后台管理页面的访问权限 在cmf的simplewind/cmf/controller/AdminBaseController.php文件中，使用函数checkAccess($userid)判断此登陆用户是否有权限访问此页面。 /** * 检查后台用户访问权限 * @param int $userId 后台用户id * @return boolean 检查通过返回true */ private function checkAccess($userId) { // 如果用户id是1，则无需判断 if ($userId == 1) { return true; } $module = $this->request->module(); $controller = $this->request->controller(); $action = $this->request->action(); $rule = $module . $controller . $action; $notRequire = ["adminIndexindex", "adminMainindex"]; if (!in_array($rule, $notRequire)) { return cmf_auth_check($userId); } else { return true; } } 在这个函数里首先判断用户是不是超级管理员用户，如果是，不用检查权限，直接放行。如果访问的是后台主界面等所有人都可以访问的公共界面，也直接放行。否则调用cmf_auth_check()函数检查权限。 转到cmf_auth_check()函数看看 ``` /** * 检查权限 * @param $userId int 要检查权限的用户 ID * @param $name string|array 需要验证的规则列表,支持逗号分隔的权限规则或索引数组 * @param $relation string 如果为 'or' 表示满足任一条规则即通过验证;如果为 'and'则表示需满足所有规则才能通过验证 * @return boolean 通过验证返回true;失败返回false */ function cmf_auth_check($userId, $name = null, $relation = 'or') { if (empty($userId)) { return false; } if ($userId == 1) { return true; } $authObj = new \cmf\lib\Auth(); if (empty($name)) { $request = request(); $module = $request->module(); $controller = $request->controller(); $action = $request->action(); $name = strtolower($module . "/" . $controller . "/" . $action); } return $authObj->check($userId, $name, $relation); } ``` 但是这个函数并没有什么实质内容，只是将当前的路径当成参数调用另一个类里的函数，所以继续跟踪。 \cmf\lib\Auth()->check() /** * 检查权限 * @param $name string|array 需要验证的规则列表,支持逗号分隔的权限规则或索引数组 * @param $uid int 认证用户的id * @param $relation string 如果为 'or' 表示满足任一条规则即通过验证;如果为 'and'则表示需满足所有规则才能通过验证 * @return boolean 通过验证返回true;失败返回false */ public function check($uid, $name, $relation = 'or') { if (empty($uid)) { return false; } if ($uid == 1) { return true; } if (is_string($name)) { $name = strtolower($name); if (strpos($name, ',') !== false) { $name = explode(',', $name); } else { $findAuthRuleCount = Db::name('auth_rule')->where([ 'name' => $name ])->count(); if ($findAuthRuleCount == 0) {//没有规则时,不验证! return true; } $name = [$name]; } } $list = []; //保存验证通过的规则名 $groups = Db::name('RoleUser') ->alias("a") ->join('__ROLE__ r', 'a.role_id = r.id') ->where(["a.user_id" => $uid, "r.status" => 1]) ->column("role_id"); if (in_array(1, $groups)) { return true; } if (empty($groups)) { return false; } $rules = Db::name('AuthAccess') ->alias("a") ->join('__AUTH_RULE__ b ', ' a.rule_name = b.name') ->where(["a.role_id" => ["in", $groups], "b.name" => ["in", $name]]) ->select(); foreach ($rules as $rule) { if (!empty($rule['condition'])) { //根据condition进行验证 $user = $this->getUserInfo($uid);//获取用户信息,一维数组 $command = preg_replace('/\{(\w*?)\}/', '$user[\'\\1\']', $rule['condition']); //dump($command);//debug @(eval('$condition=(' . $command . ');')); if ($condition) { $list[] = strtolower($rule['name']); } } else { $list[] = strtolower($rule['name']); } } if ($relation == 'or' and !empty($list)) { return true; } $diff = array_diff($name, $list); if ($relation == 'and' and empty($diff)) { return true; } return false; } 这才是真正的权限检查函数啊…首先还是例行的判断是否超级管理员，再判断传入的需要验证的路径是否有多组（以逗号分隔），如果有多组，分隔开后作为数组存入原变量。如果只有一组，直接查询表auth_rule其中是否有这条验证规则，如果没有就不用验证了，直接返回true。 接下来联合RoleUser和__ROLE__两张表，当表中有当前用户且用户状态正常时，返回当前用户的role_id（可能有多个角色，所以为数组）,如果当前用户拥有超级管理员角色，放行；如果什么角色也没有，拒绝请求。 在继续联合AuthAccess和__AUTH_RULE__两张表，找出此用户此次请求访问的页面中有权限访问的页面，存入$rules数组中。遍历$rules数组，如果当前行的condition列不为空，………..(没看懂);如果condition为空，则将当前行的name值存入数组list中，表示已经通过权限验证的页面。 如果list数组中不为空且验证规则的连接词为or（即只要有一个验证条件通过验证），则返回true,放行；如果连接词为and，则对比传入的规则列表与通过验证的规则列表（即$name与$list）,若两个数组一致，则表明所有验证列表都通过了验证，返回true。否则，其他所有情况都返回false，拒绝请求。