php 实现 权限管理

权限管理的基本概念

权限管理通常涉及用户角色分配、权限验证和访问控制。核心是通过角色（Role）和权限（Permission）的关联，限制用户对系统资源的访问。

数据库设计

创建三张基础表：用户表（users）、角色表（roles）、权限表（permissions），以及关联表：

CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(50) UNIQUE,
    password VARCHAR(255)
);

CREATE TABLE roles (
    id INT AUTO_INCREMENT PRIMARY KEY,
    name VARCHAR(50) UNIQUE
);

CREATE TABLE permissions (
    id INT AUTO_INCREMENT PRIMARY KEY,
    name VARCHAR(50) UNIQUE,
    description TEXT
);

-- 用户与角色关联表
CREATE TABLE user_role (
    user_id INT,
    role_id INT,
    PRIMARY KEY (user_id, role_id)
);

-- 角色与权限关联表
CREATE TABLE role_permission (
    role_id INT,
    permission_id INT,
    PRIMARY KEY (role_id, permission_id)
);

权限验证逻辑

通过中间件或函数检查当前用户是否具有特定权限：

function hasPermission($userId, $permissionName) {
    $query = "SELECT COUNT(*) FROM permissions p
              JOIN role_permission rp ON p.id = rp.permission_id
              JOIN user_role ur ON rp.role_id = ur.role_id
              WHERE ur.user_id = ? AND p.name = ?";
    $stmt = $pdo->prepare($query);
    $stmt->execute([$userId, $permissionName]);
    return $stmt->fetchColumn() > 0;
}

路由保护示例

在框架（如Laravel）中可通过中间件实现：

class CheckPermission
{
    public function handle($request, Closure $next, $permission) {
        if (!auth()->user()->hasPermission($permission)) {
            abort(403);
        }
        return $next($request);
    }
}

路由注册：

Route::get('/admin', function () {
    // 管理员面板
})->middleware('permission:admin_access');

权限缓存优化

频繁查询数据库会影响性能，建议使用缓存：

function getCachedPermissions($userId) {
    $cacheKey = "user_permissions_{$userId}";
    if (Cache::has($cacheKey)) {
        return Cache::get($cacheKey);
    }
    $permissions = /* 数据库查询逻辑 */;
    Cache::put($cacheKey, $permissions, 3600);
    return $permissions;
}

前端界面控制

隐藏无权限操作的UI元素：

@if(auth()->user()->can('edit_post'))
    <button>编辑文章</button>
@endif

安全注意事项

• 永远在后端进行最终权限验证
• 遵循最小权限原则
• 定期审计权限分配
• 使用预处理语句防止SQL注入

以上方案可根据具体框架（如Laravel的Gate/Policy系统）进行调整，核心思想是分离权限判断与业务逻辑。