随着互联网应用的普及,我们希望能够在应用程序内部实现对数据的保护,以保证敏感数据不乱用或不被窃取。其中之一的解决方案是使用基于角色的访问控制(rbac)。
基于角色的访问控制(RBAC)是建立在用户和角色之间的关系上的一种访问控制模型。该模型的核心思想是将用户的角色与访问控制操作联系起来,而不是将访问控制操作直接与用户联系起来。这种方式提高了访问控制的灵活性,并使管理员能够更方便地管理用户。
在本文中,我们将使用PHP和RBAC来实现一个基本的用户访问控制系统。下面是我们将使用的表格:
- users:用于存储注册用户的信息。
- roles:用于存储以角色为中心的访问权限列表。
- user_roles:用于存储用户所属的角色。
- permissions:用于存储权限列表和访问控制列表。
- role_permissions:用于存储角色所拥有的权限列表。
我们将使用以下步骤来实现我们的RBAC控制系统:
步骤1:创建一个数据库并建立与其相关的表
立即学习“PHP免费学习笔记(深入)”;
在MySQL数据库中创建一个新的数据库,并建立以下4个表:
CREATE TABLE users (
id INT(11) NOT NULL AUTO_INCREMENT PRIMARY KEY,
username VARCHAR(50) NOT NULL UNIQUE,
password VARCHAR(255) NOT NULL,
email VARCHAR(100) NOT NULL UNIQUE,
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
CREATE TABLE roles (
id INT(11) NOT NULL AUTO_INCREMENT PRIMARY KEY,
name VARCHAR(100) UNIQUE,
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
CREATE TABLE user_roles (
id INT(11) NOT NULL AUTO_INCREMENT PRIMARY KEY,
user_id INT(11) NOT NULL,
role_id INT(11) NOT NULL,
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
FOREIGN KEY user_id_fk (user_id) REFERENCES users(id),
FOREIGN KEY role_id_fk (role_id) REFERENCES roles(id)
);
CREATE TABLE permissions (
id INT(11) NOT NULL AUTO_INCREMENT PRIMARY KEY,
name VARCHAR(100) UNIQUE,
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
CREATE TABLE role_permissions (
id INT(11) NOT NULL AUTO_INCREMENT PRIMARY KEY,
role_id INT(11) NOT NULL,
permission_id INT(11) NOT NULL,
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
FOREIGN KEY role_id_fk (role_id) REFERENCES roles(id),
FOREIGN KEY permission_id_fk (permission_id) REFERENCES permissions(id)
);步骤2:编写PHP代码
我们将实现一个基本的PHP类来处理我们的RBAC控制系统。这个类将允许我们添加用户、添加角色、添加权限、将用户分配给角色和将权限分配给角色。
GForge5.7.1
下载
GForge是一个基于Web的协同开发平台。它提供一组帮助你的团队进行协同开发的工具,如论坛,邮件列表等。用于创建和控制访问源代码管理库(如CVS,Subversion)的工具。GForge将自动创建一个源代码库并依据项目的角色设置进行访问控制。其它工具还包括:管理文件发布,文档管理,新闻公告,缺陷跟踪,任务管理等。
class Rbac {
// 数据库连接和表名
private $conn;
private $users_table = "users";
private $roles_table = "roles";
private $user_roles_table = "user_roles";
private $permissions_table = "permissions";
private $role_permissions_table = "role_permissions";
// 构造函数将数据库连接
public function __construct($db) {
$this->conn = $db;
}
// 添加用户
public function addUser($username, $password, $email) {
// 生成密码哈希
$password_hash = password_hash($password, PASSWORD_BCRYPT);
// 插入用户到数据库
$query = "INSERT INTO " . $this->users_table . "(username, password, email) VALUES (:username, :password, :email)";
$stmt = $this->conn->prepare($query);
$stmt->bindParam(":username", $username);
$stmt->bindParam(":password", $password_hash);
$stmt->bindParam(":email", $email);
if($stmt->execute()) {
return true;
} else {
return false;
}
}
// 添加角色
public function addRole($name) {
$query = "INSERT INTO " . $this->roles_table . "(name) VALUES (:name)";
$stmt = $this->conn->prepare($query);
$stmt->bindParam(":name", $name);
if($stmt->execute()) {
return true;
} else {
return false;
}
}
// 添加权限
public function addPermission($name) {
$query = "INSERT INTO " . $this->permissions_table . "(name) VALUES (:name)";
$stmt = $this->conn->prepare($query);
$stmt->bindParam(":name", $name);
if($stmt->execute()) {
return true;
} else {
return false;
}
}
// 将用户分配给角色
public function assignUserRole($user_id, $role_id) {
$query = "INSERT INTO " . $this->user_roles_table . "(user_id, role_id) VALUES (:user_id, :role_id)";
$stmt = $this->conn->prepare($query);
$stmt->bindParam(":user_id", $user_id);
$stmt->bindParam(":role_id", $role_id);
if($stmt->execute()) {
return true;
} else {
return false;
}
}
// 将权限分配给角色
public function assignRolePermission($role_id, $permission_id) {
$query = "INSERT INTO " . $this->role_permissions_table . "(role_id, permission_id) VALUES (:role_id, :permission_id)";
$stmt = $this->conn->prepare($query);
$stmt->bindParam(":role_id", $role_id);
$stmt->bindParam(":permission_id", $permission_id);
if($stmt->execute()) {
return true;
} else {
return false;
}
}
}我们现在已经有了一个简单的类,它可以添加用户、添加角色、添加权限、将用户分配给角色并将权限分配给角色。
步骤3:测试
我们现在可以创建一个测试脚本来测试我们的RBAC控制系统。以下是示例代码:
// 包括我们的RBAC类
include_once 'Rbac.php';
// 设置数据库连接
$database = new PDO("mysql:host=localhost;dbname=testdb", "username", "password");
// 定义RBAC类
$rbac = new Rbac($database);
// 添加用户
$rbac->addUser("user1", "password1", "user1@example.com");
$rbac->addUser("user2", "password2", "user2@example.com");
// 添加角色
$rbac->addRole("admin");
$rbac->addRole("editor");
$rbac->addRole("user");
// 添加权限
$rbac->addPermission("create");
$rbac->addPermission("read");
$rbac->addPermission("update");
$rbac->addPermission("delete");
// 将用户分配给角色
$rbac->assignUserRole(1, 1); // user1 is assigned the admin role
$rbac->assignUserRole(1, 3); // user1 is also assigned the user role
$rbac->assignUserRole(2, 2); // user2 is assigned the editor role
// 将权限分配给角色
$rbac->assignRolePermission(1, 1); // admin role is assigned the create permission
$rbac->assignRolePermission(1, 2); // admin role is assigned the read permission
$rbac->assignRolePermission(1, 3); // admin role is assigned the update permission
$rbac->assignRolePermission(1, 4); // admin role is assigned the delete permission
$rbac->assignRolePermission(3, 2); // user role is assigned the read permission
// 提示测试完成
echo "Test complete!";以上测试脚本将执行我们的RBAC控制系统并将添加一个用户、3种不同的角色、4种不同的权限,然后将用户分配给角色,并将权限分配给每个角色。
结论
在这篇文章中,我们已经学习了如何使用PHP和RBAC实现基于角色的访问控制。我们已经建立了一个简单的RBAC控制系统,它可以添加用户、添加角色、添加权限、将用户分配给角色并将权限分配给角色。在实际应用中,RBAC控制系统可以更加常规化和复杂,这需要我们根据实际情况进行扩展和完善。
