實用PHP會員許可權控制實現原理分析

我的通用許可權系統設計是更換許可權時候盡量不要涉及到代碼修改,來自chinaunix論壇，今天轉過來看看。希望對大家有所協助，對PHP100的朋友有個很高的提升。 複製代碼 代碼如下:/*
　　*控制訪問表
　　* acl值 功能
　　* 1 需要登入
　　* 2 自身修改
　　* 4 需要組的許可權集合
　　* 8 需要身份訪問集合
　　* 16 身份被禁止訪問
　　* 32 可訪問的日期
　　* 64 可訪問的周日
　　* 128 可訪問的時間
　　* 256 輸入密碼才能訪問
　　* 512 超級管理使用
　　*/
　　class aclACL extends acl {
　　public $routername="acl";
　　public $aclid='2'; //許可權資源ID,如果登入人員沒有擁用這個許可權那麼其(下面)它值都為0也不能訪問
　　public $roledisable=array(9); //禁用身份
　　public $pwd=123456; //密碼訪問 ACL->noPwd();
　　public $date=array('begin'=>0,'end'=>0); //允許日期之間
　　public $hours=array('begin'=>0,'end'=>0); //一日內小時區間
　　public $weeks=array('begin'=>0,'end'=>0); //一周內周一到周七
　　public $aclgroup=array("create"=>"4,45,8"); //create需要的組才能建立
　　public $aclrole=array("all"=>"6","create"=>"7,95,78"); //create需要的角色才能建立,該組需要ID為6的角色才能訪問
　　public $acl=array("all"=>0,
　　"index"=>4, //表列4表示檢查組的組合
　　"delete"=>1, //刪除只登入後刪除,當然呆以設定為2或4
　　"update"=>1, //更新提交只能登入後才能更新，在這裡做也防止非法、post，edit是不能訪問顯示編輯內容頁
　　"createForm"=>1, //也不能新提交資料庫
　　"edit"=>0, //登入才顯示編輯框
　　"show"=>0, //不用登入也能顯示
　　"create"=>1); //創新表單需要登入操作 可以設定某個組才能建立
　　}
　　?>
　

這個是要認證的檔案模組是acl
　　每當使用者訪問acl模組時候，如果開啟了認證那麼會調用這個類
　　然後這個類會根據$acl 的all或index等值去做認證檢查。
　　把這個檔案放在router/acl目錄裡面就可以了，架構會自動認證如果使用者沒有相應的正向授權是無法訪問相應的限制的。
　　比如crud create方法 負向許可權為17 那按照前面解釋應該是 需要登入和組授權 就是$aclgroup 數組中create的4 45 8三個組，
　　首先會員沒有登入將提示登入，如果會員不在這三個組是無法訪問該方法的會提示沒有許可權。
　　目前router可以自己根據情況開啟用acl控制
　　方法是在xxxxRouter.class.php檔案中 添加 public function isAcl(){}
　　可以返回許可權檔案名稱比如返回curd，那麼自動會調用curdACL.class.php類和名
　　curdRouter類設定驗證 複製代碼 代碼如下:　　class curdRouter extends controller{
　　//返回 RBAC 控制訪問列表驗證類預設是跟router同名也就是curd
　　//可以不寫這個函數，那麼不會啟用通用許可權系統。
　　public function isAcl(){}
　　public function index()
　　{
　　$booktype=M("booktype");
　　$this->pager=C("pager");//取得分類
　　$this->pager->setPager($booktype->count(),10,'page');//取得資料總數中，設定每頁為10
　　$this->assign("list",$booktype->orderby("bookid desc")->limit($this->pager->offset(),10)->fetch()->getRecord());
　　}
　　public function login(){ //登入頁面
　　}
　　public function logout(){ //退出頁面
　　MY()->logout(); //退出登入
　　redirect(url_for("guestbook/index"),"退出成功",3);
　　}
　　public function noAcl($mask) { //處理一下如果沒有許可權轉向登入
　　redirect(url_for("guestbook/login"),"需要登入",3);
　　}
　　public function loginpost() { //登入提交地方 簡單處理下登入認證
　　if($_POST['author']=='queryphp'&&md5($_POST['pwd'])==md5('123456'))
　　{
　　MY()->setLogin(); //設定登入狀態
　　redirect(url_for("guestbook/adminlist"),"登入成功",3);
　　}
　　redirect(url_for("guestbook/login"),"登入失敗",3);
　　}

複製代碼 代碼如下:　　/*
　　*登入資訊基本類
　　*許可權表可以快取資料，登入時候恢複。
　　*/
　　class mybase {
　　public $options=array();
　　public $uid;
　　public $username;
　　public $isadmin;
　　public $role=array(); //我使用的身份
　　public $group=array(); //我所在組
　　public $grouprole=array(); //組的身份
　　public $mygroupMar=array(); //我擁有管理的組
　　public $mygroupOwn=array(); //屬於我的組
　　public $acl=array(); //主動控製表 groupacl和myacl控制許可權集合 內容是rbac的rbacid
　　public $groupacl=array(); //組擁用的控制許可權
　　public $myacl=array(); //我的身份擁用的控制許可權
　　public $loginfaild=0; //登入失敗次數 如果超過這個數應該禁止IP登入幾分種

這是基本
　　可以把myUser.class.php放在項目lib目錄裡面
　　複製代碼使用MY()函數就可以取得myUser了。

　　

　　

　　可以看架構檔案

　　project/router目錄有一個guestbookRouter.class.php

　　在後台

　　

　　取得guestbookRouter.class.php類名和方法。

　　然後給這些方法加許可權

　　

　　右邊有一個應用許可權，有一個取消許可權，如果取消許可權表示沒有許可權限制

　　也就是刪除許可權檔案

　　應用許可權 表示給這個類添加許可權，會產生一個許可權檔案。

　　在project/router/acl/產生 guestbookACL.class.php檔案

　　程式在載入guestbookRouter.class.php時候會檢查有沒有guestbookACL.class.php許可權檔案

　　有就使用許可權檢證，沒有就沒有。這樣加減許可權跟guestbookRouter.class.php檔案入口沒有一點改動

　　所以將來加許可權方法很方便。
http://queryphp.googlecode.com/files/queryphp_2011_01_27.zip