比RBAC更好的權限認證方式(Auth類認證)

原創 adam2002 2018-08-22 09:07
Auth 類已經在ThinkPHP代碼倉庫中存在很久了,但是因爲一直沒有出過它的教程, 很少人知道它, 它其實比RBAC更方便 。
RBAC是按節點進行認證的,如果要控制比節點更細的權限就有點困難了,比如頁面上面的操作按鈕, 我想判斷用戶權限來顯示這個按鈕, 如果沒有權限就不會顯示這個按鈕; 再比如我想按積分進行權限認證, 積分在0-100時能幹什麼, 在101-200時能幹什麼。 這些權限認證用RABC都很困難。
下面介紹 Auth權限認證, 它幾乎是全能的, 除了能進行節點認證, 上面說的RABC很難認證的兩種情況,它都能實現。
Auth權限認證是按規則進行認證。我先說說它的原理。 在數據庫中我們有 規則表(think_auth_rule) ,用戶組表(think_auth_group), 用戶組明顯表(think_auth_group_access)
我們在規則表中定義權限規則 , 在用戶組表中定義每個用戶組有哪些權限規則,在用戶組明顯表中 定義用戶所屬的用戶組。 下面舉例說明。
我們要判斷用戶是否有顯示一個操作按鈕的權限, 首先定義一個規則, 在規則表中添加一個名爲 show_button 的規則。 然後在用戶組表添加一個用戶組,定義這個用戶組有show_button 的權限規則(think_auth_group表中rules字段存得時規則ID,多個以逗號隔開), 然後在用戶組明細表定義 UID 爲1 的用戶 屬於剛纔這個的這個用戶組。
ok,表數據定義好後, 判斷權限很簡單
  1.     import('ORG.Util.Auth');//加載類庫
  2.     $auth=new Auth();
  3.     if($auth->check('show_button',1)){// 第一個參數是規則名稱,第二個參數是用戶UID
  4.      //有顯示操作按鈕的權限
  5.    }else{
  6.      //沒有顯示操作按鈕的權限
  7.    }
複製代碼
Auth類同樣可以做像RBAC一樣的對節點進行認證。 我們只要將規則名稱,定義爲節點名稱就行了。
和RABC一樣 在公共控制器CommonAction 中定義_initialize 方法,
  1. <?php
  2. class CommonAction extends Action{
  3.     public function _initialize(){
  4.        import('ORG.Util.Auth');//加載類庫
  5.        $auth=new Auth();
  6.        if(!$auth->check(MODULE_NAME.'-'.ACTION_NAME,session('uid'))){
  7.             $this->error('你沒有權限');
  8.        }
  9.     }
  10. }
複製代碼
這時候我們可以在數據庫中添加的節點規則, 格式爲: “控制器名稱-方法名稱”

Auth 類 還可以多個規則一起認證 如:
  1.  $auth->check('rule1,rule2',uid); 
複製代碼
表示 認證用戶只要有rule1的權限或rule2的權限,只要有一個規則的權限,認證返回結果就爲true 即認證通過。 默認多個權限的關係是 “or” 關係,也就是說多個權限中,只要有個權限通過則通過。 我們也可以定義爲 “and” 關係
  1. $auth->check('rule1,rule2',uid,'and'); 
複製代碼
第三個參數指定爲"and" 表示多個規則以and關係進行認證, 這時候多個規則同時通過認證 纔有權限。只要一個規則沒有權限則就會返回false。

Auth認證,一個用戶可以屬於多個用戶組。 比如我們對 show_button這個規則進行認證, 用戶A 同時屬於 用戶組1 和用戶組2 兩個用戶組 , 用戶組1 沒有show_button 規則權限, 但如果用戶組2 有show_button 規則權限,則一樣會權限認證通過。
  1.      $auth->getGroups(uid)
  2.     
複製代碼
通過上面代碼,可以獲得用戶所屬的所有用戶組,方便我們在網站上面顯示。

Auth類還可以按用戶屬性進行判斷權限, 比如 按照用戶積分進行判斷, 假設我們的用戶表 (think_members) 有字段 score 記錄了用戶積分。
我在規則表添加規則時,定義規則表的condition 字段,condition字段是規則條件, 默認爲空 表示沒有附加條件, 用戶組中只有規則 就通過認證。 如果定義了 condition字段, 用戶組中有規則 不一定能通過認證, 程序還會判斷是否滿足 附加條件。 比如我們添加幾條規則:
name字段: grade1 , condition字段: {score}<100
name字段: grade2, condition字段: {score}>100 and {score}<200
name 字段: grade3, condition字段 : {score}>200 and {score}<300

這裏 {score} 表示 think_members 表 中字段 score的值。

那麼這時候
$auth->check('grade1',uid) 是判斷用戶積分是不是0-100
$auth->check('grade2',uid) 判斷用戶積分是不是在100-200
$auth->check('grade3',uid) 判斷用戶積分是不是在200-300

Auth 類認證的使用方法 大致如上,是否有點相見恨晚的感覺?

