ThinkPHP下的RBAC权限访问理解【笔记】

本文主要是介绍ThinkPHP下的RBAC权限访问理解【笔记】，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

流程：
总共有3张表，权限，角色，管理员 其中角色表为中间连接纽带

1.完善角色表，实现增删改差，以及为角色分配权限的功能，保存权限的ID与action controller在role表，方便后便用
2.完善权限表，实现增删改查，分配对应的权限
3.完善管理员列表，分配对应的角色

原理：

问：left.html根据不同管理员身份显示不同分类列表？
答：根本--role表里的role_auth_ids 进行判断，根据SQL语句的IN字段来查询对应数据【若为管理员时，if判断来绕开in操作，从而全部查询出来】问：如何防止专业人员手动输入URL来进入不是自己权限的页面？
答：根本-- role表里的 role_ath_ac字段 在后台的所有控制器中，继承一个总控制器，在总控制器的构造方法进行动态判断权限【CONTROLLER_NAME,ACTION_NAME】是实现动态识别的关键

总结：

    role表是三个表的中间联系，也是实现不同管理员分权的关键。关键性的查询判断，从分权的操作，role表主角，其他俩表辅助。

//-----右边页面为何手动输入URL，访问权限外的页面会提示无权限？【AdminController.class.php/__contruct(){}】-----//1.若当前访问的方法不再公共允许的方法内；2.若不是超级管理员；3.若不再该管理员角色权限的允许的页面内
//则发出没有权限提示【$now_ac里的两个常量是关键，自动识别当前是哪个控制器下的方法】
$now_ac =CONTROLLER_NAME."-".ACTION_NAME;
$allow_ac = array('Index-left','Index-right','Index-head','Index-index','Manager-login','Index-modifypwd','Index-verifyImg');
$auth_ac = $auth_ac[0]['role_auth_ac'];//从数据库查询出来的有权限的页面if(!in_array($now_ac,$allow_ac) && $_SESSION['mg_id'] !=1 && strpos($auth_ac,$now_ac) === false){$this->error('没有访问权限',U("right"));                     }

//------左部列表为何不同管理显示不同的导航？【index.class.php/left(){}】------////  查询list操作列表//  @return 三维数组//      $arr['p_list']  包含所有顶级列表的二维数组//      $arr['c_list']  包含所有二级列表的二维数组//      上述两个组合成一个三维数组返回//function get_list(){$mg = M('cms_manager');$role = M('cms_role');$role_id = $mg->field("mg_role_id")->where("mg_id=$_SESSION[mg_id] ")->find();$auth_ids = $role->field("role_auth_ids")->where("role_id=$role_id[mg_role_id] ")->find();$sql = "SELECT auth_id,auth_name FROM  cms_auth  WHERE  auth_level='0'";if($_SESSION['mg_id'] !="1") $sql.= " and auth_id in ($auth_ids[role_auth_ids]) ";$p_list = $mg->query($sql);$sql = "SELECT auth_id,auth_pid,auth_name,auth_a FROM  cms_auth  WHERE  auth_level='1'";if($_SESSION['mg_id'] !="1") $sql.= " and auth_id in ($auth_ids[role_auth_ids]) ";$c_list = $mg->query($sql);$all_list=array("p_list"=>$p_list,"c_list"=>$c_list,);// show($all_list);exit;return $all_list;}

