有一个网友问,有权限吗?我之前也说了,会加上权限。一直很忙,没有去添加。今天就来更新一下,如何在 thinkphp5 框架中实现权限的控制。
主流的权限控制有 rbac 和 auth 。我先来介绍一下 rbac,然后在此基础之上,再介绍一下 auth 的实现。
rbac 这个系统的设计,就拿我之前开源的系统来讲解吧。正好,那个系统实现的就是 rbac 。你可以到这个地址[github 上的 snake](https://github.com/nick-bai/snake),或者直接到源码下载那一章节下载我演示的代码。
rbac 中文名 叫 角色权限控制,具体的什么解释,你可以自行百度,比我解释的专业。这里,我只是想说明一下,设计 rabc 权限的思路。首先我们的系统必须拥有的表有如下几张:
1、用户表
这个是必须的,因为系统需要用户的登录,这是不可或缺的。
2、节点表
记录着系统中的各个操作节点,方便我们通过这些节点去拼装菜单,以及权限的分配。
> 所谓的节点,在 rbac 中你可以理解成:模块、控制器、方法。这些对应的名字。
3、角色表
存放各种系统的角色。
这几张表有了。讲一下,具体的实现方式。
> 我们 通过 给角色分配一些操作节点的权限,然后再给 用户 指定角色。这样,当用户当用户操作某个 控制器\\方法 的时候,我们检测他所属的角色,是否有这个 节点的规则,就能判断,他是否可以操作这个 方法。
讲到 auth 可以理解成加强版的 rbac,他不仅可以验证节点,同样还可以比 rbac 验证更多的小细节。比如,某个节点,必须要 积分 > 500 的才能操作,因为 rabc 只能控制节点(这个节点就是由 模块\\控制器\\方法名 组成的字串),无法验证别的小细节。而 auth 是验证 规则的,而不是节点。
> 遗憾的是,目前能找到的一些介绍 auth 的 thinkphp 代码,其实就是 rbac,并没有展示 auth 比 rbac 好的地方。另外,其实你做一个 auth 权限系统,也并不一定要官方的那个 auth 类,这个类 thinkphp5 官方暂时未提供。其实你要是理解原理之后,很容易写出和你的系统化完全匹配的 auth 方法来。
在我们做 rbac 的时候,录入的节点是按照 模块、控制器、方法名,这样的顺序录入到 节点表中的,而在我们验证权限的时候,又得将这些 模块、控制器、方法名拼接成字符串。
比如:我们在表中录入 index 、shop、addShop 这三个节点,而我们在 验证的时候,会验证 index/shop/addshop,这样去验证,而我拼装成的这个样子的 字串**index/shop/addshop**就是 auth 中所讲的 规则。其实,我们在 rbac 权限系统中,去分开录入 这样三个 字段,不如直接录入像 auth 这样的规则。反而更利于我们的后续操作。
说到这里,有没有发现,其实 rbac 和 auth 是很像的,这也就是为什么,很多的所谓的讲 auth 的代码,都是“挂羊头卖狗肉”的rbac。其实,我们只要在 节点表 (auth 中称为规则表)中,加入一个 附件条件 字段,在验证规则的同是,去检测 附加条件 是否满足,从而实现更加细节的验证。至于这个附加条件,你怎么去设计。你可以按照官方的那种方式去设计,也可以自己去 设计这个填写格式,反正你自己能有办法解析就行。
我们在正式开始写 auth 系统之前,先来看看,我们需要设计哪些表。
1、用户表
~~~
-- ----------------------------
-- Table structure for auth_user
-- ----------------------------
DROP TABLE IF EXISTS `auth_user`;
CREATE TABLE `auth_user` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`username` varchar(255) COLLATE utf8_bin DEFAULT '' COMMENT '用户名',
`password` varchar(255) COLLATE utf8_bin DEFAULT '' COMMENT '密码',
`loginnum` int(11) DEFAULT '0' COMMENT '登陆次数',
`last_login_ip` varchar(255) COLLATE utf8_bin DEFAULT '' COMMENT '最后登录IP',
`last_login_time` int(11) DEFAULT '0' COMMENT '最后登录时间',
`real_name` varchar(255) COLLATE utf8_bin DEFAULT '' COMMENT '真实姓名',
`status` int(1) DEFAULT '0' COMMENT '状态',
`roleid` int(11) DEFAULT '1' COMMENT '用户角色id',
PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COLLATE=utf8_bin;
-- ----------------------------
-- Records of auth_user
-- ----------------------------
INSERT INTO `auth_user` VALUES ('1', 'admin', '21232f297a57a5a743894a0e4a801fc3', '32', '127.0.0.1', '1490852367', 'admin', '1', '1');
INSERT INTO `auth_user` VALUES ('2', 'xiaobai', '4297f44b13955235245b2497399d7a93', '6', '127.0.0.1', '1470368260', '小白', '1', '2');
~~~
2、角色表 (在 auth 中称之为 权限组 其实是一个概念)
~~~
-- ----------------------------
-- Table structure for auth_role
-- ----------------------------