----------------------------------------------------

在使用Auth類前需要配置config.php
  1. 'AUTH_CONFIG'=>array(
  2.         'AUTH_ON' => true, //認證開關
  3.         'AUTH_TYPE' => 1, // 認證方式,1爲時時認證;2爲登錄認證。
  4.         'AUTH_GROUP' => 'think_auth_group', //用戶組數據表名
  5.         'AUTH_GROUP_ACCESS' => 'think_auth_group_access', //用戶組明細表
  6.         'AUTH_RULE' => 'think_auth_rule', //權限規則表
  7.         'AUTH_USER' => 'think_members'//用戶信息表
  8.     )
複製代碼
需要導入數據庫
  1. -- ----------------------------
  2. -- think_auth_rule,規則表,
  3. -- id:主鍵,name:規則唯一標識, title:規則中文名稱 status 狀態:爲1正常,爲0禁用,condition:規則表達式,爲空表示存在就驗證,不爲空表示按照條件驗證
  4. -- ----------------------------
  5.  DROP TABLE IF EXISTS `think_auth_rule`;
  6. CREATE TABLE `think_auth_rule` (  
  7.     `id` mediumint(8) unsigned NOT NULL AUTO_INCREMENT,  
  8.     `name` char(80) NOT NULL DEFAULT '',  
  9.     `title` char(20) NOT NULL DEFAULT '',  
  10.     `status` tinyint(1) NOT NULL DEFAULT '1',  
  11.     `condition` char(100) NOT NULL DEFAULT '',  
  12.     PRIMARY KEY (`id`),  
  13.     UNIQUE KEY `name` (`name`)
  14. ) ENGINE=MyISAM  DEFAULT CHARSET=utf8;
  15. -- ----------------------------
  16. -- think_auth_group 用戶組表, 
  17. -- id:主鍵, title:用戶組中文名稱, rules:用戶組擁有的規則id 多個規則","隔開,status 狀態:爲1正常,爲0禁用
  18. -- ----------------------------
  19.  DROP TABLE IF EXISTS `think_auth_group`;
  20. CREATE TABLE `think_auth_group` ( 
  21.     `id` mediumint(8) unsigned NOT NULL AUTO_INCREMENT, 
  22.     `title` char(100) NOT NULL DEFAULT '', 
  23.     `status` tinyint(1) NOT NULL DEFAULT '1', 
  24.     `rules` char(80) NOT NULL DEFAULT '', 
  25.     PRIMARY KEY (`id`)
  26. ) ENGINE=MyISAM  DEFAULT CHARSET=utf8;
  27. -- ----------------------------
  28. -- think_auth_group_access 用戶組明細表
  29. -- uid:用戶idgroup_id:用戶組id
  30. -- ----------------------------
  31. DROP TABLE IF EXISTS `think_auth_group_access`;
  32. CREATE TABLE `think_auth_group_access` (  
  33.     `uid` mediumint(8) unsigned NOT NULL,  
  34.     `group_id` mediumint(8) unsigned NOT NULL, 
  35.     UNIQUE KEY `uid_group_id` (`uid`,`group_id`),  
  36.     KEY `uid` (`uid`), 
  37.     KEY `group_id` (`group_id`)
  38. ) ENGINE=MyISAM DEFAULT CHARSET=utf8;
複製代碼
最後需要下載Auth類文件到你的項目中,大家可以下載我上傳的附件, Auth類在ThinkPHP代碼倉庫中的位置在: https://github.com/liu21st/extend/blob/master/Extend/Library/ORG/Util/Auth.class.php

【目前Auth認證還沒用示例, 歡迎廣大TPer 貢獻示例!!!】
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

thinkphp 自動驗證學習

Erik8928 2019-02-22 17:45:55

源碼分析(五)—配置篇

瀟塵淵 2019-02-23 15:22:46

後端_PHP

SoapEye 2019-02-23 09:55:43

ThinkPHP3.0入門筆記【4】(2012-9-10)

JL_liuning 2019-02-22 23:59:56

ThinkPHP3.0入門筆記【3】(2012-9-4)

JL_liuning 2019-02-22 23:59:56

總結thinkphp快捷查詢getBy、getField、getFieldBy用法及場景

帥白123 2019-02-22 23:43:24

thinkphp集成系列之短信驗證碼、訂單通知

帥白123 2019-02-22 23:43:24

thinkphp集成系列之rbac的升級版auth權限管理系統demo

帥白123 2019-02-22 23:43:24

thinkphp3.2 home爲默認模塊,在url裏面隱藏掉home

x舊傷 2019-02-22 23:21:27

PHP app 喚起支付寶支付 獲取鏈接【項目實例】

pansw113 2019-02-22 23:13:02

thinkphp 分頁中間省略號實現【親測好使】

pansw113 2019-02-22 23:13:00

exception 'phpmailerException' 解決方法

ppabc 2019-02-22 21:37:03

thinkphp3.2 開發環境搭建

陽光熱點 2019-02-22 21:32:23

懂得鉤子Hook以及在Thinkphp下利用鉤子使用行爲擴展

295218761 2019-02-22 20:41:15

thinkphp實現登錄後返回原界面

記憶不寒涼 2019-02-22 19:49:47