**一.rbac权限管理  【必须等项目大体作完，最后来做】**role base access (基于角色的访问权限控制)

sw_auth //权限表

      `auth_id`     主键`auth_name`   权限名称,`auth_pid`    父id,值：对应最高权限的ID,        它若是最高权限则没有，值为0【目的在于，方便下拉菜单显示，有个匹配，是谁的下拉菜单】`auth_c`      控制器,controller控制器 Goods ；它若是最高权限则没有，值无【目的在防止直接访问URL突破权限，规定你只能访问它】`auth_a`      操作方法,action  方法 showlist；它若是最高权限则没有，值无【目的在防止直接访问URL突破权限，规定你只能访问它】`auth_path`   全路径：【用户信息排序使用】                              【目的在权限管理LIST查看来排序，好看】① : 如果是顶级权限，全路径等于本记录主键值 (auth_id)② ：如果不是顶级权限，全路径等于 "父级全路径-(中恒线)本记录主键值" (auth_pid-auth_id)`auth_level`  级别,                                                     【目的在于sql区分下拉菜单时，谁是1级菜单，谁是2级菜单】基本：0顶级权限  1次顶级权限  2次次顶级权限呈现缩进关系使用权限数据模拟：

            insert into sw_auth values (1,'商品管理',0,'','',1,0);insert into sw_auth values (2,'订单管理',0,'','',2,0);insert into sw_auth values (3,'广告管理',0,'','',3,0);insert into sw_auth values (4,'商品列表',1,'Goods','showlist',"1-4",1);insert into sw_auth values (5,'添加商品',1,'Goods','add',"1-5",1);insert into sw_auth values (6,'商品分类',1,'Goods','cate',"1-6",1);insert into sw_auth values (7,'用户评论',1,'User','comment',"1-7",1);insert into sw_auth values (8,'订单列表',2,'Order','showlist',"2-8",1);insert into sw_auth values (9,'订单打印',2,'Order','print',"2-9",1);insert into sw_auth values (10,'添加订单',2,'Order','add',"2-10",1);insert into sw_auth values (11,'广告列表',3,'Advert','showlist',"3-11",1);insert into sw_auth values (12,'广告位置',3,'Advert','position',"3-12",1);

sw_role //角色表

        `role_id`         主键`role_name`       '角色名称',`role_auth_ac`    '模块-操作',关联权限的控制器、方法连接的信息"Goods-showlist,Goods-add,Goods-cate"【目的在于，懂行人直接输入URL访问更多权限】`role_auth_ids`   外键'该角色的对应权限ID',"1,4,5,6" 关联权限的主键值用逗号连接的信息(如果有上级权限，也把上级权限的id进行关联)

insert into sw_role values (1, '经理', "1,4,5,6","Goods-showlist,Goods-add,Goods-cate");insert into sw_role values (2, '主管', "2,3,8,11","Order-showlist,Advert-showlist");

    **sw_admin //管理员表**`mg_id`     主键`mg_name`   管理员账户名`mg_pwd`    管理员密码`mg_time`   上次登录时间,`mg_role_id` 外键，角色id,二.通过模拟好的数据进行程序开发a)用户登录系统，根据具体角色显示，左边权限按钮b)在左边显示对应的权限信息i.用户登陆系统显示权限信息$_SESSION['mg_id']ii.根据SESSION['mg_id']信息获得角色信息['role_id']iii.根据['role_id']信息获得权限列表信息['auth_id,name']三.超级管理员不需要权限控制admina)在Index/left方法里边，若为admin，则显示全部权限if($_SESSION['mg_id'] != 1 ){$sql .= "  and auth_id in ($auth_ids)";}四.防止内行手输入URL访问更多权限加入判断1.用户访问的控制器和方法，必须和他对应的角色表里的【ac信息】比较2.`role_auth_ac`若有你访问的权限，则访问因为是后台每一个页面都要验证，把它写一个父类，把所有公共方法写入它，让所有后台方控制器继承它位置： Component\AdminController.class.php注意: 1.一些公有的方法，不进行权限限制2.系统管理员，不进行权限限制3.只允许访问角色对应的权限【好好看看if判断的写法，理解】维护三部分数据：角色，权限，1.角色 Admin/Role/showlist角色：显示角色列表信息，给角色分配权限在设置时，把已经有的权限显示出来2.权限维护

这篇关于ThinkPHP下的RBAC权限访问理解【笔记】的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---