php实现不同角色登录

PHP实现不同角色登录的方法

数据库设计

创建用户表时需包含角色字段（如role），常见角色如admin、user、guest。示例表结构：

CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(50) NOT NULL,
    password VARCHAR(255) NOT NULL,
    role ENUM('admin', 'user', 'guest') DEFAULT 'user'
);

登录验证逻辑

用户提交登录表单后，验证凭据并获取角色信息：

// 验证登录
$stmt = $pdo->prepare("SELECT id, password, role FROM users WHERE username = ?");
$stmt->execute([$_POST['username']]);
$user = $stmt->fetch();

if ($user && password_verify($_POST['password'], $user['password'])) {
    $_SESSION['user_id'] = $user['id'];
    $_SESSION['user_role'] = $user['role'];
    header('Location: dashboard.php');
}

权限控制

在需要权限控制的页面顶部添加检查逻辑：

session_start();
if (!isset($_SESSION['user_role'])) {
    header('Location: login.php');
    exit;
}

// 管理员专属页面检查
if ($_SESSION['user_role'] !== 'admin') {
    header('HTTP/1.0 403 Forbidden');
    exit;
}

前端界面区分

根据用户角色显示不同内容：

<?php if ($_SESSION['user_role'] === 'admin'): ?>
    <a href="admin_panel.php">管理后台</a>
<?php endif; ?>

路由保护

使用中间件或统一入口文件控制访问：

// router.php
$allowedRoles = [
    '/admin' => ['admin'],
    '/profile' => ['admin', 'user']
];

$path = parse_url($_SERVER['REQUEST_URI'], PHP_URL_PATH);
if (isset($allowedRoles[$path]) && !in_array($_SESSION['user_role'], $allowedRoles[$path])) {
    die('无权访问');
}

密码安全

始终使用密码哈希处理：

$hashedPassword = password_hash($password, PASSWORD_DEFAULT);

补充建议

• 使用预处理语句防止SQL注入
• 实现CSRF保护机制
• 重要操作需二次验证
• 定期审计权限分配

这种方法通过会话存储角色信息，结合数据库验证实现多角色系统，适合大多数PHP应用场景。