权限管理（RBAC）

Posted 2023-03-23

参考技术A 转自：（忘了）

RBAC支持三个著名的安全原则：最小权限原则，责任分离原则和数据抽象原则。

RBAC的基本思想是：授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。

RBAC中许可被授权给角色，角色被授权给用户，用户不直接与许可关联。

RBAC对访问权限的授权由管理员统一管理，RBAC根据用户在组织内所处的角色作出访问授权与控制，授权规定是强加给用户的，用户不能自主地将访问权限传给他人，这是一种非自主型集中式访问控制方式。

例如，在医院里，医生这个角色可以开处方，但他无权将开处方的权力传给护士。在RBAC中，用户标识对于身份认证以及审计记录是十分有用的；但真正决定访问权限的是用户对应的角色标识。用户能够对一客体执行访问操作的必要条件是，该用户被授权了一定的角色，其中有一个在当前时刻处于活跃状态，而且这个角色对客体拥有相应的访问权限。即RBAC以角色作为访问控制的主体，用户以什么样的角色对资源进行访问，决定了用户可执行何种操作。

在RBAC模型中，who、what、how构成了访问权限三元组,也就是“Who对What(Which)进行How的操作”。

Who：权限的拥用者或主体（如Principal、User、Group、Role、Actor等等）

What：权限针对的对象或资源（Resource、Class）。

How：具体的权限（Privilege,正向授权与负向授权）。

Operator：操作。表明对What的How操作。也就是Privilege+Resource

Role：角色，一定数量的权限的集合。权限分配的单位与载体,目的是隔离User与Privilege的逻辑关系.

Group：用户组，权限分配的单位与载体。权限不考虑分配给特定的用户而给组。组可以包括组(以实现权限的继承)，也可以包含用户，组内用户继承组的权限。User与Group是多对多的关系。Group可以层次化，以满足不同层级权限控制的要求。

RBAC的关注点在于Role和User, Permission的关系。称为User assignment(UA)和Permission assignment(PA).关系的左右两边都是Many-to-Many关系。就是user可以有多个role，role可以包括多个user。凡是用过RDBMS都知道，n:m 的关系需要一个中间表来保存两个表的关系。这UA和PA就相当于中间表。事实上，整个RBAC都是基于关系模型。

Session在RBAC中是比较隐晦的一个元素。标准上说：每个Session是一个映射，一个用户到多个role的映射。当一个用户激活他所有角色的一个子集的时候，建立一个session。每个Session和单个的user关联，并且每个User可以关联到一或多个Session.

视频学习笔录---ThinkPHP---rbac权限管理

【一】概论

（1）简介

rbac（role based access controal），全称基于用户组/角色的权限控制。

（2）概况

目前来说，一般项目有两种权限管理方式①传统方式；②rbac方式。下面依次介绍下

 

【二】传统模式与RBAC模式对比

（1）传统权限分配方式

典型特征：将权限和用户挂钩，直接将权限绑定到用户。例如ecs电商管理平台的人员权限分配

缺点：①效率上较低；②设置权限时没有统一标准。所以上述权限分配方式，在大型网站不会使用

（2）RBAC权限管理方式

在使用时有两种体现方式①基于表结构的rbac权限管理；②基于文件结构的rbac权限管理

区别：数据的存储位置，基于表结构的数据保存在数据表（3表、5表），基于文件结构的数据保存在文件里。但原理相同

          拓展：3表和5表区别，若将数据拆分到不可拆分的程度，使用5表；否则使用3表

                     3表包含：用户表、用户组表、权限表；5表就是将3表里的权限表、用户组表进行再次拆分。

基于数据表的形式：优点在于后期数据维护上更加方便，有界面来操作数据表。

基于文件的形式：优点在于简单容易理解，缺点是不易于维护（因为写在了文件里，没有维护界面。所以后期维护修改时比较困难）

（3）RBAC原理

描述：在用户登录的时候，会持久化用户登录信息（如角色id），然后根据id去查询该角色的权限。这里的权限是用户组权限

然后在中间控制器中去获取当前用户访问的控制名和方法名，组成与预定义格式一致的形式，来判断组成后的形式在不在权限信息当中。如果在则表示有权限，如果不在则表示没有权限。

（4）RBAC权限分配方式

RBAC权限方式的最大特点：将权限和用户组挂钩，然后将用户组和用户进行挂钩。

从图中可以发现RBAC模式优点：①设计时项目前期，权限的标准就已经可以做到统一了；②维护上更加简单快捷 

一般大型网站项目里，使用RBAC模式较多

 

