管理
許可權列表新增許可權編輯許可權
如圖所示
數據表設計
用戶表
CREATE TABLE `user` ( `id` int(11) unsigned NOT NULL AUTO_INCREMENT, `name` varchar(20) NOT NULL DEFAULT '' COMMENT '姓名', `email` varchar(30) NOT NULL DEFAULT '' COMMENT '郵箱', `is_admin` tinyint(1) NOT NULL DEFAULT '0' COMMENT '是否是超級管理員 1表示是 0 表示不是', `status` tinyint(1) NOT NULL DEFAULT '1' COMMENT '狀態 1:有效 0:無效', `updated_time` timestamp NOT NULL DEFAULT '0000-00-00 00:00:00' COMMENT '最後一次更新時間', `created_time` timestamp NOT NULL DEFAULT '0000-00-00 00:00:00' COMMENT '插入時間', PRIMARY KEY (`id`), KEY `idx_email` (`email`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用戶表';
角色表
CREATE TABLE `role` ( `id` int(11) unsigned NOT NULL AUTO_INCREMENT, `name` varchar(50) NOT NULL DEFAULT '' COMMENT '角色名稱', `status` tinyint(1) NOT NULL DEFAULT '1' COMMENT '狀態 1:有效 0:無效', `updated_time` timestamp NOT NULL DEFAULT '0000-00-00 00:00:00' COMMENT '最後一次更新時間', `created_time` timestamp NOT NULL DEFAULT '0000-00-00 00:00:00' COMMENT '插入時間', PRIMARY KEY (`id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色表';
用戶角色表
CREATE TABLE `user_role` ( `id` int(11) unsigned NOT NULL AUTO_INCREMENT, `uid` int(11) NOT NULL DEFAULT '0' COMMENT '用戶id', `role_id` int(11) NOT NULL DEFAULT '0' COMMENT '角色ID', `created_time` timestamp NOT NULL DEFAULT '0000-00-00 00:00:00' COMMENT '插入時間', PRIMARY KEY (`id`), KEY `idx_uid` (`uid`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用戶角色表';
許可權詳情表
CREATE TABLE `access` ( `id` int(11) unsigned NOT NULL AUTO_INCREMENT, `title` varchar(50) NOT NULL DEFAULT '' COMMENT '許可權名稱', `urls` varchar(1000) NOT NULL DEFAULT '' COMMENT 'json 數組', `status` tinyint(1) NOT NULL DEFAULT '1' COMMENT '狀態 1:有效 0:無效', `updated_time` timestamp NOT NULL DEFAULT '0000-00-00 00:00:00' COMMENT '最後一次更新時間', `created_time` timestamp NOT NULL DEFAULT '0000-00-00 00:00:00' COMMENT '插入時間', PRIMARY KEY (`id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='許可權詳情表';
角色許可權表
CREATE TABLE `role_access` ( `id` int(11) unsigned NOT NULL AUTO_INCREMENT, `role_id` int(11) NOT NULL DEFAULT '0' COMMENT '角色id', `access_id` int(11) NOT NULL DEFAULT '0' COMMENT '許可權id', `created_time` timestamp NOT NULL DEFAULT '0000-00-00 00:00:00' COMMENT '插入時間', PRIMARY KEY (`id`), KEY `idx_role_id` (`role_id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色許可權表';
用戶操作記錄表
CREATE TABLE `app_access_log` ( `id` int(11) NOT NULL AUTO_INCREMENT, `uid` bigint(20) NOT NULL DEFAULT '0' COMMENT '品牌UID', `target_url` varchar(255) NOT NULL DEFAULT '' COMMENT '訪問的url', `query_params` longtext NOT NULL COMMENT 'get和post參數', `ua` varchar(255) NOT NULL DEFAULT '' COMMENT '訪問ua', `ip` varchar(32) NOT NULL DEFAULT '' COMMENT '訪問ip', `note` varchar(1000) NOT NULL DEFAULT '' COMMENT 'json格式備註欄位', `created_time` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP, PRIMARY KEY (`id`), KEY `idx_uid` (`uid`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用戶操作記錄表';
代碼實現
本系統所有頁面都是需要登錄之後才能訪問的, 在框架中加入統一驗證方法
public function beforeAction($action) {
$login_status = $this->checkLoginStatus();
if ( !$login_status && !in_array( $action->uniqueId,$this->allowAllAction ) ) {
if(Yii::$app->request->isAjax){
$this->renderJSON([],"未登錄,請返回用戶中心",-302);
}else{
$this->redirect( UrlService::buildUrl("/user/login") );//返回到登錄頁面
}
return false;
}
//保存所有的訪問到資料庫當中
$get_params = $this->get( null );
$post_params = $this->post( null );
$model_log = new AppAccessLog();
$model_log->uid = $this->current_user?$this->current_user['id']:0;
$model_log->target_url = isset( $_SERVER['REQUEST_URI'] )?$_SERVER['REQUEST_URI']:'';
$model_log->query_params = json_encode( array_merge( $post_params,$get_params ) );
$model_log->ua = isset( $_SERVER['HTTP_USER_AGENT'] )?$_SERVER['HTTP_USER_AGENT']:'';
$model_log->ip = isset( $_SERVER['REMOTE_ADDR'] )?$_SERVER['REMOTE_ADDR']:'';
$model_log->created_time = date("Y-m-d H:i:s");
$model_log->save( 0 );
/**
* 判斷許可權的邏輯是
* 取出當前登錄用戶的所屬角色,
* 在通過角色 取出 所屬 許可權關係
* 在許可權表中取出所有的許可權鏈接
* 判斷當前訪問的鏈接 是否在 所擁有的許可權列表中
*/
//判斷當前訪問的鏈接 是否在 所擁有的許可權列表中
if( !$this->checkPrivilege( $action->getUniqueId() ) ){
$this->redirect( UrlService::buildUrl( "/error/forbidden" ) );
return false;
}
return true;
}
檢查是否有訪問指定鏈接的許可權
public function checkPrivilege( $url ){
//如果是超級管理員 也不需要許可權判斷
if( $this->current_user && $this->current_user['is_admin'] ){
return true;
}
//有一些頁面是不需要進行許可權判斷的
if( in_array( $url,$this->ignore_url ) ){
return true;
}
return in_array( $url, $this->getRolePrivilege( ) );
}
獲取某用戶的所有許可權,取出指定用戶的所屬角色, 在通過角色取出所屬許可權關係,在許可權表中取出所有的許可權鏈接
public function getRolePrivilege($uid = 0){
if( !$uid && $this->current_user ){
$uid = $this->current_user->id;
}
if( !$this->privilege_urls ){
$role_ids = UserRole::find()->where([ 'uid' => $uid ])->select('role_id')->asArray()->column();
if( $role_ids ){
//在通過角色 取出 所屬 許可權關係
$access_ids = RoleAccess::find()->where([ 'role_id' => $role_ids ])->select('access_id')->asArray()->column();
//在許可權表中取出所有的許可權鏈接
$list = Access::find()->where([ 'id' => $access_ids ])->all();
if( $list ){
foreach( $list as $_item ){
$tmp_urls = @json_decode( $_item['urls'],true );
$this->privilege_urls = array_merge( $this->privilege_urls,$tmp_urls );
}
}
}
}
return $this->privilege_urls ;
}
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/274064.html
微信掃一掃 
支付寶掃一掃 