RBAC(Role-Based Access Control,基于角色的访问控制),用户通过角色与权限进行关联。
一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。
RBAC 支持三个著名的安全原则:最小权限原则,责任分离原则和数据抽象原则。
用户:软件的使用者,凡是使用到该软件的都可以定义成用户,它应该有一些基本信息。
用户组:就是为角色的大体类,除非一个系统角色很多,否则一般不会用到用户组。
角色:软件使用者的身份,一定数量的权限的集合,权限的载体。
权限:对某一个资源是否有浏览的权利,或者对某一个数据是否有操作的权利。
根据上述概念与RBAC模型设计相关数据表:
DROP DATABASE IF EXISTS `php_rbac`; CREATE DATABASE `php_rbac` DEFAULT CHARSET UTF8; USE `php_rbac`; DROP TABLE IF EXISTS `users`; CREATE TABLE `users`( `user_id` int unsigned not null auto_increment comment '用户ID', `user_name` varchar(150) not null comment '登录用户名', `user_pwd` varchar(150) not null comment '登录密码', primary key(`user_id`), unique key(`user_name`) )ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户表' AUTO_INCREMENT=1; DROP TABLE IF EXISTS `roles`; CREATE TABLE `roles`( `role_id` int unsigned not null auto_increment comment '角色ID', `role_name` varchar(100) not null comment '角色名', `role_desc` varchar(200) not null default '' comment '角色描述', primary key(`role_id`), unique key(`role_name`) )ENGINE=InnoDB CHARSET=utf8 COMMENT='角色表' AUTO_INCREMENT=1; DROP TABLE IF EXISTS `permissions`; CREATE TABLE `permissions`( `per_id` int unsigned not null auto_increment comment '权限ID', `per_name` varchar(100) not null default '' comment '权限名', `per_desc` varchar(200) not null default '' comment '权限描述', primary key(`per_id`), unique key(`per_name`) )ENGINE=InnoDB CHARSET=utf8 COMMENT='权限表' AUTO_INCREMENT=1; DROP TABLE IF EXISTS `role_user`; CREATE TABLE `role_user`( `user_id` int unsigned not null, `role_id` int unsigned not null, foreign key(`user_id`) references `users`(`user_id`), foreign key(`role_id`) references `roles`(`role_id`) )ENGINE=InnoDB CHARSET=utf8 COMMENT='用户与角色关联表' AUTO_INCREMENT=1; DROP TABLE IF EXISTS `permission_role`; CREATE TABLE `permission_role`( `per_id` int unsigned not null, `role_id` int unsigned not null, foreign key(`per_id`) references `permissions`(`per_id`), foreign key(`role_id`) references `roles`(`role_id`) )ENGINE=InnoDB CHARSET=utf8 COMMENT='角色与权限关联表' AUTO_INCREMENT=1;
1).实现用户选择界面
admin.php:
<?php //admin.php require 'Medoo.php'; $database = new Medoo([ 'database_type' => 'mysql', 'database_name' => 'php_rbac', 'server' => 'localhost', 'username' => 'root', 'password' => '123456', 'charset' => 'utf8', 'port' => 3306, 'option' => [ PDO::ATTR_CASE => PDO::CASE_NATURAL ] ]); $users = $database->query("SELECT user_id,user_name FROM users")->fetchAll(PDO::FETCH_ASSOC); $roles = $database->query("SELECT role_id,role_name FROM roles")->fetchAll(PDO::FETCH_ASSOC); ?> <html> <head> <title></title> <script type="text/javascript" src="jquery-2.0.3.min.js"></script> </head> <body> <div> <span>选择用户: </span> <select name="" id="uid"> <option value="0">选择用户</option> <?php foreach($users as $user):?> <option value="<?php echo $user['user_id'];?>"> <?php echo $user['user_name']; ?> </option> <?php endforeach;?