基於RESTful API 設計用戶權限控制
RESTful簡述
本文是基於RESTful描述的,須要你對這個有初步的瞭解。 RESTful是什麼? Representational State Transfer,簡稱REST,是Roy Fielding博士在2000年他的博士論文中提出來的一種軟件架構風格。 REST比較重要的點是資源和狀態轉換, 所謂"資源",就是網絡上的一個實體,或者說是網絡上的一個具體信息。它能夠是一段文本、一張圖片、一首歌曲、一種服務,總之就是一個具體的實在。 而 「狀態轉換」,則是把對應的HTTP協議裏面,四個表示操做方式的動詞分別對應四種基本操做:javascript
- GET,用來瀏覽(browse)資源
- POST,用來新建(create)資源
- PUT,用來更新(update)資源
- DELETE,用來刪除(delete)資源
-
資源的分類及操做
清楚了資源的概念,而後再來對資源進行一下分類,我把資源分爲下面三類:php
- 私人資源 (Personal Source)
- 角色資源 (Roles Source)
- 公共資源 (Public Source)
-
「私人資源」:是屬於某一個用戶全部的資源,只有用戶本人才能操做,其餘用戶不能操做。例如用戶的我的信息、訂單、收貨地址等等。 「角色資源」:與私人資源不一樣,角色資源範疇更大,一個角色能夠對應多我的,也就是一羣人。若是給某角色分配了權限,那麼只有身爲該角色的用戶才能擁有這些權限。例如系統資源只可以管理員操做,通常用戶不能操做。 「公共資源」:全部人不管角色都可以訪問並操做的資源。css
而對資源的操做,無非就是分爲四種:html
- 瀏覽 (browse)
- 新增 (create)
- 更新 (update)
- 刪除 (delete)
角色、用戶、權限之間的關係
角色和用戶的概念,自不用多說,你們都懂,可是權限的概念須要提一提。
「權限」,就是資源與操做的一套組合,例如"增長用戶"是一種權限,"刪除用戶"是一種權限,因此對於一種資源所對應的權限有且只有四種。java - 角色與用戶的關係:一個角色對應一羣用戶,一個用戶也能夠扮演多個角色,因此它們是多對多的關係。
角色與權限的關係:一個角色擁有一堆權限,一個權限卻只能屬於一個角色,因此它們是一(角色)對多(權限)的關係
權限與用戶的關係:因爲一個用戶能夠扮演多個角色,一個角色擁有多個權限,因此用戶與權限是間接的多對多關係。 -
須要注意兩種特別狀況:git
- 私人資源與用戶的關係,一種私人資源對應的四種權限只能屬於一個用戶,因此這種狀況下,用戶和權限是一(用戶)對多(權限)的關係。
- 超級管理員的角色,這個角色是神通常的存在,能無視一切阻礙,對全部資源擁有絕對權限,甭管你是私人資源仍是角色資源。
數據庫表的設計
角色、用戶、權限的模型應該怎麼樣設計,才能知足它們之間的關係?程序員
-
對上圖的一些關鍵字段進行說明:github
Source
- name: 資源的名稱,也就是其餘模型的名稱,例如:user、role等等。
- identity: 資源的惟一標識,能夠像uuid,shortid這些字符串,也能夠是model的名稱。
- permissions : 一種資源對應有四種權限,分別對這種資源的browse、create、update、delete
Permission
- source : 該權限對應的資源,也就是Source的某一條記錄的惟一標識
- action :對應資源的操做,只能是browse、create、update、delete四個之一
- relation:用來標記該權限是屬於私人的,仍是角色的,用於OwnerPolicy檢測
- roles: 擁有該權限的角色
Role
- users : 角色所對應的用戶羣,一個角色能夠對應多個用戶
- permissions: 權限列表,一個角色擁有多項權利
User
- createBy : 該記錄的擁有者,在user標裏,通常等於該記錄的惟一標識,這一屬性用於OwnerPolicy的檢測,其餘私有資源的模型設計,也須要加上這一字段來標識資源的擁有者。
- roles : 用戶所擁有的角色
策略/過濾器
在sails下稱爲策略(Policy),在java SSH下稱爲過濾器(Filter),不管名稱如何,他們工做原理是大同小異的,主要是在一條HTTP請求訪問一個Controller下的action以前進行檢測。因此在這一層,咱們能夠自定義一些策略/過濾器來實現權限控制。
爲行文方便,下面姑且容許我使用策略這一詞。web** 策略 (Policy) **thinkphp
下面排版順序對應Policy的運行順序
- SessionAuthPolicy:
檢測用戶是否已經登陸,用戶登陸是進行下面檢測的前提。 - SourcePolicy:
檢測訪問的資源是否存在,主要檢測Source表的記錄 - PermissionPolicy:
檢測該用戶所屬的角色,是否有對所訪問資源進行對應操做的權限。 - OwnerPolicy:
若是所訪問的資源屬於私人資源,則檢測當前用戶是否該資源的擁有者。
若是經過全部policy的檢測,則把請求轉發到目標action。
Sails下的權限控制實現
在Sails下,有一個很方便的套件sails-permissions,集成了一套權限管理的方案,本文也是基於該套件的源碼所引出來的權限管理解決方案。
結語
對程序員最大的挑戰,並非可否掌握了哪些編程語言,哪些軟件框架,而是對業務和需求的理解,而後在此基礎上,把要點抽象出來,寫成計算機能理解的語言。
最後,但願這篇文章,可以幫助你對權限管理這一課題增長多一點點理解。- 附上thinkphp restful類庫 幫助理解 驗證方式什麼的這裏面沒有 須要本身寫
-
<?php // +---------------------------------------------------------------------- // | ThinkPHP [ WE CAN DO IT JUST THINK IT ] // +---------------------------------------------------------------------- // | Copyright (c) 2006-2014 http://thinkphp.cn All rights reserved. // +---------------------------------------------------------------------- // | Licensed ( http://www.apache.org/licenses/LICENSE-2.0 ) // +---------------------------------------------------------------------- // | Author: liu21st <liu21st@gmail.com> // +---------------------------------------------------------------------- namespace Think\Controller; use Think\Controller; /** * ThinkPHP