【三】案例

针对OA系统，实现RBAC权限管理

第一步：定义用户组的权限信息数据，当前模式是基于文件的权限管理方式，所以数据需要写在文件里。

写在哪个文件里呢？

可以写在配置文件或者单独写文件引入。这里建议写在配置文件里，因为配置文件是系统自动加载的，所以写在配置文件里，后期用的话不需要再进行引入了。

配置文件的话可以写到应用级别配置文件Application\\Common\\Conf\\config.php，或者分组级别配置文件Application\\Home\\Conf\\config.php

这里我推荐选择应用级别配置文件Common]Conf\\config.php

之前说过3表为用户表、用户组表、权限表

将权限配置写到下面即可

//RBAC权限数据
    // 1. 角色数组
    ‘RBAC_ROLES‘            =>   array(
                                    1 => ‘高层管理‘,
                                    2 => ‘中层领导‘,
                                    3 => ‘普通职员‘
                                ),
    //2. 权限数组(关联角色数组)，通过数字123将角色和权限数组关联
    ‘RBAC_ROLE_AUTHS‘       =>   array(
                                    1 => ‘*/*‘,//拥有全部权限(当前控制器名和方法名组成的权限),这里的/区别控制器和方法
                                    2 => array(‘email/*‘,‘doc/*‘,‘knowledge/*‘),//中层管理
                                    3 => array(‘email/*‘,‘knowledge/*‘)
                                ),

第二步：在指定地方去根据当前用户的role_id来获取当前用户应当有的权限。通过用户组id拿到相应权限，拿到权限信息后再获取权限名和方法名.

换用旺用户登录，权限为3

因为要根据当前用户的role_id去获取判断用户权限，既然和FQ一样，也和权限挂钩了。为了防止FQ，写到了中间控制器里，这里同样也需要判断权限，所以和FQ写到一起。减少代码重复。写到控制器CommonController.class.php里

第三步：编写位置----中间控制器的构造方法

第四步：先测试下用户的role_id，这里我登录的用户是旺，role_id为3.所以浏览器显示3

关于登录时用户信息的持久化在登录控制器里已经写好了

接着因为权限信息在配置文件里，所以接下来用C方法读取配置信息，获取权限

//因为权限信息在配置文件里，所以接下来用C方法读取配置信息，获取权限
            $rbac_role_auths = C(‘RBAC_ROLE_AUTHS‘);//获取全部的用户组的权限
            dump($rbac_role_auths);die;

这里输出打印下是否获取到全部权限信息，浏览器显示结果

array(3) {
  [1] => string(3) "*/*"
  [2] => array(3) {
    [0] => string(7) "email/*"
    [1] => string(5) "doc/*"
    [2] => string(11) "knowledge/*"
  }
  [3] => array(2) {
    [0] => string(7) "email/*"
    [1] => string(11) "knowledge/*"
  }
}

接下来获取当前用户的权限，然后输出打印下

$currRoleAuth = $rbac_role_auths[$role_id];//获取当前用户对应的权限
dump($currRoleAuth);die;

浏览器显示结果为

array(2) {
  [0] => string(7) "email/*"
  [1] => string(11) "knowledge/*"
}

此时上面已经走完了

接下来下面

第四步：通过常量的方式获取当前用户访问的路由中控制器名和方法名，并且组成预定义的格式

             可以理解为，在中间控制器构造方法里获取当前访问的控制器名和方法名，通过什么获取呢？通过常量获取

//通过常量的方式获取当前用户访问的路由中控制器名和方法名
            $controller = strtolower(CONTROLLER_NAME);//转成和预定义的一样，小写
            dump($controller);die;

浏览器输出控制器名index

接下来获取方法名，继续添加

//通过常量的方式获取当前用户访问的路由中控制器名和方法名
            $controller = strtolower(CONTROLLER_NAME);
            $action = strtolower(ACTION_NAME);

第五步：判断是否有权限

判断依据：判断组成的形式是否在权限数组里，若在则表示有权限，否则没有权限

//判断权限，先排除超级管理员的情况
            if ($role_id > 1) {
                //当用户不是超级管理员时进行权限判断
                if (!in_array($controller.‘/‘.$action,$currRoleAuth)&&!in_array($controller.‘/*‘, $currRoleAuth)) {
                    //用户没有权限
                    $this->error(‘您没有权限‘);die;
                }
            }

此时刷新浏览器验证下，会登录成功，但是显示首页失败，一直显示没有权限，然后重新登录，然后没有权限，然后重新登录。。。。。在没有权限和登录一直循环

为什么会出现这种情况呢？

原来因为没有在配置文件里加index控制器，所以接下来加上

现在可以进行验证测试了，普通员工没有职员管理的权限，所以如果点击职员管理会提示没有权限

如果想让用户在跳页时跳转到首页，可以在控制器里编写方法

 

【总结】

按照步骤执行

 

 

 

 

 

 

 

 

 

 

 

 

.