ThinkPHP5權限控制

我在用ThinkPHP5作開發的時候發現,它沒有權限類,本身寫太麻煩,因而就想到了把TP3裏面的權限類拿來修改使用,結果這種方法是可行的,下面記錄附上修改後的Auth.php權限類

  1 <?php
  2 // +----------------------------------------------------------------------
  3 // | ThinkPHP [ WE CAN DO IT JUST THINK IT ]
  4 // +----------------------------------------------------------------------
  5 // | Copyright (c) 2011 http://thinkphp.cn All rights reserved.
  6 // +----------------------------------------------------------------------
  7 // | Licensed ( http://www.apache.org/licenses/LICENSE-2.0 )
  8 // +----------------------------------------------------------------------
  9 // | Author: luofei614 <weibo.com/luofei614>　
 10 // +----------------------------------------------------------------------
 11 // 功能:權限類
 12 namespace app\admin\controller;
 13     /**
 14      * 權限認證類
 15      * 功能特性：
 16      * 1，是對規則進行認證，不是對節點進行認證。用戶能夠把節點看成規則名稱實現對節點進行認證。
 17      *      $auth=new Auth();  $auth->check('規則名稱','用戶id')
 18      * 2，能夠同時對多條規則進行認證，並設置多條規則的關係（or或者and）
 19      *      $auth=new Auth();  $auth->check('規則1,規則2','用戶id','and')
 20      *      第三個參數爲and時表示，用戶須要同時具備規則1和規則2的權限。 當第三個參數爲or時，表示用戶值須要具有其中一個條件便可。默認爲or
 21      * 3，一個用戶能夠屬於多個用戶組(think_auth_group_access表 定義了用戶所屬用戶組)。咱們須要設置每一個用戶組擁有哪些規則(think_auth_group 定義了用戶組權限)
 22      *
 23      * 4，支持規則表達式。
 24      *      在think_auth_rule 表中定義一條規則時，若是type爲1， condition字段就能夠定義規則表達式。 如定義{score}>5  and {score}<100  表示用戶的分數在5-100之間時這條規則纔會經過。
 25      */
 26 
 27 //數據庫
 28 /*
 29 -- ----------------------------
 30 -- think_auth_rule，規則表，
 31 -- id:主鍵，name：規則惟一標識, title：規則中文名稱 status 狀態：爲1正常，爲0禁用，condition：規則表達式，爲空表示存在就驗證，不爲空表示按照條件驗證
 32 -- ----------------------------
 33  DROP TABLE IF EXISTS `think_auth_rule`;
 34 CREATE TABLE `think_auth_rule` (
 35     `id` mediumint(8) unsigned NOT NULL AUTO_INCREMENT,
 36     `name` char(80) NOT NULL DEFAULT '',
 37     `title` char(20) NOT NULL DEFAULT '',
 38     `type` tinyint(1) NOT NULL DEFAULT '1',
 39     `status` tinyint(1) NOT NULL DEFAULT '1',
 40     `condition` char(100) NOT NULL DEFAULT '',  # 規則附加條件,知足附加條件的規則,才認爲是有效的規則
 41     PRIMARY KEY (`id`),
 42     UNIQUE KEY `name` (`name`)
 43 ) ENGINE=MyISAM  DEFAULT CHARSET=utf8;
 44 -- ----------------------------
 45 -- think_auth_group 用戶組表，
 46 -- id：主鍵， title:用戶組中文名稱， rules：用戶組擁有的規則id， 多個規則","隔開，status 狀態：爲1正常，爲0禁用
 47 -- ----------------------------
 48  DROP TABLE IF EXISTS `think_auth_group`;
 49 CREATE TABLE `think_auth_group` (
 50     `id` mediumint(8) unsigned NOT NULL AUTO_INCREMENT,
 51     `title` char(100) NOT NULL DEFAULT '',
 52     `status` tinyint(1) NOT NULL DEFAULT '1',
 53     `rules` char(80) NOT NULL DEFAULT '',
 54     PRIMARY KEY (`id`)
 55 ) ENGINE=MyISAM  DEFAULT CHARSET=utf8;
 56 -- ----------------------------
 57 -- think_auth_group_access 用戶組明細表
 58 -- uid:用戶id，group_id：用戶組id
 59 -- ----------------------------
 60 DROP TABLE IF EXISTS `think_auth_group_access`;
 61 CREATE TABLE `think_auth_group_access` (
 62     `uid` mediumint(8) unsigned NOT NULL,
 63     `group_id` mediumint(8) unsigned NOT NULL,
 64     UNIQUE KEY `uid_group_id` (`uid`,`group_id`),
 65     KEY `uid` (`uid`),