REST控制器類 */ class RestController extends Controller { // 當前請求類型 protected $_method = ''; // 當前請求的資源類型 protected $_type = ''; // REST容許的請求類型列表 protected $allowMethod = array('get','post','put','delete'); // REST默認請求類型 protected $defaultMethod = 'get'; // REST容許請求的資源類型列表 protected $allowType = array('html','xml','json','rss'); // 默認的資源類型 protected $defaultType = 'html'; // REST容許輸出的資源類型列表 protected $allowOutputType= array( 'xml' => 'application/xml', 'json' => 'application/json', 'html' => 'text/html', ); /** * 架構函數 * @access public */ public function __construct() { // 資源類型檢測 if(''==__EXT__) { // 自動檢測資源類型 $this->_type = $this->getAcceptType(); }elseif(!in_array(__EXT__,$this->allowType)) { // 資源類型非法 則用默認資源類型訪問 $this->_type = $this->defaultType; }else{ // 檢測實際資源類型 $this->_type = $this->getAcceptType() == __EXT__ ? __EXT__ : $this->defaultType; } // 請求方式檢測 $method = strtolower(REQUEST_METHOD); if(!in_array($method,$this->allowMethod)) { // 請求方式非法 則用默認請求方法 $method = $this->defaultMethod; } $this->_method = $method; parent::__construct(); } /** * 魔術方法 有不存在的操做的時候執行 * @access public * @param string $method 方法名 * @param array $args 參數 * @return mixed */ public function __call($method,$args) { if( 0 === strcasecmp($method,ACTION_NAME.C('ACTION_SUFFIX'))) { if(method_exists($this,$method.'_'.$this->_method.'_'.$this->_type)) { // RESTFul方法支持 $fun = $method.'_'.$this->_method.'_'.$this->_type; $this->$fun(); }elseif($this->_method == $this->defaultMethod && method_exists($this,$method.'_'.$this->_type) ){ $fun = $method.'_'.$this->_type; $this->$fun(); }elseif($this->_type == $this->defaultType && method_exists($this,$method.'_'.$this->_method) ){ $fun = $method.'_'.$this->_method; $this->$fun(); }elseif(method_exists($this,'_empty')) { // 若是定義了_empty操做 則調用 $this->_empty($method,$args); }elseif(file_exists_case($this->view->parseTemplate())){ // 檢查是否存在默認模版 若是有直接輸出模版 $this->display(); }else{ E(L('_ERROR_ACTION_').':'.ACTION_NAME); } } } /** * 獲取當前請求的Accept頭信息 * @return string */ protected function getAcceptType(){ $type = array( 'html' => 'text/html,application/xhtml+xml,*/*', 'xml' => 'application/xml,text/xml,application/x-xml', 'json' => 'application/json,text/x-json,application/jsonrequest,text/json', 'js' => 'text/javascript,application/javascript,application/x-javascript', 'css' => 'text/css', 'rss' => 'application/rss+xml', 'yaml' => 'application/x-yaml,text/yaml', 'atom' => 'application/atom+xml', 'pdf' => 'application/pdf', 'text' => 'text/plain', 'png' => 'image/png', 'jpg' => 'image/jpg,image/jpeg,image/pjpeg', 'gif' => 'image/gif', 'csv' => 'text/csv' ); foreach($type as $key=>$val){ $array = explode(',',$val); foreach($array as $k=>$v){ if(stristr($_SERVER['HTTP_ACCEPT'], $v)) { return $key; } } } return false; } // 發送Http狀態信息 protected function sendHttpStatus($code) { static $_status = array( // Informational 1xx 100 => 'Continue', 101 => 'Switching Protocols', // Success 2xx 200 => 'OK', 201 => 'Created', 202 => 'Accepted', 203 => 'Non-Authoritative Information', 204 => 'No Content', 205 => 'Reset Content', 206 => 'Partial Content', // Redirection 3xx 300 => 