thinkphp 比RBAC更好的權限認證方式（Auth類認證）

Auth 類已經在ThinkPHP代碼倉庫中存在好久了，可是由於一直沒有出過它的教程， 不多人知道它， 它其實比RBAC更方便 。 
RBAC是按節點進行認證的，若是要控制比節點更細的權限就有點困難了，好比頁面上面的操做按鈕， 我想判斷用戶權限來顯示這個按鈕， 若是沒有權限就不會顯示這個按鈕； 再好比我想按積分進行權限認證， 積分在0-100時能幹什麼， 在101-200時能幹什麼。 這些權限認證用RABC都很困難。 

 

下面介紹 Auth權限認證， 它幾乎是全能的， 除了能進行節點認證， 上面說的RABC很難認證的兩種狀況，它都能實現。 
 Auth權限認證是按規則進行認證。我先說說它的原理。 在數據庫中咱們有 規則表（think_auth_rule） ,用戶組表(think_auth_group), 用戶組明顯表（think_auth_group_access）
咱們在規則表中定義權限規則 ， 在用戶組表中定義每一個用戶組有哪些權限規則，在用戶組明顯表中 定義用戶所屬的用戶組。 下面舉例說明。 
咱們要判斷用戶是否有顯示一個操做按鈕的權限， 首先定義一個規則， 在規則表中添加一個名爲 show_button 的規則。 而後在用戶組表添加一個用戶組，定義這個用戶組有show_button 的權限規則（think_auth_group表中rules字段存得時規則ID，多個以逗號隔開）， 而後在用戶組明細表定義 UID 爲1 的用戶 屬於剛纔這個的這個用戶組。 
ok，表數據定義好後， 判斷權限很簡單

 import('ORG.Util.Auth');//加載類庫
    $auth=new Auth();
    if($auth->check('show_button',1)){// 第一個參數是規則名稱,第二個參數是用戶UID
     //有顯示操做按鈕的權限
   }else{
     //沒有顯示操做按鈕的權限
   }

Auth類一樣能夠作像RBAC同樣的對節點進行認證。 咱們只要將規則名稱，定義爲節點名稱就好了。 
和RABC同樣 在公共控制器CommonAction 中定義_initialize 方法，

1 <?php
2 class CommonAction extends Action{
3     public function _initialize(){
4        import('ORG.Util.Auth');//加載類庫
5        $auth=new Auth();
6        if(!$auth->check(MODULE_NAME.'-'.ACTION_NAME,session('uid'))){
7             $this->error('你沒有權限');
8        }
9     }

這時候咱們能夠在數據庫中添加的節點規則， 格式爲： 「控制器名稱-方法名稱」

Auth 類 還能夠多個規則一塊兒認證 如： 

 

$auth->check('rule1,rule2',uid); 

表示 認證用戶只要有rule1的權限或rule2的權限，只要有一個規則的權限，認證返回結果就爲true 即認證經過。 默認多個權限的關係是 「or」 關係，也就是說多個權限中，只要有個權限經過則經過。 咱們也能夠定義爲 「and」 關係

1. 1 $auth->check('rule1,rule2',uid,'and'); 

    

 

第三個參數指定爲"and" 表示多個規則以and關係進行認證， 這時候多個規則同時經過認證 纔有權限。只要一個規則沒有權限則就會返回false。

Auth認證，一個用戶能夠屬於多個用戶組。 好比咱們對 show_button這個規則進行認證， 用戶A 同時屬於 用戶組1 和用戶組2 兩個用戶組 ， 用戶組1 沒有show_button 規則權限， 但若是用戶組2 有show_button 規則權限，則同樣會權限認證經過。 

1. 1      $auth->getGroups(uid)
   2     

    

 

