thinkPHP3.2使用RBAC實現權限管理

在thinkphp3.2中本身集成了RBAC來實現權限管理，RBAC實現類在項目中地址爲：ThinkPHP/Librar/Org/Util/Rbac.class.php，其中集成了咱們所需的權限管理操做

一：表設計

在thinkPHP的Rbac的的Rbac.class.php文件中一共提供了4張表，還有一張用戶表須要你本身去建

以下是我所建的和權限相關的sql

其中的wj_爲表前綴，改爲你項目中的表前綴

1：權限表：

CREATE TABLE IF NOT EXISTS `wj_access` (
  `role_id` SMALLINT(6) UNSIGNED NOT NULL COMMENT '角色ID',
  `node_id` SMALLINT(6) UNSIGNED NOT NULL COMMENT '節點ID',
  `level` TINYINT(1) NOT NULL COMMENT '深度',
  `module` VARCHAR(50) DEFAULT NULL COMMENT '模塊',
  KEY `groupId` (`role_id`),
  KEY `nodeId` (`node_id`)
) ENGINE=MYISAM DEFAULT CHARSET=utf8 COMMENT='權限表';

2：節點表：

CREATE TABLE IF NOT EXISTS `wj_node` (
  `id` SMALLINT(6) UNSIGNED NOT NULL AUTO_INCREMENT COMMENT '節點ID',
  `name` VARCHAR(20) NOT NULL COMMENT '節點名稱',
  `title` VARCHAR(50) DEFAULT NULL COMMENT '節點標題',
  `status` TINYINT(1) DEFAULT '0' COMMENT '狀態 0禁用 1啓用',
  `remark` VARCHAR(255) DEFAULT NULL COMMENT '描述',
  `sort` SMALLINT(6) UNSIGNED DEFAULT NULL COMMENT '排序',
  `pid` SMALLINT(6) UNSIGNED NOT NULL COMMENT '父級節點',
  `level` TINYINT(1) UNSIGNED NOT NULL COMMENT '深度',
  PRIMARY KEY (`id`),
  KEY `level` (`level`),
  KEY `pid` (`pid`),
  KEY `status` (`status`),
  KEY `name` (`name`)
) ENGINE=MYISAM  DEFAULT CHARSET=utf8 COMMENT='節點表';

3：用戶角色表：

CREATE TABLE IF NOT EXISTS `wj_role` (
  `id` SMALLINT(6) UNSIGNED NOT NULL AUTO_INCREMENT COMMENT '角色ID',
  `name` VARCHAR(20) NOT NULL COMMENT '角色名稱',
  `pid` SMALLINT(6) DEFAULT NULL '父級ID',
  `status` TINYINT(1) UNSIGNED DEFAULT NULL COMMENT '狀態 0禁用 1啓用',
  `remark` VARCHAR(255) DEFAULT NULL COMMENT '備註',
  PRIMARY KEY (`id`),
  KEY `pid` (`pid`),
  KEY `status` (`status`)
) ENGINE=MYISAM  DEFAULT CHARSET=utf8 COMMENT='用戶角色表';

4：用戶角色關聯表：

CREATE TABLE IF NOT EXISTS `wj_role_user` (
  `role_id` MEDIUMINT(9) UNSIGNED DEFAULT NULL COMMENT '角色ID',
  `user_id` CHAR(32) DEFAULT NULL COMMENT '用戶ID',
  KEY `group_id` (`role_id`),
  KEY `user_id` (`user_id`)
) ENGINE=MYISAM DEFAULT CHARSET=utf8 COMMENT='用戶角色關聯表';

5：用戶表：

CREATE TABLE IF NOT EXISTS `wj_user` (
  `user_id` INT(11) UNSIGNED NOT NULL AUTO_INCREMENT COMMENT '用戶ID',
  `username` VARCHAR(50) NOT NULL COMMENT '用戶名',
  `password` VARCHAR(100) NOT NULL COMMENT '密碼',
  `create_time` INT(10) DEFAULT NULL COMMENT '建立時間',
  `update_time` INT(10) DEFAULT NULL COMMENT '更新時間',
  `status` INT(1) DEFAULT NULL COMMENT '狀態 0禁用 1啓用',
  PRIMARY KEY (`user_id`)
) ENGINE=MYISAM DEFAULT CHARSET=utf8 COMMENT='用戶表';