 66     KEY `group_id` (`group_id`)
 67 ) ENGINE=MyISAM DEFAULT CHARSET=utf8;
 68  */
 69 
 70 class Auth{
 71 
 72     //默認配置
 73     protected $_config = array(
 74         'auth_on'           => true,                      // 認證開關
 75         'auth_type'         => 1,                         // 認證方式，1爲實時認證；2爲登陸認證。
 76         'auth_group'        => '__AUTH_GROUP__',        // 用戶組數據表名
 77         'auth_group_access' => 'auth_group_access', // 用戶-用戶組關係表
 78         'auth_rule'         => 'auth_rule',         // 權限規則表
 79         'auth_user'         => 'member'             // 用戶信息表
 80     );
 81 
 82     public function __construct() {
 83         $t=config('auth_config');
 84         if (config('auth_config')) {
 85             //可設置配置項 auth_config, 此配置項爲數組。
 86             $this->_config = array_merge($this->_config, config('auth_config'));
 87         }
 88     }
 89 
 90     /**
 91      * 檢查權限
 92      * @param name string|array  須要驗證的規則列表,支持逗號分隔的權限規則或索引數組
 93      * @param uid  int           認證用戶的id
 94      * @param string mode        執行check的模式
 95      * @param relation string    若是爲 'or' 表示知足任一條規則即經過驗證;若是爲 'and'則表示需知足全部規則才能經過驗證
 96      * @return boolean           經過驗證返回true;失敗返回false
 97      */
 98     public function check($name, $uid, $type=1, $mode='url', $relation='or') {
 99         if (!$this->_config['auth_on'])
100             return true;
101         $authList = $this->getAuthList($uid,$type); //獲取用戶須要驗證的全部有效規則列表
102         if (is_string($name)) {
103             $name = strtolower($name);
104             if (strpos($name, ',') !== false) {
105                 $name = explode(',', $name);
106             } else {
107                 $name = array($name);
108             }
109         }
110         $list = array(); //保存驗證經過的規則名
111         if ($mode=='url') {
112             $REQUEST = unserialize( strtolower(serialize($_REQUEST)) );
113         }
114         foreach ( $authList as $auth ) {
115             $query = preg_replace('/^.+\?/U','',$auth);
116             if ($mode=='url' && $query!=$auth ) {
117                 parse_str($query,$param); //解析規則中的param
118                 $intersect = array_intersect_assoc($REQUEST,$param);
119                 $auth = preg_replace('/\?.*$/U','',$auth);
120                 if ( in_array($auth,$name) && $intersect==$param ) {  //若是節點相符且url參數知足
121                     $list[] = $auth ;
122                 }
123             }else if (in_array($auth , $name)){
124                 $list[] = $auth ;
125             }
126         }
127         if ($relation == 'or' and !empty($list)) {
128             return true;
129         }
130         $diff = array_diff($name, $list);
131         if ($relation == 'and' and empty($diff)) {
132             return true;
133         }
134         return false;
135     }
136 
137     /**
138      * 根據用戶id獲取用戶組,返回值爲數組
139      * @param  uid int     用戶id
140      * @return array       用戶所屬的用戶組 array(
141      *     array('uid'=>'用戶id','group_id'=>'用戶組id','title'=>'用戶組名稱','rules'=>'用戶組擁有的規則id,多個,號隔開'),
142      *     ...)
143      */
144     public function getGroups($uid) {