DROP TABLE IF EXISTS `auth_role`;
CREATE TABLE `auth_role` (
`id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id',
`rolename` varchar(155) NOT NULL COMMENT '角色名称',
`rule` varchar(255) DEFAULT '' COMMENT '权限节点数据',
PRIMARY KEY (`id`)
) ENGINE=MyISAM AUTO_INCREMENT=4 DEFAULT CHARSET=utf8;
-- ----------------------------
-- Records of auth_role
-- ----------------------------
INSERT INTO `auth_role` VALUES ('1', '超级管理员', '');
INSERT INTO `auth_role` VALUES ('2', '系统维护员', '1,2,3,4,5,6,7,8,9,10');
INSERT INTO `auth_role` VALUES ('3', '新闻发布员', '1,2,3,4,5');
~~~
3、规则表
~~~
-- ----------------------------
-- Table structure for auth_node
-- ----------------------------
DROP TABLE IF EXISTS `auth_node`;
CREATE TABLE `auth_node` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`node_name` varchar(155) NOT NULL DEFAULT '' COMMENT '节点名称',
`rule` varchar(155) NOT NULL COMMENT '权限规则',
`is_menu` tinyint(1) NOT NULL DEFAULT '1' COMMENT '是否是菜单项 1不是 2是',
`typeid` int(11) NOT NULL COMMENT '父级节点id',
`style` varchar(155) DEFAULT '' COMMENT '菜单样式',
`condition` varchar(155) DEFAULT NULL COMMENT '附加条件',
PRIMARY KEY (`id`)
) ENGINE=MyISAM AUTO_INCREMENT=15 DEFAULT CHARSET=utf8;
-- ----------------------------
-- Records of auth_node
-- ----------------------------
INSERT INTO `auth_node` VALUES ('1', '用户管理', '#', '2', '0', 'fa fa-users', null);
INSERT INTO `auth_node` VALUES ('2', '用户列表', 'user/index', '2', '1', '', null);
INSERT INTO `auth_node` VALUES ('3', '添加用户', 'user/useradd', '1', '2', '', null);
INSERT INTO `auth_node` VALUES ('4', '编辑用户', 'user/useredit', '1', '2', '', null);
INSERT INTO `auth_node` VALUES ('5', '删除用户', 'user/userdel', '1', '2', '', null);
INSERT INTO `auth_node` VALUES ('6', '角色列表', 'role/index', '2', '1', '', null);
INSERT INTO `auth_node` VALUES ('7', '添加角色', 'role/roleadd', '1', '6', '', null);
INSERT INTO `auth_node` VALUES ('8', '编辑角色', 'role/roleedit', '1', '6', '', null);
INSERT INTO `auth_node` VALUES ('9', '删除角色', 'role/roledel', '1', '6', '', null);
INSERT INTO `auth_node` VALUES ('10', '分配权限', 'role/giveaccess', '1', '6', '', null);
INSERT INTO `auth_node` VALUES ('11', '系统管理', '#', '2', '0', 'fa fa-desktop', null);
INSERT INTO `auth_node` VALUES ('12', '数据备份/还原', 'data/index', '2', '11', '', null);
INSERT INTO `auth_node` VALUES ('13', '备份数据', 'data/importdata', '1', '12', '', null);
INSERT INTO `auth_node` VALUES ('14', '还原数据', 'data/backdata', '1', '12', '', null);
~~~
> 关于系统的管理员登录、角色的增删改查、规则的增删改查、用户的增删改查等,这些基础的功能,在本部分不做过多的介绍。相信你通过前面的,用户的增删改查,已经会用 thinkphp5 完成 CURD 的操作了。本初只重点介绍,权限系统的具体起作用的部分。
## 从登陆开始讲起
登录的基础功能,校验用户名,密码,验证码这些内容,代码中都有,此处不做过多的介绍。开始看看,我们在登陆的时候,应该做哪些权限的工作。
确认用户一切信息正确之后,我做了如下的操作 Login.php
~~~
//获取该管理员的角色信息
$user = new UserType();
$info = $user->getRoleInfo($hasUser['roleid']);
