php下的許可權演算法的實現

許可權設計

大概有這幾種模式：

使用者+組+角色+許可權

使用者+組+許可權

使用者+角色+許可權

使用者+許可權

最近看了別人的設計方法，大多以“整數”來表示許可權值，如添加、瀏覽、刪除和修改，分別用1、2、4、8這幾個整數來代替，不過，各人的做法有所不同，舉例如下：

1.用2的n次冪組成許可權值的集合，如1、2、4、8、16...，某使用者的許可權值為其子集中的整數之和，如 7=1+2+4，5=1+4。如果要從資料庫檢索包含某幾種許可權的使用者，則先把這幾種許可權值相加，假設和為k，然後select * from table where 1 and 使用者權限值 = k；如果要判斷某使用者有哪些許可權，則取出其許可權值k，分別用k&1,K&2,K&4,k&16...,如果為真，則表示有值等於“&”右邊整數的許可權，例如，如果k&4為真，則此使用者有許可權表中值等於4的許可權；

2.用質數2、3、5、7、11...組成許可權集合，某使用者的許可權為其子集中各整數的乘積，如 210 = 2*3*5*7,我覺得這種方法很有趣，痛點在於如何分解質因數；但我有些不認同原作者的提法，他認為許可權之間可能存在內含項目關聯性，如某使用者有刪除許可權，則其一定有瀏覽許可權，要不然就沒法刪除，事實確實是這樣，不過我認為這樣太複雜了，容易出錯，我覺得許可權最好是“原子”的，互不干擾，也就是說某使用者有刪除許可權而沒瀏覽許可權則其無法進行刪除操作，因為他看不到東西，解決這個矛盾的關鍵是在給使用者賦權時，把瀏覽許可權也賦給他；

3.不用整數，而是用“向量表”方法（也許我說的不一定對），把所有可能的許可權按一定的順序排列，如添加、瀏覽、修改、刪除...，使用者的許可權值為固定100位長度的字串，如100010100001....01，從左起每一位對應一種操作許可權，如果有這種許可權，則此位的值為1，反之，則為0，作者之所以把使用者權限值固定為100位，我想是考慮到升級問題，但我認為這還不夠科學，我認為使用者的許可權值長度應小於許可權個數，舉例如下：

許可權排列表：添加、瀏覽、修改、刪除，使用者A有添加和瀏覽的的許可權，則其許可權值為11，使用者B有瀏覽和修改的許可權則其許可權值為011，使用者C有瀏覽和刪除的許可權則其許可權值為0101，這樣設計的好處為：當許可權表中增加別的許可權時，不會影響使用者表或角色表；

4.我曾經的做法，在後台管理中把許可權分為兩大類：欄目許可權和操作許可權，每個欄目對應一個目錄，操作許可權細分為瀏覽、添加、修改和刪除，使用者進入系統後首先判斷有沒有欄目許可權，然後判斷有沒有操作許可權，判斷欄目許可權相對簡單一些，首先擷取訪問頁面的路徑path，然後分解出目錄，對應使用者擁有的目錄許可權，如果此目錄包含在使用者有權管理的目錄數組中（從資料庫取出），則其有進入此目錄的許可權，否則，沒有，然而，在判斷操作許可權好象有些麻煩，但突然想到添加、瀏覽、修改和刪除與我的檔案命名規則是基本是對應的，但有點不同的是，我把添加和刪除的功能合并在一個檔案中了，例如檔案名稱為proAddEdit.php，幸好意識到修改檔案時多了個傳遞參數id，於是，我用正則解決了這個問題，今天看來，這種方法似乎過時了，因為不適應物件導向的思想和用架構體系來開發系統！

以上是個人粗淺的認識和描述，若有錯誤，請各位指正，希望高人給些意見！