> </select> </div> <div> <span>选择角色:</span> <div id="role"> <?php foreach($roles as $role):?> <input type="checkbox" name="roles" value="<?php echo $role['role_id']; ?>" /><?php echo $role['role_name'];?> <?php endforeach;?> </div> </div> <div> <input type="button" value="保存" id="save" /> </div> <script type="text/javascript"> $(document).ready(function(){ //选择用户 $('#uid').change(function(){ var uid = $(this).val(); $.ajax({ type: 'POST', dataType: 'JSON', data: {uid:uid}, url: 'admin_cl.php', success: function (data) { var ck = $('input[name=roles]'); ck.prop('checked',false); for(var i = 0;i < ck.length;i++) { var cur = ck.eq(i).val(); if($.inArray(cur,data) >= 0) { ck.eq(i).prop("checked",true); } } }, error: function (XMLHttpRequest) { } }); }); //保存 $("#save").click(function(){ var uid = $("#uid").val() var ck = $('input[name=roles]'); var roles = new Array(); for(var i=0;i<ck.length;i++) { if(ck.eq(i).prop("checked")) { roles.push(ck.eq(i).val()); } } $.ajax({ url:"admin_cl2.php", data:{uid:uid,roles:roles}, type:"POST", dataType:"JSON", success: function(data){ if(data.res.trim() == "ok") { alert("保存成功!"); } } }); }) }); </script> </body> </html>
admin_cl.php:
<?php //admin_cl.php header('Content-Type: application/json'); require 'Medoo.php'; $database = new Medoo([ 'database_type' => 'mysql', 'database_name' => 'php_rbac', 'server' => 'localhost', 'username' => 'root', 'password' => '123456', 'charset' => 'utf8', 'port' => 3306, 'option' => [ PDO::ATTR_CASE => PDO::CASE_NATURAL ] ]); $uid = $_POST['uid'] ?? ''; $users = $database->query("SELECT role_id FROM role_user WHERE user_id = {$uid}")->fetchAll(PDO::FETCH_ASSOC); $list = []; foreach($users as $user){ array_push($list,$user['role_id']); } exit(json_encode($list));
admin_cl2.php:
<?php //admin_cl2.php header('Content-Type: application/json'); require 'Medoo.php'; $database = new Medoo([ 'database_type' => 'mysql', 'database_name' => 'php_rbac', 'server' => 'localhost', 'username' => 'root', 'password' => '123456', 'charset' => 'utf8', 'port' => 3306, 'option' => [ PDO::ATTR_CASE => PDO::CASE_NATURAL ] ]); $uid = $_POST['uid'] ?? ''; $roles = $_POST['roles'] ?? ''; $list = []; foreach ($roles as $key => $role) { $list[$key]['user_id'] = $uid; $list[$key]['role_id'] = $role; } $database->delete('role_user',[ 'user_id' => $uid ]); $last_user_id = $database->insert("role_user", $list); exit(json_encode(['res' => 'ok']));
实现效果
login.php:
<!--login.php--> <html> <head> <title></title> <script type="text/javascript" src="jquery-2.0.3.min.js"></script> </head> <body> <h1>用户登录</h1> <div>账号:<input type="text" id="user-name" /></div> <div>密码:<input type="password" id="password" /></div> <div><input type="button" value="登录" id="btn" /></div> <script type="text/javascript"> $(document).ready(function () { $("#btn").click(function(){ var user_name = $("#user-name").val(); var password = $("#password").val(); $.ajax({ url:"login_cl.php", data:{user_name:user_name,password:password}, type:"POST", dataType:"JSON", success: function(data) { if(data.res.trim()=="ok") { window.location.href="main.php"; } else { alert("用户名密码输入错误"); } } }) }) }); </script> </body> </html>
