Thinkphp基於規則的Auth權限認證類

 

PS:onethink是基於該權限認證類實現，Auth類作為官方類庫，在Library\Think里面。
其實Auth類也是基於角色訪問控制RBAC擴展的，具體到節點的權限校驗方式還是需要根據業務需求擴展。

Auth和RBAC
Auth的認證過程
數據庫表介紹
Thinkphp中Auth源碼
實際使用
參考

Auth和RBAC

Rbac:

1. Rbac是基於節點控制,根據3級節點,module,controller,action,節點類似與樹形結構,3級節點間相互有關聯
2. 表關系:用戶表->用戶角色關聯表->角色表->角色節點關聯表->節點表
3. 根據3級節點控制,粒度到操作action,每個節點為單一的模塊,控制器或操作

Auth:

1. 是對規則進行認證，不是對節點進行認證。用戶可以把節點當作規則名稱實現對節點進行認證。
2. 表關系:用戶表->用戶和用戶組關聯表->用戶組表->規則表
3. 根據規則控制,可自由定制不同的規則,非常自由,同一個規則內可以定制多個不同節點(中間的關系:OR AND)
4. 可定制規則表達式,比如定制積分表達式
5. 一個用戶可以屬於多個用戶組。我們需要設置每個用戶組擁有哪些規則

RBAC是按節點進行認證的，如果要控制比節點更細的權限就有點困難了，比如頁面上面的操作按鈕， 我想判斷用戶權限來顯示這個按鈕， 如果沒有權限就不會顯示這個按鈕； 再比如我想按積分進行權限認證， 積分在0-100時能干什么， 在101-200時能干什么。 這些權限認證用RABC都很困難。
而Auth權限認證， 它幾乎是全能的， 除了能進行節點認證， 上面說的RABC很難認證的兩種情況，它都能實現。

 

Auth的認證過程

數據庫表介紹

用戶表自行設計喲，提供uid即可

//數據庫
/*
-- ----------------------------
-- think_auth_rule，規則表，
-- id:主鍵，name：規則唯一標識, title：規則中文名稱 status 狀態：為1啟用，為0禁用，condition：規則表達式，為空表示存在就驗證，不為空表示按照條件驗證
-- ----------------------------
DROP TABLE IF EXISTS `think_auth_rule`;
CREATE TABLE `think_auth_rule` ( 
    `id` mediumint(8) unsigned NOT NULL AUTO_INCREMENT, 
    `name` char(80) NOT NULL DEFAULT '', 
    `title` char(20) NOT NULL DEFAULT '',  
    `type` tinyint(1) NOT NULL DEFAULT '1',   #1-url，2-主菜單，這個字段可以根據業務邏輯，自己定義類別，見getAuthList函數
    `status` tinyint(1) NOT NULL DEFAULT '1', 
    `condition` char(100) NOT NULL DEFAULT '',  # 規則附件條件,滿足附加條件的規則,才認為是有效的規則
    PRIMARY KEY (`id`), 
    UNIQUE KEY `name` (`name`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8;
-- ----------------------------
-- think_auth_group 用戶組表，
-- id：主鍵， title:用戶組中文名稱， rules：用戶組擁有的規則id， 多個規則","隔開，status 狀態：為1啟用，為0禁用
-- ----------------------------
DROP TABLE IF EXISTS `think_auth_group`;
CREATE TABLE `think_auth_group` (
    `id` mediumint(8) unsigned NOT NULL AUTO_INCREMENT,
    `title` char(100) NOT NULL DEFAULT '',
    `status` tinyint(1) NOT NULL DEFAULT '1',#用戶組狀態：為1正常，為0禁用,-1為刪除
    `rules` char(80) NOT NULL DEFAULT '', #rule表的ID值，用逗號分隔，這樣這個用戶組就可以用多種規則了。
    PRIMARY KEY (`id`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8;
-- ----------------------------
-- think_auth_group_access 用戶組明細表
-- uid:用戶id，group_id：用戶組id
-- ----------------------------
DROP TABLE IF EXISTS `think_auth_group_access`;
CREATE TABLE `think_auth_group_access` ( 
    `uid` mediumint(8) unsigned NOT NULL, 
    `group_id` mediumint(8) unsigned NOT NULL,
    UNIQUE KEY `uid_group_id` (`uid`,`group_id`), 
    KEY `uid` (`uid`),
    KEY `group_id` (`group_id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;
*/