~~~
根据用户的 角色id 去获取用户所拥有的 权限信息。我在用户表中设置了一个 rule 的字段,这个字段以逗号隔开,存储着用户的权限节点的 id。例如 rule 字段的结果是 1,2 。 那么对应的节点就是 # 和 user/index 也就是拥有,用户列表查看的权限。我们拿着用户的权限 rule 去 node 表中把他拥有的 权限节点数据全部查出。 Usertype.php
~~~
/**
* 获取角色信息
* @param $id
*/
public function getRoleInfo($id){
$result = db('role')->where('id', $id)->find();
if(empty($result['rule'])){
$where = '';
}else{
$where = 'id in('.$result['rule'].')';
}
$res = db('node')->field('rule')->where($where)->select();
foreach($res as $key=>$vo){
if('#' != $vo['rule']){
$result['action'][] = $vo['rule'];
}
}
return $result;
}
~~~
> 我们在此处设计的是 超级管理员的 rule 是空,以此来标识他是超级管理员,超级管理员拥有全部的权限。
查询出全部的节点,把这些节点,存储到 session 中,这样我们就不需要每次都去查取用户的权限节点,提高效率。
~~~
session('username', $username);
session('id', $hasUser['id']);
session('role', $info['rolename']); //角色名
session('action', $info['action']); //角色权限
~~~
action 节点的数据如下:
~~~
Array
(
[0] => user/index
[1] => user/useradd
[2] => user/useredit
[3] => user/userdel
[4] => role/index
[5] => role/roleadd
[6] => role/roleedit
[7] => role/roledel
[8] => role/giveaccess
[9] => data/index
[10] => data/importdata
[11] => data/backdata
)
~~~
用户拥有的节点,就放在这样的数组里面。这样,当用户操作某一个节点时候,直接判断所操作的节点是否在这个数组中即可。这些都是后面的话了,我们接着看,login 之后操作了哪些。
登录成功之后,跳转到 index/index 控制器,而 index 控制器,又继承了 Base.php 这个基类,这个基类中,我们可以做一些全局的检测。
## 权限检测 Base.php
我们来看一下,Base.php 做了哪些操作
~~~
public function _initialize()
{
if(empty(session('username'))){
$this->redirect(url('login/index'));
}
//检测权限
$canDo = authCheck();
if(!$canDo){
$this->error('没有权限');
}
//获取权限菜单
$node = new Node();
$this->assign([
'username' => session('username'),
'menu' => $node->getMenu(session('rule')),
'rolename' => session('role')
]);
}
~~~
用户未登录,跳转到登录。如果用户登录成功了,此时我们进行权限的检测。auCheck(),定义在 common.php 中
~~~
function authCheck(){
$control = lcfirst(request()->controller());
$action = lcfirst(request()->action());
//跳过登录系列的检测以及主页权限
if(!in_array($control, ['login', 'index'])){
if(!in_array($control . '/' . $action, session('action'))){
return false;
}
}
return true;
}
~~~
此处我们只是做了节点的验证,你可以理解成目前还是 rbac 也就是市面上绝大多数的 所谓的 rbac 就只是检测到这一步。很简单,拼接现在的操作节点字串,是否在该用户所在的权限数组中就可以了。不在,提示无权限。
最后,比较主要的步骤,根据用户的权限节点,拼接出用户拥有的 左侧操作菜单。getMenu()
~~~
/**
* 根据节点数据获取对应的菜单
* @param $nodeStr
*/
public function getMenu($nodeStr = '')
{
//超级管理员没有节点数组
$where = empty($nodeStr) ? 'is_menu = 2' : 'is_menu = 2 and id in('.$nodeStr.')';
$result = db('node')->field('id,node_name,typeid,rule,style')
->where($where)->select();
$menu = prepareMenu($result);
return $menu;
}
~~~
这里又调用了 定义在 common.php 中的 prepareMenu() 方法
~~~
/**
* 整理菜单住方法
* @param $param
* @return array
*/
function prepareMenu($param)
{
$parent = []; //父类
$child = []; //子类
foreach($param as $key=>$vo){
if($vo['typeid'] == 0){
$vo['href'] = '#';
