一個簡易高效的Laravel的ACL權限系統實現思路

一個簡易高效的ACL權限設計系統的實現思路

要在laravel上設計一個acl權限系統，調研了一下Entrust等相關權限包，發現效率過低，對於每一次QueryPrmission、QueryRole都須要進行連表查詢，對於一個控制檯菜單來講sql量竟然上了50+，這是不能忍受的。

乾脆本身作一套簡易的user-role-permission權限結構。

思路：

1. 緩存用戶權限

2. 批量判斷權限

3. 實現權限攔截中間件

緩存權限

通常來講，除更改用戶權限邏輯代碼，其餘時候用戶的權限是不變的，因此能夠緩存用戶全部的角色和權限信息。

同時爲了提供刷新用戶權限的行爲，添加了flush permission的功能。

function cacheUserRolesAndPermissions($user_id , $flash = false){
    if ($flash){
        Cache::forget('user_r_p_' . $user_id);
        return cacheUserRolesAndPermissions($user_id , false);
    }else{
        return Cache::remember('user_r_p_' . $user_id , 60 ,function() use($user_id){
            $res = collect(DB::table('role_user')
                ->where('role_user.user_id' , $user_id)
                ->join('roles' , 'roles.id' , '=' , 'role_user.role_id')
                ->join('permission_role' , 'permission_role.role_id' , '=' ,'role_user.role_id')
                ->join('permissions' , 'permissions.id' , '=' , 'permission_role.permission_id')
                ->select(['permissions.name as p_name' , 'roles.name as r_name'])
                ->get());
            $roles = $res->pluck('r_name')->unique();
            $pers = $res->pluck('p_name')->unique();
            $vals = [
                'roles' => $roles->values()->all(),
                'pers'  => $pers->values()->all()
            ];
            return $vals;
        });
    }
}

批量判斷權限的思路

對於批量判斷權限時候，須要有方法批量返回判斷數組。這裏借鑑了Entrust的getAbility思路。

/**
 * @param $pers []
 * @param $option [] valid_all 是否判斷所有權限 return_type boolean/array
 */
function hasPermission($pers , $option = []){
    $option = array_merge(['valid_all' => false , 'return_type' => 'boolean'] , $option); //return_type boolean|array|both
    if (!is_array($pers)) $pers = [$pers];
    $gates = cacheUserRolesAndPermissions(Auth::id());

    if ($option['return_type'] == 'boolean'){
        foreach ($pers as $per){
            if (in_array($per , $gates['pers'])){
                if (!$option['valid_all']){
                    return true;
                }
            }else{
                if ($option['valid_all']){
                    return false;
                }
            }
        }
        if ($option['valid_all']) return true;
        else return false;
    }else if ($option['return_type'] == 'array'){
        $res = [];
        foreach ($pers as $per){
            $res[$per] = in_array($per , $gates['pers']);
        }
        return $res;
    }else{
        return null;
    }
}

路由攔截中間件

批量判斷權限高效實現了頁面渲染時候權限判斷問題，爲了進一步加強系統安全性，須要對路由進行權限匹配攔截。

這裏就不貼代碼了，主要的意思是對route group內每一次的請求進行權限檢查，這裏須要注意有些請求含有參數，因此須要路徑通配符判斷，其次須要對路由方法進行檢測。攔截規則相似於：

$rules = [
    '/admin/post/{id}' => ['method' => 'DELETE' , 'permission' => 'post_delete'],
    '/admin/post/{id}/edit' => 'post_edit', //default any http method
]

利用這三個思路實現的權限系統簡潔、高效，緩存權限以後，基本不會查表便可實現批量權限判斷，大大改善了以前權限系統的性能問題。