请选择 进入手机版 | 继续访问电脑版

SpeedPHP框架

 找回密码
 注册成为新用户

QQ登录

只需一步,快速开始

查看: 5973|回复: 8

关于speed框架的权限管理

  [复制链接]
发表于 2012-11-30 11:00:59 | 显示全部楼层 |阅读模式
这两天在用WDZ+SP框架做个后台管理系统,涉及到权限控制的问题,研究了下框架自带的权限管理,呵呵,觉得有点麻烦,特别是数据初始化的时候,需要手工去增加N多数据。然后我就秀逗了下,也从框架层面考虑,设计了一个权限管理的方法,仅供大牛们参考
====================割掉======================
思路是这样的,因为根据用户操作的特点(一般一个操作为一个URL),加上SP的特点(一个URL对应唯一的一个C和一个A),那么就是针对URL的访问控制。SP自带的ACL也是这么做的,下面,做法不同的地方在于,我是通过扩展spController,载入所有Controller目录中的所有的类,进行反射,获取相关的权限设置(后面阐述怎么设置),然后联合当前用户在数据库中存储的相关权限配置进行全局控制。
举个例子(为什么没有代码编辑器?):
/app/controller/user.php
<?php
/**
* user
*
* @author ShuraChow
* @docheck true
* @AclSubjectName  管理员管理
*/
class user extends baseController
{
    function __construct(){
        parent::__construct();   
    }
   
    /**
     * user-index
     *
     * @author ShuraChow
     * @docheck true
     * @AclSubjectName  管理员列表
     */
    function index(){
        
    }
   
    /**
     * user-useradd
     *
     * @author ShuraChow
     * @docheck true
     * @AclSubjectName  添加管理员
     */
    function useradd(){
      
    }
   
    /**
     * user-useredit
     *
     * @author ShuraChow
     * @docheck true
     * @AclSubjectName  编辑管理员
     */
    function useredit(){
      
    }
   
    /**
     * user-doadduser
     *
     * @author ShuraChow
     * @docheck true
     * @AclSubjectName  删除管理员
     */
    function deleteuser(){
               
    }
   
    /**
     * user-_doadduser
     *
     * @author ShuraChow
     * @docheck true
     * @fatherAction c_user_a_useradd
     * @AclSubjectName  添加用户操作
     */
    function _doadduser(){
   
    }
    /**
     * user-_doadduser
     *
     * @author ShuraChow
     * @docheck true
     * @fatherAction c_user_a_useredit
     * @AclSubjectName  编辑用户操作
     */
    function _doedit(){
      
    }
}
 楼主| 发表于 2012-11-30 11:01:37 | 显示全部楼层
关键是类及方法的注释。
@docheck 为是否进行鉴权,
@fatherAction 为继承某个RUL的权限(目前只能有二级)
@AclSubjectName 在用户权限管理中显示的权限名称

下面是baseController.php
class baseController extends spController{

    function __construct(){
        parent::__construct();
        $this->spc = parent;
        $this->spModel = spClass('spModel');
        $this->basectl = $this;
        $this->syskey = $GLOBALS['SYS_DEFINE']['SYSKEY'];
        switch($this->syskey){
            case '_MC_'this->initMC();break;
            case '_ADMIN_'this->initAdmin();break;
            default://$this->initANPO();break;
        }
        //print_r($this->giveAllAcl());
        //print_r($this->Aclarr);
        //print_r($this->UserAcl);exit;
    }
   
    function initAdmin(){
        $this->getRouter($this->syskey);
        $this->Acl = $this->spModel->getCaches('_SYS'.$this->syskey.'ACL_TREE');        //用户管理权限tree使用
        $this->Aclarr = $this->spModel->getCaches('_SYS'.$this->syskey.'ACL_ARR');    //所有需要鉴权的栏目
        $this->Router = $this->spModel->getCaches('_SYS'.$this->syskey.'ACL');        //全局用户权限鉴权使用
        $this->UserAcl = empty($_SESSION[$this->syskey.'userinfo'])?array(md5('c_index_a_index'.$this->syskey)):unserialize($_SESSION[$this->syskey.'userinfo']['user_rule']);
        //print_r($this->Router);exit;
        $this->UserInfo = $_SESSION[$this->syskey.'userinfo'];//print_r($_SESSION['bms_userinfo']);
        $this->checkLogin($this->syskey);
        $this->checkAcl();
        $this->initUI();
        $this->HTML = spClass('MakeHTML');
        $this->initTemplateFunc();
    }
   
    function initMC(){
        $this->getRouter($this->syskey);
        $this->Acl = $this->spModel->getCaches('_SYS'.$this->syskey.'ACL_TREE');        //用户管理权限tree使用
        $this->Aclarr = $this->spModel->getCaches('_SYS'.$this->syskey.'ACL_ARR');    //所有需要鉴权的栏目
        $this->Router = $this->spModel->getCaches('_SYS'.$this->syskey.'ACL');        //全局用户权限鉴权使用
        $this->UserAcl = empty($_SESSION[$this->syskey.'userinfo'])?array(md5('c_index_a_index'.$this->syskey)):unserialize($_SESSION[$this->syskey.'userinfo']['user_rule']);
        $this->UserInfo = $_SESSION[$this->syskey.'userinfo'];//print_r($_SESSION['mcenter_userinfo']);
        $this->checkLogin($this->syskey);
        $this->checkAcl();
        $this->initUI();
        $this->HTML = spClass('MakeHTML');
        $this->initTemplateFunc();
    }
   
