RBAC的介绍与认识

RBAC的介绍与认识

  1. RBAC是Role-Based Access Control的首字母,译成中文即基于角色的权限访问控制。简单来说就是用户对应角色,角色对应权限,一个用户可以对应多个角色,一个角色对应着多个权限,他们之间形成的是多对多的关系,因此就有了“用户-角色-权限”。

  2. 需求:
    为何需要设置RBAC权限管理?由于角色、权限之间的变化比角色、用户关系之间的变化相对要慢得多(好比新公司不断增进员工,但是里面每个职位所对应做的事是变化比较小的),减小了授权管理的复杂性,降低管理开销;而且能够灵活地支持应用系统的安全策略,并对应用系统的变化有很大的伸缩性;在操作上,权限分配直观、容易理解,便于使用(只需对角色分配权限就可以了,方便操作);分级权限适合分层的用户级形式;重用性强。

  3. 设计:

    用户表:记录下用户的基本信息,该用户属于哪个渠道,该管理员是普通管理员还是超级管理员。所以增加了渠道字段source_id,以及管理员字段is_admin。管理员分为三种,普通管理员、超级管理员、系统管理员。系统管理员可以理解为开发者,用来创建超级管理员并给超级管理员分配权限,超级管理员则是对应渠道的最大权限管理员。

    角色表:用户通过角色与资源相关联。这里需要增加渠道字段,每个渠道创建的角色归本渠道所有。(这边角色可以有:编辑者、审查员)

    资源表:这里的理解就是一个个的系统菜单。(系统的操作菜单:文章的添加、文章的修改、文章的删除、文章的查看等操作)

    角色资源关系表:维护角色与资源的关系。(比如:编辑者只能对文章进行添加、以及文章修改;而审查员能对文章进行查看以及文章的删除等等)
    在TP框架中你可以在Extend/Library/ORG/Util中找到RBAC.class.PHP文件参考建表语句,其中表字段的含义如下:
    think_user表:这里写图片描述

    think_role表:这里写图片描述

    think_node表:这里写图片描述

    think_role_user表:这里写图片描述

其表之间的关联关系如图:

这里写图片描述

4.实现:

1.实现RBAC管理的前导性工作

首先,主要是做一些前导性的工作,1)用户的增、删、改、查 2)角色的增、删、改、查 3)节点的增、删、改、查 4)配置权限(更新权限)。然后,RBAC处理类提供静态的方法有:
这里写图片描述这里写图片描述这里写图片描述

2.config文件文件配置

array(
    'APP_AUTOLOAD_PATH'=>'@.TagLib',
    'SESSION_AUTO_START'=>true,
    'USER_AUTH_ON'              =>true,
    'USER_AUTH_TYPE'            =>1,        // 默认认证类型 1 登录认证 2 实时认证
    'USER_AUTH_KEY'             =>'authId',    // 用户认证SESSION标记
    'ADMIN_AUTH_KEY'            =>'administrator',
    'USER_AUTH_MODEL'           =>'User',    // 默认验证数据表模型
    'AUTH_PWD_ENCODER'          =>'md5',    // 用户认证密码加密方式
    'USER_AUTH_GATEWAY'         =>'/Public/login',// 默认认证网关
    'NOT_AUTH_MODULE'           =>'Public',    // 默认无需认证模块
    'REQUIRE_AUTH_MODULE'       =>'',        // 默认需要认证模块
    'NOT_AUTH_ACTION'           =>'',        // 默认无需认证操作
    'REQUIRE_AUTH_ACTION'       =>'',        // 默认需要认证操作
    'GUEST_AUTH_ON'             =>false,    // 是否开启游客授权访问
    'GUEST_AUTH_ID'             =>0,        // 游客的用户ID
    'DB_LIKE_FIELDS'            =>'title|remark',
    'RBAC_ROLE_TABLE'           =>'think_role',
    'RBAC_USER_TABLE'           =>'think_role_user',
    'RBAC_ACCESS_TABLE'         =>'think_access',
    'RBAC_NODE_TABLE'           =>'think_node',
    'SHOW_PAGE_TRACE'=>1//显示调试信息
);

ADMIN_AUTH_KEY表示超级管理员权限,如果你在user表建立一个名为admin的用户,那么这个用户就是超级管理员,不用给它分配权限,什么权限都有,为什么要设置一个这样的管理员,因为当你把权限分配错了容易引起系统权限混乱,搞得大家都访问不了,这时候超级管理员就来了。(这也就是为什么需要超级管理员了)

3.RBAC处理类的实际应用

在完成用户登录,角色创建,节点增删改查的工作后,就只剩下了RBAC如何在对应程序代码中应用了。挻简单的,只用在原来的代码其他上改动几个地方即可。
用户登录时,写入用户权限
用户操作时,进行权限验证(在其验证时要在控制器目录创建一个
CommonAction.class.php文件,然后改写所有要权限验证的类,让其继承自CommonAction,进行每次控制器的判断)

在ThinkPHP中提供了一个_initialize()方法,是在类初始化就会执行的,也就是只要后面控制器继承自CommonAction类,就会在作对应操作时,执行_initialize()方法。

posted on   向前看!明天会更好!  阅读(708)  评论(0编辑  收藏  举报

编辑推荐:
· .NET 9 new features-C#13新的锁类型和语义
· Linux系统下SQL Server数据库镜像配置全流程详解
· 现代计算机视觉入门之:什么是视频
· 你所不知道的 C/C++ 宏知识
· 聊一聊 操作系统蓝屏 c0000102 的故障分析
阅读排行:
· 回顾我的软件开发经历(1)
· 不到万不得已,千万不要去外包
· C# WebAPI 插件热插拔(持续更新中)
· .NET 9 new features-C#13新的锁类型和语义
· 会议真的有必要吗?我们产品开发9年了,但从来没开过会
< 2025年1月 >
29 30 31 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 1
2 3 4 5 6 7 8

统计

点击右上角即可分享
微信分享提示