login_cl.php:
<?php //login_cl.php header('Content-Type: application/json'); session_start(); require 'Medoo.php'; $database = new Medoo([ 'database_type' => 'mysql', 'database_name' => 'php_rbac', 'server' => 'localhost', 'username' => 'root', 'password' => '123456', 'charset' => 'utf8', 'port' => 3306, 'option' => [ PDO::ATTR_CASE => PDO::CASE_NATURAL ] ]); $user_name = $_POST['user_name'] ?? ''; $password = $_POST['password'] ?? ''; $user = $database->get("users", ['user_id','user_name','user_pwd'],[ "AND" => [ "user_name" => $user_name, "user_pwd" => md5($password) ] ]); if(!empty($user) && md5($password) == $user['user_pwd']){ $_SESSION['user'] = ['user_id' => $user['user_id'],'user_name' => $user['user_name']]; exit(json_encode(['res' => 'ok'])); } exit(json_encode(['res' => '']));
实现效果:
<?php session_start(); if(!isset($_SESSION['user']) || empty($_SESSION['user'])){ header('Location:login.php'); }else{ $user = $_SESSION['user']; echo '欢迎登录 ',$user['user_name']; } require 'Medoo.php'; $database = new Medoo([ 'database_type' => 'mysql', 'database_name' => 'php_rbac', 'server' => 'localhost', 'username' => 'root', 'password' => '123456', 'charset' => 'utf8', 'port' => 3306, 'option' => [ PDO::ATTR_CASE => PDO::CASE_NATURAL ] ]); $roles = $database->query("select * from permissions where per_id in (select per_id from permission_role where role_id in (SELECT role_id from role_user where user_id = {$user['user_id']}))")->fetchAll(PDO::FETCH_ASSOC); echo '<pre>';print_r($roles);die;
基本的RBAC就简易的实现了,实际项目中会略为复杂些。
角色是什么?可以理解为一定数量的权限的集合,权限的载体。
例如:一个论坛系统,“超级管理员”、“版主”都是角色。版主可管理版内的帖子、可管理版内的用户等,这些是权限。要给某个用户授予这些权限,不需要直接将权限授予用户,可将“版主”这个角色赋予该用户。
当用户的数量非常大时,要给系统每个用户逐一授权(授角色),是件非常烦琐的事情。这时,就需要给用户分组,每个用户组内有多个用户。除了可给用户授权外,还可以给用户组授权。这样一来,用户拥有的所有权限,就是用户个人拥有的权限与该用户所在用户组拥有的权限之和。
在应用系统中,权限表现成什么?
对功能模块的操作,对上传文件的删改,菜单的访问,甚至页面上某个按钮、某个图片的可见性控制,都可属于权限的范畴。
有些权限设计,会把功能操作作为一类,而把文件、菜单、页面元素等作为另一类,这样构成“用户-角色-权限-资源”的授权模型。而在做数据表建模时,可把功能操作和资源统一管理,也就是都直接与权限表进行关联,这样可能更具便捷性和易扩展性。
权限表中有一列“权限类型”,我们根据它的取值来区分是哪一类权限,如“MENU”表示菜单的访问权限、“OPERATION”表示功能模块的操作权限、“FILE”表示文件的修改权限、“ELEMENT”表示页面元素的可见性控制等。
这样设计的好处有二。其一,不需要区分哪些是权限操作,哪些是资源,(实际上,有时候也不好区分,如菜单,把它理解为资源呢还是功能模块权限呢?)。其二,方便扩展,当系统要对新的东西进行权限控制时,我只需要建立一个新的关联表“权限XX关联表”,并确定这类权限的权限类型字符串。
注意:权限表与权限菜单关联表、权限菜单关联表与菜单表都是一对一的关系。(文件、页面权限点、功能操作等同理)。也就是每添加一个菜单,就得同时往这三个表中各插入一条记录。这样,可以不需要权限菜单关联表,让权限表与菜单表直接关联,此时,须在权限表中新增一列用来保存菜单的ID,权限表通过“权限类型”和这个ID来区分是种类型下的哪条记录。
随着系统的日益庞大,为了方便管理,可引入角色组对角色进行分类管理,跟用户组不同,角色组不参与授权。例如:某电网系统的权限管理模块中,角色就是挂在区局下,而区局在这里可当作角色组,它不参于权限分配。另外,为方便上面各主表自身的管理与查找,可采用树型结构,如菜单树、功能树等,当然这些可不需要参于权限分配。
具体使用还是要根据具体的业务来做出调整!
转载于:https://my.oschina.net/programs/blog/1648205