一、相关概念
访问控制与RBAC模型 1、访问控制: 通常的多用户系统都会涉及到访问控制,所谓访问控制,是指通过某种方式允许活限制用户访问能力及范围的一种方法。这主要是由于系统需要对关键资源进行保护,防止由于非法入侵或者误操作对业务系统造成破坏。简而言之,访问控制即哪些用户可以访问哪些资源。 一般而言,访问控制系统包括三个组成部分: 主体:发出访问请求的实体,通常指用户或者用户进程。 客体:被保护的资源,通常是程序,数据,文件或者设备。 访问策略:主体和客体的映射规则,确定一个主体是否对客体具有访问能力。
2、RBAC (Role-Base-Access-Controll) 基于角色的访问控制(RBAC)的概念在七十年代就已经提出,但是直到九十年代由于安全需求的发展才又引起了广泛关注。RBAC 的核心思想是将系统资源的访问权限进行分类或者建立层次关系,抽象为角色的概念,然后根据安全策略将用户和角色关联,从而实现了用户和权限之间的对照。RBAC 通过引入角色并将其作为权限管理的中介,将访问控制系统分为两个部分,即权限与角色的关联和角色与用户的关联,具有灵活易控制的优点。
来源:http://www.ibm.com/developerworks/cn/java/j-lo-rbacwebsecurity/
我的理解就是给用户赋予不同的角色,给角色服务不同的权限,权限可以看成要访问资源的集合,角色只是用户和权限的过渡层,可能会问为什要有一个角色过渡层,可以试想一下没有role过渡层,有多个用户有着相同的数个权限,分配管理权限的时候,要重复分配权限,工作量很大,更何况修改权限的时候,更麻烦,可以说不利于代码的维护,所以要有一个role的过渡层。下面来看看TP(thinkphp)中的RBAC的实现及用法。
二、TP中的RBAC类及使用RBAC类 1、RBAC权限验证的大致流程: ①、验证当前操作是否需要验证
②、验证是否登录 ③、查看当前用户的身份 ④、获取当前用户的权限列表 ⑤、进行权限验证
2、RBAC所依赖的5张数据表
CREATE TABLE IF NOT EXISTS `think_access` (
`role_id` smallint(6) unsigned NOT NULL,
`node_id` smallint(6) unsigned NOT NULL,
`level` tinyint(1) NOT NULL,
`module` varchar(50) DEFAULT NULL,
KEY `groupId` (`role_id`),
KEY `nodeId` (`node_id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;
CREATE TABLE IF NOT EXISTS `think_node` (
`id` smallint(6) unsigned NOT NULL AUTO_INCREMENT,
`name` varchar(20) NOT NULL,
`title` varchar(50) DEFAULT NULL,
`status` tinyint(1) DEFAULT '0',
`remark` varchar(255) DEFAULT NULL,
`sort` smallint(6) unsigned DEFAULT NULL,
`pid` smallint(6) unsigned NOT NULL,
`level` tinyint(1) unsigned NOT NULL,
PRIMARY KEY (`id`),
KEY `level` (`level`),
KEY `pid` (`pid`),
KEY `status` (`status`),
KEY `name` (`name`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;
CREATE TABLE IF NOT EXISTS `think_role` (
`id` smallint(6) unsigned NOT NULL AUTO_INCREMENT,
`name` varchar(20) NOT NULL,
`pid` smallint(6) DEFAULT NULL,
`status` tinyint(1) unsigned DEFAULT NULL,
`remark` varchar(255) DEFAULT NULL,
PRIMARY KEY (`id`),
KEY `pid` (`pid`),
KEY `status` (`status`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8 ;
CREATE TABLE IF NOT EXISTS `think_role_user` (
`role_id` mediumint(9) unsigned DEFAULT NULL,
`user_id` char(32) DEFAULT NULL,
KEY `group_id` (`role_id`),
KEY `user_id` (`user_id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;
CREATE TABLE `think_user` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`name` varchar(20) DEFAULT '',
`password` varchar(25) NOT NULL,
`phone_num` varchar(20) DEFAULT NULL,
`register_time` int(11) DEFAULT NULL,
`login_time` int(11) DEFAULT NULL,
`login_ip` varchar(20) DEFAULT NULL,
`status` tinyint(1) DEFAULT NULL,
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;
数据表模型如下:
