在PHP框架中实现权限控制,最常用且成熟的方案是RBAC(基于角色的访问控制)权限模型,配合清晰的节点管理逻辑,就能搭建出适配多场景的权限体系。RBAC模型的核心思路是将用户、角色、权限三者解耦,通过角色作为中间载体,让用户和权限建立关联,避免直接给用户分配权限带来的维护成本过高问题。
RBAC权限模型核心组成
RBAC权限模型主要包含四个核心部分,各部分职责明确,共同支撑权限体系的运行:
- 用户(User):系统的实际使用主体,每个用户可以被分配多个角色。
- 角色(Role):权限的集合载体,比如管理员、普通员工、访客等,不同角色对应不同的权限集合。
- 权限(Permission):对应系统内的具体操作权限,通常和节点绑定,比如查看用户列表、编辑文章等。
- 节点(Node):系统功能的最小单元,一般是某个控制器的某个方法,是权限控制的具体作用点。
节点管理的实现逻辑
节点是权限控制的基础,需要先梳理清楚系统内的所有可管控功能点,通常节点可以按照模块、控制器、方法进行层级划分。在PHP框架中,我们可以通过数据库存储节点信息,也可以结合框架的反射机制自动扫描节点。
节点表结构设计
以下是一个基础的节点表结构示例,适配大多数PHP框架的权限需求:
| 字段名 | 类型 | 说明 |
|---|---|---|
| id | int | 节点主键ID |
| name | varchar | 节点标识,比如控制器方法名 |
| title | varchar | 节点名称,比如查看用户列表 |
| module | varchar | 所属模块,比如admin |
| controller | varchar | 所属控制器,比如User |
| action | varchar | 所属方法,比如index |
| pid | int | 父节点ID,0表示顶级节点 |
| status | tinyint | 节点状态,1启用0禁用 |
自动扫描节点代码示例
在PHP框架中可以通过反射自动扫描控制器方法生成节点,以下是ThinkPHP框架下的扫描示例:
<?php
namespace app\admin\controller;
use think\Controller;
use think\facade\Db;
class Node extends Controller
{
// 扫描控制器生成节点
public function scanNode()
{
// 要扫描的控制器目录
$controllerPath = app_path() . 'controller' . DIRECTORY_SEPARATOR;
$files = scandir($controllerPath);
$nodeList = [];
foreach ($files as $file) {
if ($file == '.' || $file == '..') {
continue;
}
// 获取控制器类名
$controllerName = str_replace('.php', '', $file);
$className = 'app\\admin\\controller\\' . $controllerName;
// 反射获取类方法
$refClass = new \ReflectionClass($className);
$methods = $refClass->getMethods(\ReflectionMethod::IS_PUBLIC);
foreach ($methods as $method) {
// 排除父类方法
if ($method->class != $className) {
continue;
}
// 排除魔术方法
if (strpos($method->getName(), '__') === 0) {
continue;
}
$nodeList[] = [
'name' => $method->getName(),
'title' => $method->getName(),
'module' => 'admin',
'controller' => $controllerName,
'action' => $method->getName(),
'pid' => 0,
'status' => 1
];
}
}
// 批量插入节点(去重处理省略)
Db::name('node')->insertAll($nodeList);
return '节点扫描完成,共生成' . count($nodeList) . '个节点';
}
}
?>RBAC权限控制的完整实现
完成节点管理后,就可以基于RBAC模型实现权限校验逻辑,核心流程是用户登录后获取对应的角色,再通过角色获取所有权限节点,每次请求时校验当前访问的节点是否在权限范围内。
核心数据表关联
除了节点表,还需要准备角色表、用户角色关联表、角色权限关联表:
- 角色表(role):存储角色ID、角色名称、状态等信息
- 用户角色表(user_role):存储用户ID和角色ID的关联关系,一个用户可以有多个角色
- 角色权限表(role_node):存储角色ID和节点ID的关联关系,一个角色可以对应多个节点
权限校验逻辑实现
可以在框架的中间件中实现统一的权限校验,以下是Laravel框架的中间件示例:
<?php
namespace App\Http\Middleware;
use Closure;
use Illuminate\Support\Facades\Auth;
use Illuminate\Support\Facades\DB;
class CheckPermission
{
public function handle($request, Closure $next)
{
// 获取当前登录用户
$user = Auth::user();
if (!$user) {
return redirect('/login');
}
// 获取当前请求的模块、控制器、方法
$route = $request->route();
$action = $route->getAction();
// 解析当前访问的节点信息,这里根据实际框架调整获取方式
$module = 'admin';
$controller = strtolower(str_replace('Controller', '', class_basename($action['controller'])));
$method = $action['method'] ?? 'index';
// 查询当前节点是否存在
$node = DB::table('node')
->where('module', $module)
->where('controller', $controller)
->where('action', $method)
->where('status', 1)
->first();
// 如果节点不存在,说明是不需要管控的接口,直接放行
if (!$node) {
return $next($request);
}
// 获取用户的所有角色ID
$roleIds = DB::table('user_role')
->where('user_id', $user->id)
->pluck('role_id')
->toArray();
if (empty($roleIds)) {
return response('无权限访问', 403);
}
// 查询角色是否有当前节点的权限
$hasPermission = DB::table('role_node')
->whereIn('role_id', $roleIds)
->where('node_id', $node->id)
->exists();
if (!$hasPermission) {
return response('无权限访问', 403);
}
return $next($request);
}
}
?>常见问题与优化建议
在实际使用中,还可以对权限控制做进一步优化:
- 可以给角色设置优先级,当用户有多个角色时,按照优先级合并权限,避免权限冲突。
- 可以加入节点缓存,把用户的权限节点列表缓存到Redis中,减少数据库查询次数,提升校验效率。
- 对于超级管理员角色,可以跳过权限校验逻辑,方便系统初始管理。
- 节点管理可以增加类型区分,比如菜单节点、操作节点,方便前端动态渲染菜单。
通过以上步骤,就可以在PHP框架中完整实现基于RBAC的权限控制体系,配合节点管理实现灵活的权限分配,满足大部分项目的权限管控需求。