'Multiple Choices', 301 => 'Moved Permanently', 302 => 'Moved Temporarily ', // 1.1 303 => 'See Other', 304 => 'Not Modified', 305 => 'Use Proxy', // 306 is deprecated but reserved 307 => 'Temporary Redirect', // Client Error 4xx 400 => 'Bad Request', 401 => 'Unauthorized', 402 => 'Payment Required', 403 => 'Forbidden', 404 => 'Not Found', 405 => 'Method Not Allowed', 406 => 'Not Acceptable', 407 => 'Proxy Authentication Required', 408 => 'Request Timeout', 409 => 'Conflict', 410 => 'Gone', 411 => 'Length Required', 412 => 'Precondition Failed', 413 => 'Request Entity Too Large', 414 => 'Request-URI Too Long', 415 => 'Unsupported Media Type', 416 => 'Requested Range Not Satisfiable', 417 => 'Expectation Failed', // Server Error 5xx 500 => 'Internal Server Error', 501 => 'Not Implemented', 502 => 'Bad Gateway', 503 => 'Service Unavailable', 504 => 'Gateway Timeout', 505 => 'HTTP Version Not Supported', 509 => 'Bandwidth Limit Exceeded' ); if(isset($_status[$code])) { header('HTTP/1.1 '.$code.' '.$_status[$code]); // 確保FastCGI模式下正常 header('Status:'.$code.' '.$_status[$code]); } } /** * 編碼數據 * @access protected * @param mixed $data 要返回的數據 * @param String $type 返回類型 JSON XML * @return string */ protected function encodeData($data,$type='') { if(empty($data)) return ''; if('json' == $type) { // 返回JSON數據格式到客戶端 包含狀態信息 $data = json_encode($data); }elseif('xml' == $type){ // 返回xml格式數據 $data = xml_encode($data); }elseif('php'==$type){ $data = serialize($data); }// 默認直接輸出 $this->setContentType($type); //header('Content-Length: ' . strlen($data)); return $data; } /** * 設置頁面輸出的CONTENT_TYPE和編碼 * @access public * @param string $type content_type 類型對應的擴展名 * @param string $charset 頁面輸出編碼 * @return void */ public function setContentType($type, $charset=''){ if(headers_sent()) return; if(empty($charset)) $charset = C('DEFAULT_CHARSET'); $type = strtolower($type); if(isset($this->allowOutputType[$type])) //過濾content_type header('Content-Type: '.$this->allowOutputType[$type].'; charset='.$charset); } /** * 輸出返回數據 * @access protected * @param mixed $data 要返回的數據 * @param String $type 返回類型 JSON XML * @param integer $code HTTP狀態 * @return void */ protected function response($data,$type='',$code=200) { $this->sendHttpStatus($code); exit($this->encodeData($data,strtolower($type))); } }
相關文章
- 1. 基於RESTful API 怎麼設計用戶權限控制?
- 2. 基於RESTful API 設計用戶權限控制
- 3. restful api 權限設計 - 初探一
- 4. RBAC 權限控制設計
- 5. 系統權限控制設計001---RBAC用戶角色權限設計方案
- 6. Restful 接口權限控制
- 7. mongodb 用戶權限控制
- 8. RESTFul架構權限設計
- 9. Django用戶權限控制
- 10. 控制用戶權限
- 更多相關文章...
- • MySQL刪除用戶權限(REVOKE) - MySQL教程
- • MySQL用戶授權(GRANT) - MySQL教程
- • ☆基於Java Instrument的Agent實現
- • Docker容器實戰(六) - 容器的隔離與限制
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 安裝cuda+cuDNN
- 2. GitHub的使用說明
- 3. phpDocumentor使用教程【安裝PHPDocumentor】
- 4. yarn run build報錯Component is not found in path 「npm/taro-ui/dist/weapp/components/rate/index「
- 5. 精講Haproxy搭建Web集羣
- 6. 安全測試基礎之MySQL
- 7. C/C++編程筆記:C語言中的複雜聲明分析,用實例帶你完全讀懂
- 8. Python3教程(1)----搭建Python環境
- 9. 李宏毅機器學習課程筆記2:Classification、Logistic Regression、Brief Introduction of Deep Learning
- 10. 阿里雲ECS配置速記
歡迎關注本站公眾號,獲取更多信息
相關文章