作為一個基于B/S的管理系統,什么用戶能執行什么操作,確實是一個頭大的問題,很有幸在組長的帶領下,涉足了RBAC(Role-Based Access Control),肯定要Mark一下的,(以下內容需要thinkphp框架的相關知識)
No.1 數據庫的設計(只摘取相關部分)
用戶表:記錄用戶信息,包括用戶名、密碼、描述等信息(已省略)
角色表:記錄系統的角色,例如:管理員、領導、員工等
節點表:所謂的節點,是URL的一部分,每一個頁面都是一個個節點拼接起來的。此處的pid該節點的上一個節點,利用pid,可以用一個個節點拼接處每一個頁面的URL。thinkphp框架中,分為模塊名與方法名,例如:http://localhost/app/index.php/User/login。User為模塊名,存儲為一個節點;login為方法名,存儲為一個節點。至于之前的http://localhost/app/index.php為thinkphp的入口地址,不需要記錄。(thinkphp內容可參考http://www.thinkphp.cn/document/155.html)
中間還有兩張關聯表,用于記錄關聯關系。
No.2 利用“繼承擴展模型”與“_initialize()”,檢測角色與節點的權限
繼承擴展模型:詳見http://doc.thinkphp.cn/manual/model_extend.html
_initialize():系統Action類提供了一個初始化方法_initialize接口,可以用于擴展需要,_initialize方法會在所有操作方法調用之前首先執行。
我們把需要驗證權限的模塊,都擴展一個AccessManagerAction模型,此模型中編寫一個_initialize方法,在此方法中:
1、獲得待訪問的URL,在thinkphp中即使獲得http://localhost/app/index.php/User/login中User+login
2、獲得用戶的角色
3、進行URL與角色的檢測,返回可以訪問或者不可以訪問的信息
AccessManagerAction中的函數如下:
- public function _initialize()
- {
- $node = MODULE_NAME.ACTION_NAME ;//獲得待訪問的模塊名與操作方法名
- $role = session('RoleId');//獲得用戶的角色
- if($this->roleAccessFlow($node,$role)) //檢測函數
- true;//echo "——驗證通過";
- else
- $this->error('沒有權限');
- }
- public function roleAccessFlow($node='null',$role='null')
- {
- $result =false;
- $action = str_replace("Action","",__CLASS__);
- $nodestatus = -1;
- //$nodestatus 與node表的ifdatapermit字段關聯。
- //有2種情況,$nodestatus=-1,節點不在節點表。$nodestatus=0,在節點表
- //檢查是否管理員,是則return true,不是則下一步
- if ($this->checkSessionAdmin())
- {
- //echo "管理員不需要驗證";
- $result = true;
- }
- //檢查該node是否在節點表中,如果沒在說明不需要驗證,return true,如果是則進行下一步
- else
- {
- //echo "非管理員用戶。";
- $nodestatus = $this->NodeInList($node);//檢查該node是否在節點表函數
- if($nodestatus == -1)
- {
- //echo "該節點不在列表中,不需要驗證。";
- $result = true;
- }
- else if($nodestatus ==0)
- {
- // echo "該節點需要驗證";
- $result = $this->checkRoleNodeAccess($node,$role);
- //checkRoleNodeAccess針對用戶的role和node節點的信息進行mapping
- }
- }
- return $result ;
- }
新聞熱點
疑難解答
圖片精選