Thinkphp中Auth源碼

僅僅160行~

class Auth{
 
    //默認配置
    protected $_config = array(
        'AUTH_ON'           => true,                      // 認證開關
        'AUTH_TYPE'         => 1,                         // 認證方式，1為實時認證；2為登錄認證。
        'AUTH_GROUP'        => 'auth_group',        // 用戶組數據表名
        'AUTH_GROUP_ACCESS' => 'auth_group_access', // 用戶-用戶組關系表
        'AUTH_RULE'         => 'auth_rule',         // 權限規則表
        'AUTH_USER'         => 'member'             // 用戶信息表
    );
 
    public function __construct() {
        $prefix = C('DB_PREFIX');
        $this->_config['AUTH_GROUP'] = $prefix.$this->_config['AUTH_GROUP'];
        $this->_config['AUTH_RULE'] = $prefix.$this->_config['AUTH_RULE'];
        $this->_config['AUTH_USER'] = $prefix.$this->_config['AUTH_USER'];
        $this->_config['AUTH_GROUP_ACCESS'] = $prefix.$this->_config['AUTH_GROUP_ACCESS'];
        if (C('AUTH_CONFIG')) {
            //可設置配置項 AUTH_CONFIG, 此配置項為數組。
            $this->_config = array_merge($this->_config, C('AUTH_CONFIG'));
        }
    }
 
    /**
      * 檢查權限
      * @param name string|array  需要驗證的規則列表,支持逗號分隔的權限規則或索引數組
      * @param uid  int           認證用戶的id
      * @param string mode        執行check的模式
      * @param relation string    如果為 'or' 表示滿足任一條規則即通過驗證;如果為 'and'則表示需滿足所有規則才能通過驗證
      * @return boolean           通過驗證返回true;失敗返回false
     */
    public function check($name, $uid, $type=1, $mode='url', $relation='or') {
        if (!$this->_config['AUTH_ON'])
            return true;
        //獲取用戶需要驗證的所有有效規則列表
        $authList = $this->getAuthList($uid,$type);
        //是否驗證多個規則，包含逗號，變成數組
        if (is_string($name)) {
            $name = strtolower($name);
            if (strpos($name, ',') !== false) {
                $name = explode(',', $name);
            } else {
                $name = array($name);
            }
        }
        $list = array(); //保存驗證通過的規則名
        if ($mode=='url') {
            //序列化，小寫，又反序列化？
            $REQUEST = unserialize( strtolower(serialize($_REQUEST)) );
        }
        foreach ( $authList as $auth ) {
            //獲取url的query參數
            $query = preg_replace('/^.+\?/U','',$auth);
            if ($mode=='url' && $query!=$auth ) {
                //解析規則中的param，使其變成PHP變量
                parse_str($query,$param); 
                //獲取$REQUEST與$param帶索引檢查計算數組的交集
                $intersect = array_intersect_assoc($REQUEST,$param);
                //獲取auth中的的query參數
                $auth = preg_replace('/\?.*$/U','',$auth);
                if ( in_array($auth,$name) && $intersect==$param ) {  //如果節點相符且url參數滿足
                    $list[] = $auth ;
                }
            }else if (in_array($auth , $name)){
                //例如，$name='Admin/index',不帶query參數，就不是url模式，那么就直接判斷是否包含，否則如上代碼判斷url參數是否一致。
                $list[] = $auth ;
            }
        }
        if ($relation == 'or' and !empty($list)) {
            return true;
        }
        $diff = array_diff($name, $list);
        if ($relation == 'and' and empty($diff)) {
            return true;
        }
        return false;
    }
 
    /**
     * 根據用戶id獲取用戶組,返回值為數組
     * @param  uid int     用戶id
     * @return array       用戶所屬的用戶組 array(
     *     array('uid'=>'用戶id','group_id'=>'用戶組id','title'=>'用戶組名稱','rules'=>'用戶組擁有的規則id,多個,號隔開'),
     *     ...)  
     */
    public function getGroups($uid) {
        static $groups = array();
        if (isset($groups[$uid]))
            return $groups[$uid];
        $user_groups = M()
            ->table($this->_config['AUTH_GROUP_ACCESS'] . ' a')
            ->where("a.uid='$uid' and g.status='1'")
            ->join($this->_config['AUTH_GROUP']." g on a.group_id=g.id")
            ->field('uid,group_id,title,rules')->select();
        $groups[$uid]=$user_groups?:array();
        return $groups[$uid];
    }
 
