基于角色的访问控制(Role-Based Access Control)

在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。

ThinkPHP的RBAC-LMLPHP

ThinkPHP通过5张表实现权限控制

  think_user (用户表)

  think_role (用户分组表)

  think_node (操作节点)

  think_role_user (用户和用户分组的对应)

  think_access (各个操作和用户组的对应)

认证过程

1.判断当前模块的当前操作是否需要认证
2.如果需要认证并且尚未登录,跳到认证网关,如果已经登录 执行5
3.通过委托认证进行用户身份认证
4.获取用户的决策访问列表
5.判断当前用户是否具有访问权限

配置config文件

array(
'APP_AUTOLOAD_PATH'=>'@.TagLib',
'SESSION_AUTO_START'     =>true,
'USER_AUTH_ON' =>true,
'USER_AUTH_TYPE' =>, // 默认认证类型 1 登录认证 2 实时认证
'USER_AUTH_KEY' =>'authId', // 用户认证SESSION标记
'ADMIN_AUTH_KEY' =>'administrator',
'USER_AUTH_MODEL' =>'User', // 默认验证数据表模型
'AUTH_PWD_ENCODER' =>'md5', // 用户认证密码加密方式
'USER_AUTH_GATEWAY' =>'/Public/login',// 默认认证网关
'NOT_AUTH_MODULE' =>'Public', // 默认无需认证模块
'REQUIRE_AUTH_MODULE' =>'', // 默认需要认证模块
'NOT_AUTH_ACTION' =>'', // 默认无需认证操作
'REQUIRE_AUTH_ACTION' =>'', // 默认需要认证操作
'GUEST_AUTH_ON' =>false, // 是否开启游客授权访问
'GUEST_AUTH_ID' =>, // 游客的用户ID
'DB_LIKE_FIELDS' =>'title|remark',
'RBAC_ROLE_TABLE' =>'think_role',
'RBAC_USER_TABLE' =>'think_role_user',
'RBAC_ACCESS_TABLE' =>'think_access',
'RBAC_NODE_TABLE' =>'think_node',
'SHOW_PAGE_TRACE'       =>1 //显示调试信息
);

  注:

    Public模块是无需认证的

    默认网关地址就是认证失败,没有权限跳转到此处,重新登陆

    ADMIN_AUTH_KEY表示超级管理员权限,不用分配权限,它什么权限都有

重要的方法:

  authenticate($map,$model=”)  传入查询用户的条件和用户表的MODEL 返回数组包含用户的信息

  saveAccessList($authId=null)  传入用户的ID,无返回值,只是设置 $_SESSION[‘_ACCESS_LIST’]的值

  checkAccess()  检测当前模块和操作是否需要验证

  checkLogin()   检测登录

  AccessDecision($appName=APP_NAME)  检测当前项目模块操作 是否在$_SESSION[‘_ACCESS_LIST’]数组中

        $_SESSION[‘_ACCESS_LIST’][‘当前操作’][‘当前模块’][‘当前操作’]是否存在,存在,表示有权限

  getAccessList($authId)  通过查询数据库 返回权限列表,$_SESSION[‘_ACCESS_LIST’]的值

05-11 10:50