在PHP项目开发中,用户权限管理是后台系统的核心功能之一,合理的权限设计能避免越权操作,保障系统数据安全。下面我们就从基础设计到代码实现,完整讲解PHP用户权限管理的落地方法。
一、权限管理的常见方案
目前PHP项目中常用的权限管理方案主要有两种:
- ACL访问控制列表:直接给用户分配具体权限,适合用户数量少、权限规则简单的场景,缺点是用户多时维护成本高。
- RBAC基于角色的权限控制:先定义角色,给角色分配权限,再把用户关联到角色,是目前企业级项目最常用的方案,扩展性和维护性都更好。
本文我们重点讲解RBAC方案的实现,这也是大多数PHP项目会选择的权限管理方式。
二、RBAC的数据库表设计
RBAC核心需要5张表,分别是用户表、角色表、权限表、用户角色关联表、角色权限关联表,下面是具体的表结构SQL:
-- 用户表 CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(50) NOT NULL COMMENT '用户名', `password` varchar(255) NOT NULL COMMENT '密码', PRIMARY KEY (`id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4; -- 角色表 CREATE TABLE `role` ( `id` int(11) NOT NULL AUTO_INCREMENT, `role_name` varchar(50) NOT NULL COMMENT '角色名称,如管理员、普通用户', `description` varchar(255) DEFAULT NULL COMMENT '角色描述', PRIMARY KEY (`id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4; -- 权限表 CREATE TABLE `permission` ( `id` int(11) NOT NULL AUTO_INCREMENT, `perm_name` varchar(100) NOT NULL COMMENT '权限标识,如user:add', `perm_desc` varchar(255) DEFAULT NULL COMMENT '权限描述,如添加用户', `module` varchar(50) DEFAULT NULL COMMENT '所属模块,如用户管理', PRIMARY KEY (`id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4; -- 用户角色关联表 CREATE TABLE `user_role` ( `user_id` int(11) NOT NULL, `role_id` int(11) NOT NULL, PRIMARY KEY (`user_id`,`role_id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4; -- 角色权限关联表 CREATE TABLE `role_permission` ( `role_id` int(11) NOT NULL, `permission_id` int(11) NOT NULL, PRIMARY KEY (`role_id`,`permission_id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
三、核心权限验证逻辑实现
权限验证的核心流程是:获取当前登录用户的ID,查询用户关联的所有角色,再查询这些角色拥有的所有权限,最后判断当前操作的权限是否在用户拥有的权限列表中。
1. 权限验证类实现
我们先封装一个权限验证类,包含获取用户权限、验证权限两个核心方法:
<?php
class PermissionCheck {
private $db; // 数据库连接对象
public function __construct($db) {
$this->db = $db;
}
/**
* 获取用户拥有的所有权限
* @param int $userId 用户ID
* @return array 权限标识数组
*/
public function getUserPermissions($userId) {
// 查询用户关联的角色
$roleSql = "SELECT role_id FROM user_role WHERE user_id = {$userId}";
$roleResult = $this->db->query($roleSql);
$roleIds = [];
while ($row = $roleResult->fetch_assoc()) {
$roleIds[] = $row['role_id'];
}
if (empty($roleIds)) {
return [];
}
// 查询角色对应的权限
$roleIdStr = implode(',', $roleIds);
$permSql = "SELECT p.perm_name FROM permission p
INNER JOIN role_permission rp ON p.id = rp.permission_id
WHERE rp.role_id IN ({$roleIdStr})";
$permResult = $this->db->query($permSql);
$permissions = [];
while ($row = $permResult->fetch_assoc()) {
$permissions[] = $row['perm_name'];
}
return array_unique($permissions);
}
/**
* 验证用户是否有某个权限
* @param int $userId 用户ID
* @param string $permName 权限标识
* @return bool
*/
public function check($userId, $permName) {
$userPermissions = $this->getUserPermissions($userId);
return in_array($permName, $userPermissions);
}
}
?>2. 业务场景中的权限判断示例
在实际业务中,比如判断用户是否能添加用户,我们可以这样使用上面的权限验证类:
<?php
// 假设已经获取当前登录用户的ID
$currentUserId = 1;
// 假设已经初始化数据库连接$db
$permCheck = new PermissionCheck($db);
// 验证是否有用户添加权限
if ($permCheck->check($currentUserId, 'user:add')) {
echo '你有添加用户的权限,可以执行添加操作';
// 执行添加用户的业务逻辑
} else {
echo '你没有添加用户的权限,禁止操作';
// 返回无权限提示或者跳转到403页面
}
?>四、权限管理的优化建议
在实际项目中,还可以对权限管理做进一步优化:
- 可以把用户权限缓存到Redis中,避免每次请求都查询数据库,提升性能。
- 可以给权限增加层级关系,比如父权限包含子权限,简化权限分配逻辑。
- 可以在中间件层面统一做权限验证,不需要在每个业务接口中单独写判断逻辑,减少重复代码。
以上就是PHP实现用户权限管理的完整方法,基于RBAC的方案可以覆盖绝大多数项目的权限需求,开发者可以根据自己的业务场景调整表结构和验证逻辑。