这五张表的关系如下:一个用户对应着多个角色;一个角色可以属于对个用户;是多对多的关系,需要用个中间表即role_user表;一个角色可以有多个权限;一个权限可以属于多个用户;是多对多的关系,需要有个中间表即access表;那node表示什么?node表是记录权限的表,说白了就是记录应用,控制器,及方法的表,即要访问资源的集合;比如要访问的Admin应用下的Index控制器下的index方法;从这里可以明确了TP的RBAC是控制用户对控制器及方法的访问权限进行权限的管理。下面来看个图,加深理解:
这张图里面的用户,角色,结点,权限及用户与角色中间表一一对应即可(这图是从网上盗的)。其实还可将用户进行抽象,对其进行分组,不同组别里面的角色不同,这可一根据不同的业务进行尝试。可以参考这篇博客 http://www.cnblogs.com/zwq194/archive/2011/03/07/1974821.html
知道了RBAC需要的5张数据表,下面来看看RBAC类是如何实现权限验证的。
3、RBAC类 RBAC类中三个核心的方法: ①getAccessList()获取权限列表
static public function getAccessList($authId) {
// Db方式权限数据
$db = Db::getInstance(C('RBAC_DB_DSN'));
$table = array('role'=>C('RBAC_ROLE_TABLE'),'user'=>C('RBAC_USER_TABLE'),'access'=>C('RBAC_ACCESS_TABLE'),'node'=>C('RBAC_NODE_TABLE'));
$sql = "select node.id,node.name from ".
$table['role']." as role,".
$table['user']." as user,".
$table['access']." as access ,".
$table['node']." as node ".
"where user.user_id='{$authId}' and user.role_id=role.id and ( access.role_id=role.id or (access.role_id=role.pid and role.pid!=0 ) ) and role.status=1 and access.node_id=node.id and node.level=1 and node.status=1";
$apps = $db->query($sql);
$access = array();
foreach($apps as $key=>$app) {
$appId=$app['id'];
$appName = $app['name'];
// 读取项目的模块权限
$access[strtoupper($appName)] = array();
$sql = "select node.id,node.name from ".
$table['role']." as role,".
$table['user']." as user,".
$table['access']." as access ,".
$table['node']." as node ".
"where user.user_id='{$authId}' and user.role_id=role.id and ( access.role_id=role.id or (access.role_id=role.pid and role.pid!=0 ) ) and role.status=1 and access.node_id=node.id and node.level=2 and node.pid={$appId} and node.status=1";
$modules = $db->query($sql);
// 判断是否存在公共模块的权限
$publicAction = array();
foreach($modules as $key=>$module) {
$moduleId = $module['id'];
$moduleName = $module['name'];
if('PUBLIC'== strtoupper($moduleName)) {
$sql = "select node.id,node.name from ".
$table['role']." as role,".
$table['user']." as user,".
$table['access']." as access ,".
$table['node']." as node ".
"where user.user_id='{$authId}' and user.role_id=role.id and ( access.role_id=role.id or (access.role_id=role.pid and role.pid!=0 ) ) and role.status=1 and access.node_id=node.id and node.level=3 and node.pid={$moduleId} and node.status=1";
$rs = $db->query($sql);
foreach ($rs as $a){
$publicAction[$a['name']] = $a['id'];
}
unset($modules[$key]);
break;
}
}
// 依次读取模块的操作权限
foreach($modules as $key=>$module) {
$moduleId = $module['id'];
$moduleName = $module['name'];
$sql = "select node.id,node.name from ".
$table['role']." as role,".
$table['user']." as user,".
$table['access']." as access ,".
$table['node']." as node ".