$parent[] = $vo;
}else{
$vo['href'] = url($vo['rule']); //跳转地址
$child[] = $vo;
}
}
foreach($parent as $key=>$vo){
foreach($child as $k=>$v){
if($v['typeid'] == $vo['id']){
$parent[$key]['child'][] = $v;
}
}
}
unset($child);
return $parent;
}
~~~
我们只要在页面中,对应的位置,渲染出这个整理更好的菜单,就可以完成操作栏,根据不同的权限,显示不同的菜单了。
至此, rbac 部分算是结束了。
上一章的结尾,我说的是至此,rbac 的部分结束了。有人可能感觉很奇怪,不是说讲的是 auth 吗,怎么又 rbac 了。其实,你可以把 auth 理解成 rbac 的加强版。一个 auth 权限系统,首先要有 rbac 的功能。接下来才是,其区别于 rbac 的重点所在。也是 绝大部分所谓的 auth 权限系统未提及的部分。
> 我在这个文档中讲解的 auth 权限,并没有用到 thinkphp 3.2 中给到的 auth 类,如果你想找通过改 3.2 那个类而来的 auth 权限系统。那你可能要失望了,不是我不会改那个类,而是我觉得,你懂了原理之后,根本没必要拘泥于那个类,完全可以自己定义。
**如何正我们的 rbac 基础之上,改成 auth 呢?**
auth 区别于 rabc 的主要点是,auth 检测的是规则,而规则我们已经有了,那就是 node 表中的 rule 字段,其实就是节点的标识。另外一点, auth 系统中通常会在 节点后面加一个 condition 字段,以此来标识,想要拥有这个权限,你还应该有哪些额外的条件。而这个条件的填写和解析是最为关键的点。
## 开始修改
首先,我们要制定一个额外的条件规则,本处为了解析的方便,以及展示原理的原则,我设计一个简单的条件规则
~~~
user|id={uid} and loginnum > 20
~~~
条件牵扯的表|条件字段=当前用户id and 条件字段 > 20
这个语句的意思就是 某个权限的需要满足这个用户在 user 表中登录的次数大于 20 才能有权限。
从之前的我展示的数据可以看到,管理员的登录次数是 30多次。那我们就以这个例子进行讲解。首先在 添加用户 这个权限字段,也就是 node 表中的第三条 添加一个 condition 字段值 user|id={uid} and loginnum>200,也就是规定,useradd 操作的额外权限是 操作次数必须大于 200 次的才可以。此时我们看看,用户是否有添加用户的权限
这种页面中的按钮权限,是传统 rbac 很那去控制的。可见此时,用户有添加 用户的权限。我们修改一下权限检测方法 authCheck
~~~
function authCheck($condition=false, $url=''){
$control = lcfirst(request()->controller());
$action = lcfirst(request()->action());
if(empty($condition)){
$checkUrl = $control . '/' . $action;
}else{
$checkUrl = $url;
if(empty($checkUrl)) return false;
// 检测附加条件
$condition = db('node')->field('condition')->where("rule = '" . $checkUrl . "'")->find();
// 解析附加添加 形如:user|id={uid} and loginnum > 20
if(empty($condition)){
return true;
}
$rule = explode("|", $condition['condition']);
unset($condition);
$table = $rule['0'];
$where = str_replace("{uid}", session('id'), $rule['1']);
$can = db($table)->where($where)->find();
if(empty($can)) return false;
}
if(!in_array($control, ['login', 'index'])){
if(!in_array($checkUrl, session('action'))){
return false;
}
}
return true;
}
~~~
这样我们的简单的 权限检测 函数就完成了。当然这个函数还很弱,只能检测某一种规则。如果你想检测复杂的规则,你可以自己完善和定制更多的规则,原理就是你得会解析这些规则。就像这样
~~~
$rule = explode("|", $condition['condition']);
unset($condition);
$table = $rule['0'];
$where = str_replace("{uid}", session('id'), $rule['1']);
~~~
当然,github上 官方已经写好了一个类[https://github.com/yunwuxin/think-auth](https://github.com/yunwuxin/think-auth)后面我会讲解这个的用法,当然这个就非常强大了,支持很多种认证。
## 如何去验证
比如我们去验证这个需要额外权限的 添加用户 按钮是否需要展示,在按钮页面
~~~
<div class="form-group clearfix col-sm-1">
{if(authCheck(true, 'user/useradd'))}
<a href="./userAdd"><button class="btn btn-outline btn-primary" type="button">添加用户</button></a>
{/if}
</div>
这样就能验证,这个添加按钮的额外权限了。
## 预告
后面我会研究 官方给的那个扩展,讲解一个强大的 auth 权限,本次只是讲解自己去实现 auth 的原理。
>
