在PHP应用开发中,不同用户类型对应不同的操作权限,通过会话机制实现页面访问控制是性价比很高的方案,无需依赖复杂的第三方组件就能完成基础权限管控。

会话基础配置
首先需要在每个需要权限控制的页面开启会话,确保能获取到当前登录用户的信息。会话的启动要在任何输出之前执行,避免报错。
<?php // 开启会话,必须在页面输出前调用 session_start(); ?>
用户登录时存储会话信息
用户登录验证通过后,要把用户的核心信息存入会话,其中用户类型是权限判断的核心依据。这里以普通用户类型为user,管理员类型为admin为例。
<?php session_start(); // 假设登录验证通过,获取到用户信息 $user_id = 1; $user_type = 'admin'; // 用户类型,user为普通用户,admin为管理员 $username = 'test_admin'; // 将用户信息存入会话 $_SESSION['user_id'] = $user_id; $_SESSION['user_type'] = $user_type; $_SESSION['username'] = $username; $_SESSION['login_time'] = time(); echo '登录成功,用户信息已存入会话'; ?>
封装权限检查函数
为了避免重复编写权限判断代码,可以封装一个通用的权限检查函数,接收允许访问的用户类型数组作为参数,不符合条件的用户直接跳转或提示无权限。
<?php
session_start();
/**
* 检查用户是否有权限访问当前页面
* @param array $allow_types 允许访问的用户类型数组
* @return bool 是否有权限
*/
function check_permission($allow_types) {
// 未登录的情况
if (!isset($_SESSION['user_id'])) {
header('Location: login.php');
exit;
}
// 用户类型不在允许列表的情况
if (!in_array($_SESSION['user_type'], $allow_types)) {
return false;
}
return true;
}
?>
不同页面的权限控制示例
普通用户页面
普通用户页面允许user和admin两种类型访问,管理员也拥有普通用户的所有权限。
<?php
session_start();
require_once 'permission_check.php';
// 允许user和admin访问
$has_permission = check_permission(['user', 'admin']);
if (!$has_permission) {
echo '您没有权限访问该页面';
exit;
}
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>普通用户中心</title>
</head>
<body>
<h2>欢迎来到普通用户中心</h2>
<p>当前用户:<?php echo $_SESSION['username']; ?></p>
<p>用户类型:<?php echo $_SESSION['user_type']; ?></p>
</body>
</html>
管理员专属页面
管理员页面仅允许admin类型用户访问,普通用户访问时会提示无权限。
<?php
session_start();
require_once 'permission_check.php';
// 仅允许admin访问
$has_permission = check_permission(['admin']);
if (!$has_permission) {
echo '您没有权限访问管理员页面';
exit;
}
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>管理员后台</title>
</head>
<body>
<h2>欢迎来到管理员后台</h2>
<p>当前用户:<?php echo $_SESSION['username']; ?></p>
<p>用户类型:<?php echo $_SESSION['user_type']; ?></p>
<ul>
<li>用户管理</li>
<li>内容管理</li>
<li>系统设置</li>
</ul>
</body>
</html>
注销登录与会话销毁
用户退出登录时,需要清空会话信息,避免会话被恶意利用。
<?php
session_start();
// 清空会话变量
$_SESSION = [];
// 删除会话cookie
if (ini_get('session.use_cookies')) {
$params = session_get_cookie_params();
setcookie(session_name(), '', time() - 42000,
$params['path'], $params['domain'],
$params['secure'], $params['httponly']
);
}
// 销毁会话
session_destroy();
header('Location: login.php');
exit;
?>
注意事项
- 会话数据存储在服务端,不要存入敏感明文密码,仅存用户标识和类型等必要信息
- 生产环境建议配置会话的过期时间,避免用户长期不操作仍保持登录状态
- 如果用户类型较多,可以将权限规则存入数据库,动态读取允许访问的角色列表,扩展性更强
- 所有需要权限控制的页面都要先调用权限检查逻辑,避免遗漏