    /**
     * 獲得權限列表
     * @param integer $uid  用戶id
     * @param integer $type
     */
    protected function getAuthList($uid,$type) {
        static $_authList = array(); //保存用戶驗證通過的權限列表
        $t = implode(',',(array)$type);
        if (isset($_authList[$uid.$t])) {
            return $_authList[$uid.$t];
        }
        if( $this->_config['AUTH_TYPE']==2 && isset($_SESSION['_AUTH_LIST_'.$uid.$t])){
            return $_SESSION['_AUTH_LIST_'.$uid.$t];
        }
 
        //讀取用戶所屬用戶組，一個用戶可以屬於多個用戶組
        $groups = $this->getGroups($uid);
        $ids = array();//保存用戶所屬用戶組設置的所有權限規則id
        foreach ($groups as $g) {
            $ids = array_merge($ids, explode(',', trim($g['rules'], ',')));
        }
        $ids = array_unique($ids);
        if (empty($ids)) {
            $_authList[$uid.$t] = array();
            return array();
        }
 
        $map=array(
            'id'=>array('in',$ids),
            'type'=>$type,
            'status'=>1,
        );
        //讀取用戶組所有權限規則
        $rules = M()->table($this->_config['AUTH_RULE'])->where($map)->field('condition,name')->select();
 
        //循環規則，判斷結果。
        $authList = array();   //
        foreach ($rules as $rule) {
            if (!empty($rule['condition'])) { //根據condition進行驗證
                $user = $this->getUserInfo($uid);//獲取用戶信息,一維數組
                //使用用戶的信息進行條件判斷
                //正則表達式替換，如定義{score}>5  and {score}<100  表示用戶的分數在5-100之間時這條規則才會通過。
                $command = preg_replace('/\{(\w*?)\}/', '$user[\'\\1\']', $rule['condition']);
                //eval() 函數把字符串按照 PHP 代碼來計算。
                @(eval('$condition=(' . $command . ');'));
                if ($condition) {
                    $authList[] = strtolower($rule['name']);
                }
            } else {
                //只要存在就記錄
                $authList[] = strtolower($rule['name']);
            }
        }
        $_authList[$uid.$t] = $authList;
        if($this->_config['AUTH_TYPE']==2){
            //如果是登錄認證，規則列表結果保存到session，不是實時認證，就可以直接用session緩存了
            $_SESSION['_AUTH_LIST_'.$uid.$t]=$authList;
        }
        return array_unique($authList);
    }
 
    /**
     * 獲得用戶資料,根據自己的情況讀取數據庫
     */
    protected function getUserInfo($uid) {
        static $userinfo=array();
        if(!isset($userinfo[$uid])){
             $userinfo[$uid]=M()->where(array('uid'=>$uid))->table($this->_config['AUTH_USER'])->find();
        }
        return $userinfo[$uid];
    }
 
}

實際使用

非常簡單，就一個函數搞定
public function check($name, $uid, $type=1, $mode='url', $relation='or')

    /**
     * 權限檢測
     * @param string  $rule    檢測的規則，例如Admin/Category/add，Admin/Category/edit，Admin/User/changeStatus?method=deleteUser
     * @param string  $mode    check模式
     * @return boolean
     */
    final protected function checkRule($rule, $type=AuthRuleModel::RULE_URL, $mode='url'){
        if(IS_ROOT){
            return true;//管理員允許訪問任何頁面
        }
        static $Auth    =   null;
        if (!$Auth) {
            $Auth       =   new \Think\Auth();
        }
        //$rule  = strtolower(MODULE_NAME.'/'.CONTROLLER_NAME.'/'.ACTION_NAME);
        if(!$Auth->check($rule,UID,$type,$mode)){
            return false;
        }
        return true;
    }

參考

http://www.thinkphp.cn/topic/4029.html
http://www.thinkphp.cn/extend/675.html

 

來自為知筆記(Wiz)