"where user.user_id='{$authId}' and user.role_id=role.id and ( access.role_id=role.id or (access.role_id=role.pid and role.pid!=0 ) ) and role.status=1 and access.node_id=node.id and node.level=3 and node.pid={$moduleId} and node.status=1";
$rs = $db->query($sql);
$action = array();
foreach ($rs as $a){
$action[$a['name']] = $a['id'];
}
// 和公共模块的操作权限合并
$action += $publicAction;
$access[strtoupper($appName)][strtoupper($moduleName)] = array_change_key_case($action,CASE_UPPER);
}
}
return $access;
}
可以看出方法是依次获取项目模块,控制器,动作方法的权限的。
②saveAccessList()检测用户的权限列表,并将权限存储到SESSION中
//用于检测用户权限的方法,并保存到Session中
static function saveAccessList($authId=null) {
if(null===$authId) $authId = $_SESSION[C('USER_AUTH_KEY')];
// 如果使用普通权限模式,保存当前用户的访问权限列表
// 对管理员开发所有权限
if(C('USER_AUTH_TYPE') !=2 && !$_SESSION[C('ADMIN_AUTH_KEY')] )
$_SESSION['_ACCESS_LIST']=self::getAccessList($authId);
return ;
}
③AccessDecision()权限决策,就是判断用户拥有哪些权限
//权限认证的过滤器方法
static public function AccessDecision($appName=MODULE_NAME) {
//检查是否需要认证
if(self::checkAccess()) {
//存在认证识别号,则进行进一步的访问决策
$accessGuid = md5($appName.CONTROLLER_NAME.ACTION_NAME);
if(empty($_SESSION[C('ADMIN_AUTH_KEY')])) {
if(C('USER_AUTH_TYPE')==2) {
//加强验证和即时验证模式 更加安全 后台权限修改可以即时生效
//通过数据库进行访问检查
$accessList = self::getAccessList($_SESSION[C('USER_AUTH_KEY')]);
}else {
// 如果是管理员或者当前操作已经认证过,无需再次认证
if( $_SESSION[$accessGuid]) {
return true;
}
//登录验证模式,比较登录后保存的权限访问列表
$accessList = $_SESSION['_ACCESS_LIST'];
}
//判断是否为组件化模式,如果是,验证其全模块名
if(!isset($accessList[strtoupper($appName)][strtoupper(CONTROLLER_NAME)][strtoupper(ACTION_NAME)])) {
$_SESSION[$accessGuid] = false;
return false;
}
else {
$_SESSION[$accessGuid]=true;
}
}else{
//管理员无需认证
return true;
}
}
return true;
}
从代码中可以看出,权限判断是有两种方式一种是根据session中的权限列表进行校验,一种是每次都查询数据库进行校验(下面配置参数说明的时候会说明)
array(3) {
["phone"] => string(11) "18792455613"
["uid"] => string(2) "13"
["_ACCESS_LIST"] => array(1) {
["ADMIN"] => array(5) {
["ARTICLE"] => array(0) {
}
["CATEGORY"] => array(3) {
["CATEGORYLIST"] => string(2) "15"
["ADDCATEGORY"] => string(2) "16"
["ALTERCATEGORY"] => string(2) "17"
}
["MEDIA"] => array(2) {
["IMAGE"] => string(2) "12"
["VIDEO"] => string(2) "13"
}
["INDEX"] => array(5) {
["USERLIST"] => string(1) "7"
["ADDUSER"] => string(1) "8"
["ADDROLE"] => string(1) "9"
["ADDNODE"] => string(2) "10"
["INDEX"] => string(2) "11"
}
["DATA"] => array(0) {
}
}
}
}
在AccessDecision()方法中调用checkAccess()方法进行验证模块的过滤即去除不需要验证的模块,控制器和方法。知道了RBAC的实现思路,下面来使用RBAC类进行权限验证。
4、使用RBAC类进行权限验证
①首先处理5张表,就是对5张表的增删该查
实现逻辑代码如下:建立一个RbacController.class.php的控制器
/**
* 角色列表视图
*/
public function role(){
$roleList = M("role")->select();
$this->assign("roleList",$roleList);
layout("base");
$this->display();
}
/**
* 角色表单处理
*/
public function roleHandle(){
