作为一个基于B/S的管理系统,什么用户能执行什么操作,确实是一个头大的问题,很有幸在组长的带领下,涉足了RBAC(Role-Based Access Control),肯定要Mark一下的,(以下内容需要thinkphp框架的相关知识)
No.1 数据库的设计(只摘取相关部分)
用户表:记录用户信息,包括用户名、密码、描述等信息(已省略)
角色表:记录系统的角色,例如:管理员、领导、员工等
节点表:所谓的节点,是URL的一部分,每一个页面都是一个个节点拼接起来的。此处的pid该节点的上一个节点,利用pid,可以用一个个节点拼接处每一个页面的URL。thinkphp框架中,分为模块名与方法名,例如:http://localhost/app/index.php/User/login。User为模块名,存储为一个节点;login为方法名,存储为一个节点。至于之前的http://localhost/app/index.php为thinkphp的入口地址,不需要记录。(thinkphp内容可参考http://www.thinkphp.cn/document/155.html)
中间还有两张关联表,用于记录关联关系。
No.2 利用“继承扩展模型”与“_initialize()”,检测角色与节点的权限
继承扩展模型:详见http://doc.thinkphp.cn/manual/model_extend.html
_initialize():系统Action类提供了一个初始化方法_initialize接口,可以用于扩展需要,_initialize方法会在所有操作方法调用之前首先执行。
我们把需要验证权限的模块,都扩展一个AccessManagerAction模型,此模型中编写一个_initialize方法,在此方法中:
1、获得待访问的URL,在thinkphp中即使获得http://localhost/app/index.php/User/login中User+login
2、获得用户的角色
3、进行URL与角色的检测,返回可以访问或者不可以访问的信息
AccessManagerAction中的函数如下:
- public function _initialize()
- {
- $node = MODULE_NAME.ACTION_NAME ;//获得待访问的模块名与操作方法名
- $role = session('RoleId');//获得用户的角色
- if($this->roleAccessFlow($node,$role)) //检测函数
- true;//echo "——验证通过";
- else
- $this->error('没有权限');
- }
- public function roleAccessFlow($node='null',$role='null')
- {
- $result =false;
- $action = str_replace("Action","",__CLASS__);
- $nodestatus = -1;
- //$nodestatus 与node表的ifdatapermit字段关联。
- //有2种情况,$nodestatus=-1,节点不在节点表。$nodestatus=0,在节点表
- //检查是否管理员,是则return true,不是则下一步
- if ($this->checkSessionAdmin())
- {
- //echo "管理员不需要验证";
- $result = true;
- }
- //检查该node是否在节点表中,如果没在说明不需要验证,return true,如果是则进行下一步
- else
- {
- //echo "非管理员用户。";
- $nodestatus = $this->NodeInList($node);//检查该node是否在节点表函数
- if($nodestatus == -1)
- {
- //echo "该节点不在列表中,不需要验证。";
- $result = true;
- }
- else if($nodestatus ==0)
- {
- // echo "该节点需要验证";
- $result = $this->checkRoleNodeAccess($node,$role);
- //checkRoleNodeAccess针对用户的role和node节点的信息进行mapping
- }
- }
- return $result ;
- }