145         static $groups = array();
146         if (isset($groups[$uid]))
147             return $groups[$uid];
148         $user_groups = \think\Db::name($this->_config['auth_group_access'])
149             ->alias('a')
150             ->join($this->_config['auth_group']." g", "g.id=a.group_id")
151             ->where("a.uid='$uid' and g.status='1'")
152             ->field('uid,group_id,title,rules')->select();
153         $groups[$uid] = $user_groups ? $user_groups : array();
154         return $groups[$uid];
155     }
156 
157     /**
158      * 得到權限列表
159      * @param integer $uid  用戶id
160      * @param integer $type
161      */
162     protected function getAuthList($uid,$type) {
163         static $_authList = array(); //保存用戶驗證經過的權限列表
164         $t = implode(',',(array)$type);
165         if (isset($_authList[$uid.$t])) {
166             return $_authList[$uid.$t];
167         }
168         if( $this->_config['auth_type']==2 && isset($_SESSION['_auth_list_'.$uid.$t])){
169             return $_SESSION['_auth_list_'.$uid.$t];
170         }
171 
172         //讀取用戶所屬用戶組
173         $groups = $this->getGroups($uid);
174         $ids = array();//保存用戶所屬用戶組設置的全部權限規則id
175         foreach ($groups as $g) {
176             $ids = array_merge($ids, explode(',', trim($g['rules'], ',')));
177         }
178         $ids = array_unique($ids);
179         if (empty($ids)) {
180             $_authList[$uid.$t] = array();
181             return array();
182         }
183 
184         $map=array(
185             'id'=>array('in',$ids),
186             'type'=>$type,
187             'status'=>1,
188         );
189         //讀取用戶組全部權限規則
190         $rules = \think\Db::name($this->_config['auth_rule'])->where($map)->field('condition,name')->select();
191 
192         //循環規則，判斷結果。
193         $authList = array();   //
194         foreach ($rules as $rule) {
195             if (!empty($rule['condition'])) { //根據condition進行驗證
196                 $user = $this->getUserInfo($uid);//獲取用戶信息,一維數組
197 
198                 $command = preg_replace('/\{(\w*?)\}/', '$user[\'\\1\']', $rule['condition']);
199                 //dump($command);//debug
200                 @(eval('$condition=(' . $command . ');'));
201                 if ($condition) {
202                     $authList[] = strtolower($rule['name']);
203                 }
204             } else {
205                 //只要存在就記錄
206                 $authList[] = strtolower($rule['name']);
207             }
208         }
209         $_authList[$uid.$t] = $authList;
210         if($this->_config['auth_type']==2){
211             //規則列表結果保存到session
212             $_SESSION['_auth_list_'.$uid.$t]=$authList;
213         }
214         return array_unique($authList);
215     }
216 
217     /**
218      * 得到用戶資料,根據本身的狀況讀取數據庫
219      */
220     protected function getUserInfo($uid) {
221         static $userinfo=array();
222         if(!isset($userinfo[$uid])){
223             $userinfo[$uid]=\think\Db::name($this->_config['auth_user'])->where(array('uid'=>$uid))->find();
224         }
225         return $userinfo[$uid];
226     }
227 
228 }