$id = I("get.id");
if(M("role")->where(array("id"=>$id))->delete()){
$this->success("删除成功",U("Admin/Index/role"));
}else{
$this->error("删除失败");
}
}
/**
* 结点列表视图
*/
public function node(){
$field = array('id','name','title','pid');
$node = M('node')->field($field)->order('sort')->select();
$this->node = node_merge($node);
layout("base");
$this->display();
}
/**
* 权限列表视图
*/
public function access(){
$rid = I('rid',0,"intval");
$field = array('id','name','title','pid');
$node = M('node')->order('sort')->field($field)->select();
//原有的权限
$access = M('access')->where(array('role_id'=>$rid))->getField('node_id',true);
$this->node = node_merge($node,$access);
// dump($this->node);
$this->rid = $rid;
layout("base");
$this->display();
}
/**
* 设置权限表单处理
*/
public function setAccess(){
$rid = I('rid',0,"intval");
$db = M('access');
$db->where(array('role_id'=>$rid))->delete();
$data = array();
foreach ($_POST['access'] as $v ) {
$tmp = explode('_', $v);
$data[] = array(
'role_id' => $rid,
'node_id' => $tmp[0],
'level' => $tmp[1]
);
}
if ($db->addAll($data)) {
$this->success('修改成功',U('Admin/Index/role'));
}else{
$this->error('修改失败');
}
}
/**
* 添加角色视图
*/
public function addRole(){
layout("base");
$this->display();
}
/**
* 添加角色表单处理
*/
public function addRoleHandle(){
$data = I("post.");
if(M("role")->data($data)->add()){
$this->success("添加成功",U("Admin/Index/role"));
}else{
$this->error("添加角色失败,请稍后再试");
}
}
/**
* 添加结点视图
*/
public function addNode(){
$this->pid = I("pid",0,"intval");
$this->level = I("level",1,"intval");
switch ($this->level){
case 1:
$this->type = "应用";
break;
case 2:
$this->type = "控制器";
break;
case 3:
$this->type = "方法";
break;
}
layout("base");
$this->display();
}
/**
* 添加结点表单处理
*/
public function addNodeHandle(){
$data = I("post.");
if(M("node")->data($data)->add()){
$this->success("添加成功",U("Admin/Index/node"));
}else{
$this->error("添加失败,请稍后再试");
}
}
其中有一个结点和权限整合的函数node_merge(),实现的思路是递归进行结点添加,将统一控制器中的不同方法整合在一起,代码如下:这段代码放在Common文件夹下的function.php里
/**
* 权限结点整合
* @param array $node 结点数组
* @param array $access 权限数组
* @param integer $pid 父级ID
* @return array 组合后的数组
*/
function node_merge($node,$access=null,$pid=0){
$arr = array();
foreach($node as $v){
if(is_array($access)){
$v['access'] = in_array($v['id'],$access) ? 1 : 0;
}
if($pid==$v['pid']){
$v['child'] = node_merge($node,$access,$v['id']);
$arr[] = $v;
}
}
return $arr;
}
②完成了准备工作可以使用RBAC类了,首先先对RABC进行参数配置,下面是配置参数
配置文件增加设置
USER_AUTH_ON 是否需要认证
USER_AUTH_TYPE 认证类型 //1:代表着登录验证2:代表着试试验证
USER_AUTH_KEY 认证识别号
REQUIRE_AUTH_MODULE 需要认证模块
NOT_AUTH_MODULE 无需认证模块
USER_AUTH_GATEWAY 认证网关 //不是必须的
RBAC_DB_DSN 数据库连接DSN //不是必须的
RBAC_ROLE_TABLE 角色表名称
RBAC_USER_TABLE 用户表名称 //这里是用户和角色的中间表
RBAC_ACCESS_TABLE 权限表名称