二：關於權限操做的經常使用配置：

你能夠在config.php文件的數組中增長：

// 加載擴展配置文件
'LOAD_EXT_CONFIG' => 'user',

這樣的話咱們就能夠將咱們的全部權限配置放置在config.php同級的user.php文件中，user.php文件配置以下：

<?php
/**
 * 用戶權限配置文件
 */
return array(
    // 是否須要認證
    'USER_AUTH_ON' => true,
    // 認證類型 1 登陸認證 2 實時認證
    'USER_AUTH_TYPE' => 1,
    // 後臺用戶認證SESSION標記
    'USER_AUTH_KEY' => 'wjAuthId',
    // 默認認證網關
    'USER_AUTH_GATEWAY' => '?m=Admin&c=Login&a=index',
    // RBAC_DB_DSN  數據庫鏈接DSN
    // 角色表名稱,C('DB_PREFIX')表示前綴
    'RBAC_ROLE_TABLE' => C('DB_PREFIX') . 'role',
    // 用戶角色關聯表名稱
    'RBAC_USER_TABLE' => C('DB_PREFIX') . 'role_user',
    // 權限表名稱
    'RBAC_ACCESS_TABLE' => C('DB_PREFIX') . 'access',
    // 節點表名稱
    'RBAC_NODE_TABLE' => C('DB_PREFIX') . 'node',
    // 默認驗證數據表模型
    'USER_AUTH_MODEL' => 'User',
    // 超級管理員的SESSION標記
    'ADMIN_AUTH_KEY' => 'wjAdministrator',
    // 默認須要認證模塊
    'REQUIRE_AUTH_MODULE' => '',
    // 默認須要認證操做
    'REQUIRE_AUTH_ACTION' => '',
    // 默認無需認證模塊
    'NOT_AUTH_MODULE' => 'Public',
    // 默認無需認證操做
    'NOT_AUTH_ACTION' => '',
    // 是否開啓遊客受權訪問
    'GUEST_AUTH_ON' => false,
    // 遊客的用戶ID
    'GUEST_AUTH_ID' => 0,
    // 後臺用戶名的SESSION標記
    'BACK_LOGIN_NAME' => 'loginBackName',
    // 後臺角色的SESSION標記
    'BACK_USER_ROLE' => 'bakcUserRole',
    // 後臺角色ID的SESSION標記
    'BACK_ROLE_ID' => 'backRoleId',
    // 後臺用戶登陸時間的SESSION標記
    'BACK_ONLINE_TIME' => 'backOnlineTime',
    // 後臺在線間隔時間,以分鐘爲單位
    'ONLINE_INTERVAL' => 180,
    //退出登陸的URL
    'LOGOUT_URL' => '/test',
);

三：關於權限操做的經常使用方法：

1：Rbac::saveAccessList($authId=null);

緩存權限列表，在這個方法能夠傳遞空值的前提是：你在用戶登陸操做的時候要在 $_SESSION[C('USER_AUTH_KEY')] 中把用戶的id保存下來，而後這裏會將用戶所對應的角色擁有的權限都保存在$_SESSION['_ACCESS_LIST']中

2：Rbac::checkAccess()

判斷用戶訪問的模塊和方法是否須要權限認證

3：Rbac::AccessDecision()

斷用戶是否有訪問權限的，即檢測當前項目模塊操做 是否在$_SESSION['_ACCESS_LIST']數組中，也就是說 在 $_SESSION['_ACCESS_LIST'] 數組中$_SESSION'_ACCESS_LIST''當前控制器'是否存在。若是存在表示有權限 不然返回flase

4：Rbac::checkLogin();

判斷用戶是否登陸，若是未登陸則跳轉到指定路徑

5：Rbac::getAccessList($authId)

經過查詢數據庫 返回權限列表 $_SESSION['_ACCESS_LIST']的值

6：Rbac::authenticate($map, $model='')

傳入查詢用戶的條件和用戶表的MODEL 返回數組包含用戶的信息,若是不傳model值的話使用配置項中的USER_AUTH_MODEL

四：權限管理簡單實現實例：

1：登陸：

//獲取傳遞的用戶名和密碼
$username = I('post.username');
$password = I('post.password');
//生成認證條件
$map = array();
$map['username'] = $username;
$map['status'] = array('eq', 1);
//判斷是否存在此用戶
$authInfo = Rbac::authenticate($map);
if (!$authInfo) {
    $this->error('帳號不存在');
}
if ($authInfo['password'] != md5($password)) {
    $this->error('密碼錯誤');
}
$user_id = $authInfo['user_id'];
$role_user = new Model();
$role = $role_user->Table(C("RBAC_USER_TABLE"))->alias("user")->where("user_id=" . $user_id)->join(C("RBAC_ROLE_TABLE") . " as role ON role.id=user.role_id")->field("id,name")->find();
if (empty($role)) {
    $this->error('此用戶無對應的角色,沒法登陸');
}
//後臺角色ID的SESSION標記
session(C('BACK_ROLE_ID'), $role['id']);
//後臺角色的SESSION標記
session(C('BACK_USER_ROLE'), $role['name']);
//後臺用戶認證SESSION標記
session(C('USER_AUTH_KEY'), $authInfo['user_id']);
//後臺用戶名的SESSION標記
session(C('BACK_LOGIN_NAME'), $authInfo['username']);
//後臺用戶登陸時間的SESSION標記
session(C('BACK_ONLINE_TIME'), time());
//判斷用戶角色是否爲超級管理員
if ($role['id'] == '1') {
    //超級管理員將超級管理員的SESSION標記設置爲true
    session(C('ADMIN_AUTH_KEY'), true);
}
// 緩存訪問權限
Rbac::saveAccessList();
$this->success('登陸成功', U('Index/index'));

2:登陸成功後的權限校驗：

//驗證是否登陸
Rbac::checkLogin();
// 用戶權限檢查
if (Rbac::checkAccess() && !Rbac::AccessDecision()) {
    // 沒有權限 清除登陸session 並拋出錯誤
    if (C('RBAC_ERROR_PAGE')) {
        // 定義權限錯誤頁面
        redirect(C('RBAC_ERROR_PAGE'));
    } else {
        if (C('GUEST_AUTH_ON')) {
            //開啓遊客訪問
        }
        // 提示錯誤信息
        $this->error(L('_VALID_ACCESS_'));
    }
}
//自動退出功能，判斷後臺用戶登陸時間的SESSION標記是否超時
if (session(C('BACK_ONLINE_TIME')) + C('ONLINE_INTERVAL') * 60 < time()) {
    if (session('?' . C('USER_AUTH_KEY'))) {
        session('[destroy]');
        if (isset($_COOKIE[session_name()])) {
            setcookie(session_name(), '', time() - 3600, '/');
        }
        session_destroy();
    }
    $this->error('超時請從新登陸', U('Login/index'));
} else {
    session(C('BACK_ONLINE_TIME'), time());
}

根據如上就能夠實現用戶角色的權限管理