php 实现rbac
PHP 实现 RBAC(基于角色的访问控制)
RBAC(Role-Based Access Control)是一种常见的权限管理模型,通过角色关联权限,用户通过分配角色间接获得权限。以下是 PHP 实现 RBAC 的核心步骤和代码示例。
数据库设计
典型的 RBAC 数据库表结构包含以下表:
- users:用户表
- roles:角色表
- permissions:权限表
- role_user:用户与角色的关联表(多对多)
- permission_role:权限与角色的关联表(多对多)
CREATE TABLE `users` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`name` varchar(255) NOT NULL,
PRIMARY KEY (`id`)
);
CREATE TABLE `roles` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`name` varchar(255) NOT NULL,
PRIMARY KEY (`id`)
);
CREATE TABLE `permissions` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`name` varchar(255) NOT NULL,
PRIMARY KEY (`id`)
);
CREATE TABLE `role_user` (
`user_id` int(11) NOT NULL,
`role_id` int(11) NOT NULL,
PRIMARY KEY (`user_id`, `role_id`)
);
CREATE TABLE `permission_role` (
`permission_id` int(11) NOT NULL,
`role_id` int(11) NOT NULL,
PRIMARY KEY (`permission_id`, `role_id`)
);核心功能实现
1. 检查用户权限
通过用户 ID 查询其角色关联的权限,判断是否有指定权限。
function hasPermission($userId, $permissionName) {
// 查询用户角色
$roles = DB::table('role_user')
->where('user_id', $userId)
->pluck('role_id');
if ($roles->isEmpty()) {
return false;
}
// 查询角色关联的权限
$permissionExists = DB::table('permissions')
->join('permission_role', 'permissions.id', '=', 'permission_role.permission_id')
->whereIn('permission_role.role_id', $roles)
->where('permissions.name', $permissionName)
->exists();
return $permissionExists;
}2. 中间件实现权限拦截
在 Laravel 等框架中,可以通过中间件拦截请求并验证权限。
namespace App\Http\Middleware;
use Closure;
class CheckPermission
{
public function handle($request, Closure $next, $permission)
{
if (!hasPermission(auth()->id(), $permission)) {
abort(403, 'Unauthorized');
}
return $next($request);
}
}注册中间件后,在路由中使用:
Route::get('/admin', function () {
return view('admin.dashboard');
})->middleware('permission:manage_admin');扩展功能
缓存权限查询结果
频繁查询数据库会影响性能,可以使用缓存(如 Redis)存储用户权限。
function getCachedPermissions($userId) {
$cacheKey = "user_permissions:$userId";
if (Cache::has($cacheKey)) {
return Cache::get($cacheKey);
}
$permissions = DB::table('permissions')
->join('permission_role', 'permissions.id', '=', 'permission_role.permission_id')
->join('role_user', 'permission_role.role_id', '=', 'role_user.role_id')
->where('role_user.user_id', $userId)
->pluck('permissions.name')
->toArray();
Cache::put($cacheKey, $permissions, 3600); // 缓存 1 小时
return $permissions;
}现成工具推荐
如果不想从零实现,可以使用以下 PHP 库:
- Laravel Spatie/Permission:专为 Laravel 设计的 RBAC 包。
- Zend Framework RBAC:Zend 框架的权限管理组件。
- Yii2 RBAC:Yii2 内置的 RBAC 系统。
以 Spatie/Permission 为例,安装后只需简单配置:
// 分配角色和权限
$user->assignRole('admin');
$role = Role::create(['name' => 'admin']);
$role->givePermissionTo('manage_users');
// 检查权限
if ($user->can('manage_users')) {
// 允许访问
}注意事项
- 避免过度分配角色,遵循最小权限原则。
- 定期审计权限分配情况。
- 对于高性能场景,建议结合缓存和数据库索引优化查询。
通过以上方法,可以灵活实现 PHP 中的 RBAC 系统。
