php实现rbac

PHP实现RBAC（基于角色的访问控制）

RBAC（Role-Based Access Control）是一种常见的权限管理模型，通过角色关联权限，用户通过分配角色间接获得权限。以下是PHP实现RBAC的核心步骤和代码示例。

数据库设计

RBAC通常需要以下数据表结构：

1. 用户表（users）
   存储用户基本信息，如用户ID、用户名、密码等。

   CREATE TABLE users (
       id INT PRIMARY KEY AUTO_INCREMENT,
       username VARCHAR(50) NOT NULL,
       password VARCHAR(255) NOT NULL
   );

2. 角色表（roles）
   定义系统角色，如管理员、编辑、普通用户等。

   CREATE TABLE roles (
       id INT PRIMARY KEY AUTO_INCREMENT,
       name VARCHAR(50) NOT NULL
   );

3. 权限表（permissions）
   存储具体权限项，如“创建文章”、“删除用户”等。

   CREATE TABLE permissions (
       id INT PRIMARY KEY AUTO_INCREMENT,
       name VARCHAR(50) NOT NULL,
       description TEXT
   );

4. 用户角色关联表（user_roles）
   关联用户与角色，支持多对多关系。

   CREATE TABLE user_roles (
       user_id INT NOT NULL,
       role_id INT NOT NULL,
       PRIMARY KEY (user_id, role_id),
       FOREIGN KEY (user_id) REFERENCES users(id),
       FOREIGN KEY (role_id) REFERENCES roles(id)
   );

5. 角色权限关联表（role_permissions）
   关联角色与权限，支持多对多关系。

   CREATE TABLE role_permissions (
       role_id INT NOT NULL,
       permission_id INT NOT NULL,
       PRIMARY KEY (role_id, permission_id),
       FOREIGN KEY (role_id) REFERENCES roles(id),
       FOREIGN KEY (permission_id) REFERENCES permissions(id)
   );

核心功能实现

检查用户权限

通过用户ID查询其角色及权限，判断是否拥有特定权限。

function hasPermission($userId, $permissionName) {
    // 查询用户角色关联的权限
    $sql = "SELECT p.name 
            FROM permissions p
            JOIN role_permissions rp ON p.id = rp.permission_id
            JOIN user_roles ur ON rp.role_id = ur.role_id
            WHERE ur.user_id = ? AND p.name = ?";
    $stmt = $pdo->prepare($sql);
    $stmt->execute([$userId, $permissionName]);
    return $stmt->fetch() !== false;
}

动态菜单生成

根据用户权限生成可见的菜单项。

function getMenuItems($userId) {
    $sql = "SELECT p.name, p.description 
            FROM permissions p
            JOIN role_permissions rp ON p.id = rp.permission_id
            JOIN user_roles ur ON rp.role_id = ur.role_id
            WHERE ur.user_id = ? AND p.name LIKE 'menu_%'";
    $stmt = $pdo->prepare($sql);
    $stmt->execute([$userId]);
    return $stmt->fetchAll(PDO::FETCH_ASSOC);
}

权限中间件（适用于MVC框架）

在控制器或路由层添加权限校验：

class AuthMiddleware {
    public function handle($request, $permission) {
        $userId = $_SESSION['user_id'] ?? null;
        if (!$userId || !hasPermission($userId, $permission)) {
            header("HTTP/1.1 403 Forbidden");
            exit("无权访问");
        }
    }
}

// 使用示例
$middleware = new AuthMiddleware();
$middleware->handle($request, 'delete_user');

扩展建议

1. 缓存权限数据
   频繁查询数据库会影响性能，可将用户权限缓存到Redis或Session中。

2. 超级管理员角色
   设置一个超级管理员角色，跳过所有权限检查。

3. 权限分组
   将权限按模块分组（如“文章管理”、“用户管理”），便于管理。

4. 日志记录
   记录权限变更和访问日志，便于审计。

   

通过以上设计，可实现灵活的RBAC系统，适用于大多数PHP项目。实际开发中可根据需求调整表结构或扩展功能。