php rbac 实现

PHP RBAC 实现方法

RBAC（Role-Based Access Control）是一种基于角色的权限控制模型，通过角色关联权限，用户通过分配角色来获得权限。以下是实现 RBAC 的几种方法：

使用框架内置功能

许多 PHP 框架内置了 RBAC 或类似功能。例如 Laravel 的 Gate 和 Policy 系统，Yii2 的 RBAC 组件。这些框架提供了开箱即用的解决方案，适合快速开发。

自定义 RBAC 实现

对于不使用框架或需要高度定制的情况，可以自行实现 RBAC。通常需要创建几个数据库表：用户表、角色表、权限表、用户角色关联表、角色权限关联表。

CREATE TABLE users (
    id INT PRIMARY KEY AUTO_INCREMENT,
    username VARCHAR(50) NOT NULL
);

CREATE TABLE roles (
    id INT PRIMARY KEY AUTO_INCREMENT,
    name VARCHAR(50) NOT NULL
);

CREATE TABLE permissions (
    id INT PRIMARY KEY AUTO_INCREMENT,
    name VARCHAR(50) NOT NULL
);

CREATE TABLE user_role (
    user_id INT,
    role_id INT,
    PRIMARY KEY (user_id, role_id)
);

CREATE TABLE role_permission (
    role_id INT,
    permission_id INT,
    PRIMARY KEY (role_id, permission_id)
);

实现权限检查

在应用中需要检查权限的地方，可以创建一个权限检查类。这个类负责验证用户是否具有特定权限。

class AuthChecker {
    public static function check($userId, $permissionName) {
        // 查询用户角色
        $roles = DB::select(
            "SELECT role_id FROM user_role WHERE user_id = ?", 
            [$userId]
        );

        // 查询角色权限
        foreach($roles as $role) {
            $hasPermission = DB::select(
                "SELECT 1 FROM role_permission rp 
                 JOIN permissions p ON rp.permission_id = p.id 
                 WHERE rp.role_id = ? AND p.name = ?",
                [$role->role_id, $permissionName]
            );

            if(!empty($hasPermission)) {
                return true;
            }
        }

        return false;
    }
}

缓存优化

频繁的权限检查会影响性能。可以通过缓存用户权限来优化。当用户登录时，加载所有权限并缓存起来。

class AuthChecker {
    public static function getUserPermissions($userId) {
        $cacheKey = "user_permissions_{$userId}";
        if($permissions = Cache::get($cacheKey)) {
            return $permissions;
        }

        $permissions = DB::select(
            "SELECT p.name FROM permissions p
             JOIN role_permission rp ON p.id = rp.permission_id
             JOIN user_role ur ON rp.role_id = ur.role_id
             WHERE ur.user_id = ?",
            [$userId]
        );

        Cache::set($cacheKey, $permissions, 3600);
        return $permissions;
    }

    public static function check($userId, $permissionName) {
        $permissions = self::getUserPermissions($userId);
        foreach($permissions as $permission) {
            if($permission->name === $permissionName) {
                return true;
            }
        }
        return false;
    }
}

中间件实现

在 MVC 框架中，可以使用中间件来进行权限验证。这样可以统一处理权限检查逻辑。

class PermissionMiddleware {
    public function handle($request, $next, $permission) {
        if(!AuthChecker::check(Auth::id(), $permission)) {
            abort(403, '无权访问');
        }

        return $next($request);
    }
}

使用开源包

有一些专门为 PHP 开发的 RBAC 包，如 php-rbac、Zend\Permissions\Rbac 等。这些包提供了完整的 RBAC 实现，可以直接集成到项目中。

use Zend\Permissions\Rbac\Rbac;
use Zend\Permissions\Rbac\Role;

$rbac = new Rbac();
$admin = new Role('admin');
$admin->addPermission('delete_user');
$rbac->addRole($admin);

if($rbac->isGranted('admin', 'delete_user')) {
    // 执行删除操作
}

分层权限控制

对于复杂系统，可以实现分层的权限控制。例如将权限分为模块权限、操作权限等不同层级，实现更细粒度的控制。

class HierarchicalAuth {
    public static function check($userId, $module, $action) {
        $permissionName = "{$module}.{$action}";
        return AuthChecker::check($userId, $permissionName);
    }
}

通过以上方法，可以实现灵活且高效的 RBAC 系统。根据项目需求选择合适的实现方式，平衡开发效率和系统性能。