經過上面代碼，能夠得到用戶所屬的全部用戶組，方便咱們在網站上面顯示。

Auth類還能夠按用戶屬性進行判斷權限， 好比 按照用戶積分進行判斷， 假設咱們的用戶表 (think_members) 有字段 score 記錄了用戶積分。 
我在規則表添加規則時，定義規則表的condition 字段，condition字段是規則條件， 默認爲空 表示沒有附加條件， 用戶組中只有規則 就經過認證。 若是定義了 condition字段， 用戶組中有規則 不必定能經過認證， 程序還會判斷是否知足 附加條件。 好比咱們添加幾條規則： 
name字段： grade1 , condition字段： {score}<100 
name字段： grade2, condition字段： {score}>100 and {score}<200
name 字段: grade3, condition字段 : {score}>200 and {score}<300

這裏 {score} 表示 think_members 表 中字段 score的值。 

那麼這時候 
$auth->check('grade1',uid) 是判斷用戶積分是否是0-100
$auth->check('grade2',uid) 判斷用戶積分是否是在100-200
$auth->check('grade3',uid) 判斷用戶積分是否是在200-300

Auth 類認證的使用方法 大體如上，是否有點相見恨晚的感受？ 

----------------------------------------------------

在使用Auth類前須要配置config.php

1. 1 'AUTH_CONFIG'=>array(
   2         'AUTH_ON' => true, //認證開關
   3         'AUTH_TYPE' => 1, // 認證方式，1爲時時認證；2爲登陸認證。
   4         'AUTH_GROUP' => 'think_auth_group', //用戶組數據表名
   5         'AUTH_GROUP_ACCESS' => 'think_auth_group_access', //用戶組明細表
   6         'AUTH_RULE' => 'think_auth_rule', //權限規則表
   7         'AUTH_USER' => 'think_members'//用戶信息表
   8     )

    

 

須要導入數據庫

1.  1 -- ----------------------------
    2 -- think_auth_rule，規則表，
    3 -- id:主鍵，name：規則惟一標識, title：規則中文名稱 status 狀態：爲1正常，爲0禁用，condition：規則表達式，爲空表示存在就驗證，不爲空表示按照條件驗證
    4 -- ----------------------------
    5  DROP TABLE IF EXISTS `think_auth_rule`;
    6 CREATE TABLE `think_auth_rule` (  
    7     `id` mediumint(8) unsigned NOT NULL AUTO_INCREMENT,  
    8     `name` char(80) NOT NULL DEFAULT '',  
    9     `title` char(20) NOT NULL DEFAULT '',  
   10     `status` tinyint(1) NOT NULL DEFAULT '1',  
   11     `condition` char(100) NOT NULL DEFAULT '',  
   12     PRIMARY KEY (`id`),  
   13     UNIQUE KEY `name` (`name`)
   14 ) ENGINE=MyISAM  DEFAULT CHARSET=utf8;
   15 -- ----------------------------
   16 -- think_auth_group 用戶組表， 
   17 -- id：主鍵， title:用戶組中文名稱， rules：用戶組擁有的規則id， 多個規則","隔開，status 狀態：爲1正常，爲0禁用
   18 -- ----------------------------
   19  DROP TABLE IF EXISTS `think_auth_group`;
   20 CREATE TABLE `think_auth_group` ( 
   21     `id` mediumint(8) unsigned NOT NULL AUTO_INCREMENT, 
   22     `title` char(100) NOT NULL DEFAULT '', 
   23     `status` tinyint(1) NOT NULL DEFAULT '1', 
   24     `rules` char(80) NOT NULL DEFAULT '', 
   25     PRIMARY KEY (`id`)
   26 ) ENGINE=MyISAM  DEFAULT CHARSET=utf8;
   27 -- ----------------------------
   28 -- think_auth_group_access 用戶組明細表
   29 -- uid:用戶id，group_id：用戶組id
   30 -- ----------------------------
   31 DROP TABLE IF EXISTS `think_auth_group_access`;
   32 CREATE TABLE `think_auth_group_access` (  
   33     `uid` mediumint(8) unsigned NOT NULL,  
   34     `group_id` mediumint(8) unsigned NOT NULL, 
   35     UNIQUE KEY `uid_group_id` (`uid`,`group_id`),  
   36     KEY `uid` (`uid`), 
   37     KEY `group_id` (`group_id`)
   38 ) ENGINE=MyISAM DEFAULT CHARSET=utf8;