RBAC_NODE_TABLE 节点表名称
其中值得注意的是:下面四块
USER_AUTH_GATEWAY 认证网关 //不是必须的
RBAC_DB_DSN 数据库连接DSN //不是必须的
RBAC_USER_TABLE 用户表名称 //这里是用户和角色的中间表
USER_AUTH_TYPE 认证类型 //1:代表着登录验证2:代表着试试验证
时时验证是指不将权限信息存入session,而是每访问一个资源,查询数据库进行权限校验;登录验证是指将权限信息存入session,而是每访问一个资源,根据session中的信息进行验证; 可以看出时时验证的安全性更高,但消耗的资源也多。可以看看上面AccessDecision的代码加深理解。
下面是配置文件的代码:
<?php
return array(
'RBAC_SUPERADMIN'=>'admin',
'ADMIN_AUTH_KEY' =>'superAdmin', //超级管理员识别
'USER_AUTH_ON' =>true, //是否开启权限验证
'USER_AUTH_TYPE' =>1, //验证类型(1:登录时验证2:时时验证)
'USER_AUTH_KEY' =>'uid', //用户验证识别号
'NOT_AUTH_ACTION' =>'index', // 无需验证的动作方法
'NOT_AUTH_MODULE' =>'', //无需验证的控制器
'RBAC_ROLE_TABLE' =>'think_role',//角色表名称
'RBAC_USER_TABLE' => 'think_role_user',//用户与角色的中间表
'RBAC_ACCESS_TABLE' =>'think_access',//权限表
'RBAC_NODE_TABLE' =>'think_node',//节点表
'URL_HTML_SUFFIX' =>'',
// 'SHOW_PAGE_TRACE' => true,
);
③开始“真正”使用RABC类进行权限验证 阐述下我用到的两个类: LoginController.class.php处理用户登录请求;
CommonController.class.php添加_initialize()函数,让其他控制器继承此类;这里值得说明的是_initialize()函数,他会在调用其他方法之前执行,这也就是为什么要在这个函数中进行权限验证;
One: 使用登录验证方式:首先在登录的时候向session中写入权限LoginController.class.php
<?php
/**
* Created by PhpStorm.
* User: zhangpeng
* Date: 2016/1/29
* Time: 12:37
*/
namespace Admin\Controller;
use Org\Util\Rbac;
use Think\Controller;
class LoginController extends Controller
{
/**
* 登录首页视图
*/
public function index()
{
$this->display();
}
/**
* 登录表单处理
*/
public function loginHandle()
{
if (IS_POST) {
$userModel = M('user');
$where = array(
'phone_num' => I('post.phone_num'),
'password' => md5(I('post.password'))
);
$result = $userModel->where($where)->find();
if (!$result) {
$this->error("登陆失败");
}else{
session("phone",I('post.phone_num'));
session("uid",$result['id']);
if($result['name']==C('RBAC_SUPERADMIN')){
session(C('ADMIN_AUTH_KEY'),true);
}
//将权限写入session
Rbac::saveAccessList();
$this->success('欢迎登陆',U('Admin/Index/index'));
}
}
}
/**
* 登出操作
*/
public function logout(){
if(session("phone")){
session("uid",null);
session("phone",null);
session(null);
}
$this->redirect("Login/index");
}
}
其次,在_initialize()函数中进行权限验证:CommonController.class.php
<?php
/**
* Created by PhpStorm.
* User: zhangpeng
* Date: 2016/2/1
* Time: 23:28
*/
namespace Admin\Controller;
use Org\Util\Rbac;
use Think\Controller;
/**
* Class CommonController
* @package Admin\Controller
* 用户验证用户的状态,实现用户页面保留的功能
*/
class CommonController extends Controller
{
/**
* 自动执行函数,tp中自带
*/
public function _initialize(){
if(!session("uid")){
$this->redirect('Login/index');
}
if(C('USER_AUTH_ON')){
Rbac::AccessDecision()||$this->error("你没有权限");
}
}
}
Two:时时验证,只需要在_initialize()函数中添加验证即可,代码不在赘述。
其中值得注意的是,我用的是TP3.2.3,此时TP支持命名空间和类自动加载机制,所以不像老版本需要用import引入RBAC类才能使用。
三、总结
RBAC类短短的200多行代码实现了权限控制的需求,感觉十分厉害。后续把我的demo代码上传,与大家一起学习。