那麼有了這個類,怎麼用它呢?其實很簡單,複製註釋中的sql語句,創建三張表,而後寫一個公共的類繼承控制器類,而後在須要驗證權限的類中繼承這個公共類就好了,下面附上這個公共類Common.php

 1 <?php
 2 /**
 3  * 做者:魏安來
 4  * 功能:後臺公共類,控制後臺權限
 5  * 日期:2017/11/13
 6  */
 7 namespace app\admin\controller;
 8 use think\Controller;
 9 use think\Session;
10 use think\Request;
11 
12 class Common extends Controller {
13     
14     /**
15      * 初始化方法
16      * 功能:驗證權限
17      */
18     public function _initialize() {
19         /*判斷用戶是否有Session,沒有就退出登陸*/
20         if(!Session::get('uid')) {
21             $this->redirect('login/index');
22         }
23 
24         $request = Request::instance();
25         $auth = new Auth();
26 
27         /*************驗證權限*************/
28         $controller = $this->uncamelize(request()->controller());
29         $name = $controller.'/'.request()->action();
30         $res = $auth->check($name,Session::get('uid'));
31         //定義一個數組,放置能夠不限制權限的頁面
32         $noCheck = ['index/index','index/logout'];
33         //超級管理員不用驗證權限
34         $superadmin = $auth->getGroups(Session::get('uid'));
35         if($superadmin[0]['group_id'] != 1) {
36             if(!in_array($name,$noCheck)) {
37                 if(!$res) {
38                     $this->error('你沒有權限');
39                 }
40             }
41         }
42     }
43 
44     
45     /**
46     * 駝峯命名轉下劃線命名
47     * 思路:
48     * 小寫和大寫緊挨一塊兒的地方,加上分隔符,而後所有轉小寫
49     */
50     public function uncamelize($camelCaps,$separator='_')
51     {
52         return strtolower(preg_replace('/([a-z])([A-Z])/', "$1" . $separator . "$2", $camelCaps));
53     }
54     
55 }
56 
57 ?>

 

這樣就搞定了權限驗證了.不過原則上沒有權限不該該顯示的,上面的驗證方法能夠阻止企圖繞過權限驗證的行爲,好比直接在地址欄輸入連接訪問,因此上面應該的權限驗證應該算是隱形的防線,關於沒有權限的用戶不顯示,能夠參考下面的寫法,我就直接附上代碼了:

 1 /**
 2      * 功能:顯示菜單
 3      */
 4     public function menu() {
 5          /*獲取全部菜單*/
 6         $allmenu = \think\Db::name('menu')->where(1)->select();
 7         /*查詢二級菜單*/
 8         $res = db('menu')->where('pid','<>',0)->where('isshow','=',1)->order('sort asc')->select();
 9         $auth = new Auth();
10         $superadmin = $auth->getGroups(Session::get('uid'));
11         if($superadmin[0]['group_id'] != 1) {//超級管理員不須要驗證權限
12             foreach($allmenu as $key=>$value) {
13                 $rules[$key] = $value['controller'].'/'.$value['method'];
14             }
15             //獲取權限規則
16             $authList = $auth->getAuthList(Session::get('uid'),1);
17             //數組交集
18             $intersection = array_intersect($rules,$authList);
19             $arrtmp = array();
20             //將一維數組拼接成二維數組
21             foreach($intersection as $key=>$val){
22                 $tempArr = explode('/',$val);
23                 $arrtmp[$key]['controller'] = $tempArr[0];
24             }
25             $intersection = $arrtmp;
26             $menuArr = array();
27             //篩選符合權限的數組,從新組成左側導航菜單數據
28             foreach($allmenu as $key=>$value){
29                 foreach($intersection as $val){
30                     if(!empty(array_intersect($val,$value))){
31                         $menuArr[$key] = $value;
32                     }
33                 }
34             }
35             $allmenu = $menuArr;
36             //篩選符合權限的數組,從新組成左側導航菜單數據
37             foreach($res as $key=>$value){
38                 foreach($intersection as $val){
39                     if(!empty(array_intersect($val,$value))){
40                         $resArr[$key] = $value;
41                     }
42                 }
43             }
44             $res = $resArr;
45         }
46         $num = count($allmenu);
47         $this->view->assign('child_menu',$res);
48         $this->view->assign('num',$num);
49         $this->view->assign('allmenu',$allmenu);
50     }