php 实现rbac

PHP 实现 RBAC（基于角色的访问控制）

RBAC（Role-Based Access Control）是一种常见的权限管理模型，通过角色来管理用户权限。以下是实现 RBAC 的几种方法和关键步骤。

数据库设计

RBAC 的核心是数据库表的设计，通常包含以下表：

1. 用户表（users）
   存储用户基本信息，如用户 ID、用户名、密码等。

   CREATE TABLE users (
       id INT PRIMARY KEY AUTO_INCREMENT,
       username VARCHAR(50) NOT NULL,
       password VARCHAR(255) NOT NULL
   );

2. 角色表（roles）
   定义系统中的角色，如管理员、编辑、普通用户等。

   CREATE TABLE roles (
       id INT PRIMARY KEY AUTO_INCREMENT,
       name VARCHAR(50) NOT NULL
   );

3. 用户角色关联表（user_roles）
   记录用户与角色的对应关系。

   CREATE TABLE user_roles (
       user_id INT,
       role_id INT,
       PRIMARY KEY (user_id, role_id),
       FOREIGN KEY (user_id) REFERENCES users(id),
       FOREIGN KEY (role_id) REFERENCES roles(id)
   );

4. 权限表（permissions）
   定义具体的权限，如“创建文章”、“删除用户”等。

   CREATE TABLE permissions (
       id INT PRIMARY KEY AUTO_INCREMENT,
       name VARCHAR(50) NOT NULL,
       description TEXT
   );

5. 角色权限关联表（role_permissions）
   记录角色与权限的对应关系。

   CREATE TABLE role_permissions (
       role_id INT,
       permission_id INT,
       PRIMARY KEY (role_id, permission_id),
       FOREIGN KEY (role_id) REFERENCES roles(id),
       FOREIGN KEY (permission_id) REFERENCES permissions(id)
   );

实现权限检查

在 PHP 中，可以通过以下方式检查用户是否具有某项权限：

1. 查询用户角色
   根据用户 ID 查询其所属角色。

   function getUserRoles($userId) {
       $stmt = $pdo->prepare("SELECT role_id FROM user_roles WHERE user_id = ?");
       $stmt->execute([$userId]);
       return $stmt->fetchAll(PDO::FETCH_COLUMN);
   }

2. 查询角色权限
   根据角色 ID 查询其拥有的权限。

   

   function getRolePermissions($roleId) {
       $stmt = $pdo->prepare("SELECT permission_id FROM role_permissions WHERE role_id = ?");
       $stmt->execute([$roleId]);
       return $stmt->fetchAll(PDO::FETCH_COLUMN);
   }

3. 检查用户权限
   结合用户角色和角色权限，判断用户是否具有某项权限。

   function hasPermission($userId, $permissionName) {
       $roles = getUserRoles($userId);
       $stmt = $pdo->prepare("SELECT id FROM permissions WHERE name = ?");
       $stmt->execute([$permissionName]);
       $permissionId = $stmt->fetchColumn();
   
       foreach ($roles as $roleId) {
           $permissions = getRolePermissions($roleId);
           if (in_array($permissionId, $permissions)) {
               return true;
           }
       }
       return false;
   }

中间件实现

在 MVC 框架（如 Laravel 或 Symfony）中，可以通过中间件实现权限控制：

1. 创建权限中间件
   在 Laravel 中，可以创建一个中间件来检查权限。

   namespace App\Http\Middleware;
   
   use Closure;
   
   class CheckPermission {
       public function handle($request, Closure $next, $permission) {
           if (!auth()->user()->hasPermission($permission)) {
               abort(403, 'Unauthorized');
           }
           return $next($request);
       }
   }

2. 注册中间件
   在 app/Http/Kernel.php 中注册中间件。

   protected $routeMiddleware = [
       'permission' => \App\Http\Middleware\CheckPermission::class,
   ];

3. 使用中间件
   在路由中调用中间件。

   

   Route::get('/admin', function () {
       return view('admin.dashboard');
   })->middleware('permission:admin_access');

缓存优化

频繁查询权限可能影响性能，可以通过缓存优化：

1. 缓存用户权限
   将用户权限缓存到 Session 或 Redis 中。

   function getCachedPermissions($userId) {
       $key = "user_permissions_{$userId}";
       if ($permissions = Cache::get($key)) {
           return $permissions;
       }
   
       $permissions = // 查询数据库获取权限
       Cache::put($key, $permissions, 3600);
       return $permissions;
   }

2. 清除缓存
   在权限变更时清除缓存。

   function clearPermissionCache($userId) {
       $key = "user_permissions_{$userId}";
       Cache::forget($key);
   }

扩展功能

1. 动态角色和权限
   可以通过管理界面动态添加角色和权限，无需修改代码。

2. 权限继承
   实现角色继承，子角色自动拥有父角色的权限。

3. 多级权限
   支持模块化权限，如“文章:编辑”、“用户:删除”。

通过以上方法，可以灵活实现 RBAC 系统，满足大多数权限管理需求。