   
    function initUI(){
        $a = $this->spArgs('a','index');
        $c = $this->spArgs('c','index');
        $this->ListPageTabName = 'c_'.$c.'_a_'.$a;
    }
   
    function initTemplateFunc(){
        spAddViewBlock("getads", array('Sblock', 'do_translation'));      
        //spAddViewFunction('getads', array( 'Sblock', 'get_ad'));
    }

    function setUserInfo($userinfo){
        $this->UserInfo = $userinfo;
        $_SESSION[$this->syskey.'userinfo'] = $userinfo;
        $this->UserAcl = unserialize($userinfo['user_rule']);
    }
   
    function getCaches($name){
        if($this->cacheTime==0)return false;
        return spAccess('r',  $name);
    }
   
    function setCaches($name,$value,$always=false){
        if($always===true)spAccess('w', $name, $value, -1);
        else spAccess('w', $name, $value, $this->cacheTime);
    }
   
      
    function checkLogin(){
        $a = $this->spArgs('a','index');
        $c = $this->spArgs('c','index');
        //print_r($_SESSION);exit;
        if(empty($this->UserInfo['user_id'])){
            if('c_'.$c.'_a_'.$a!='c_index_a_login'){
                $this->goahead("请先登录",spUrl("index","login"));
                exit;
            }
        }
    }
   
    //查询父级权限
    function getFaherKey($key){
        $ACL = $this->spModel->getCaches('_SYS'.$this->syskey.'ACL_TREE');
        foreach($ACL as $keys=>$value){
            foreach($value['items'] as $k=>$v){
                if($key==$k){
                    if(!empty($v['fatherAcl'])){
                        return $v['fatherAcl'];
                    }
                }
            }
        }
        return false;
    }
   
    //鉴权
    function checkAcl(){
        $a = $this->spArgs('a','index');
        $c = $this->spArgs('c','index');
        $fkey = 'c_'.$c.'_a_'.$a;
        $key = $this->getFaherKey($fkey);//echo $key;exit;
        $key = $key==''?md5($fkey.$this->syskey):md5($key.$this->syskey);
        if(!in_array('c_'.$c.'_a_'.$a,$this->Aclarr) or in_array($key,$this->UserAcl)){
            return true;
        }else{
            //$this->display("sys/no_acl.php");
            echo '<script>alertMsg.error("您没有权限使用此功能");$(document).ajaxStop();if($.pdialog.getCurrent())$.pdialog.closeCurrent();</script>';exit;
            exit;
        }
    }

   
#    /**
#     * index
#     * 获取所有路由
#     * 规则如下:
#     * 1、controller中,必须添加注释,否则权限功能会缺失(包括控制器类的注释和对应方法注释,构造函数不需注释)!,规则如示例中所示。
#     * 2、@author:作者姓名。
#     * 3、@docheck:是否鉴权
#     * 4、@fatherAction:鉴权时当此参数不为空时,则继承此参数值对应的栏目权限鉴权(只支持两级,即不可继承已继承权限的栏目!)。例:c_index_a_index
#     * 5、@AclSubjectName:该路由所指向的应用中文名称
#        示例:
#            /**
#             * user
#             *
#             * @author ShuraChow
#             * @docheck true
#             * @fatherAction
#             * @AclSubjectName  用户管理
#             */
#             class user extends baseController{
#            
#                /**
#                 * user-index
#                 *
#                 * @author ShuraChow
#                 * @docheck true
#                 * @fatherAction c_user_a_useredit
#                 * @AclSubjectName  用户列表
#                 */
#                function index(){
#                    ……
#                }
#             }                                                         
#    /**
#     * @author ShuraChow
#     */
    function getRouter($sys='_MC_'){
        $cname = array();
        //if(empty($_SESSION['_SYSACL'])){
        if(!$this->spModel->getCaches('_SYS'.$sys.'ACL')){
            //递归载入所有控制类
            $cp = getAllFile($GLOBALS['SYS_DEFINE']['APP_PATH'].'/'.'controller',true);
            if(is_array($cp['php'])){
                foreach ($cp['php'] as $p){
                    require_once $p;
                }
            }
            $allclass = get_declared_classes();
            foreach($cp['php'] as $k=>$v){
                $_classn = basename($v,".php");
                //echo $_classn.'<br>';
                $_class = new ReflectionClass($_classn);
                $Doc = $_class->getDocComment();
                preg_match_all('/@docheck\s+(\S*)/i',$Doc,$Acldo);
                preg_match_all('/@fatherAction\s+(\S*)/i',$Doc,$fatherAcl);
                if($Acldo[1][0]=='true'){
                    preg_match_all('/@AclSubjectName\s+(\S*)/i',$Doc,$AclSubjectName);
                    $AclTree['c_'.$_classn]['subject'] = $AclSubjectName[1][0];
                    $AclTree['c_'.$_classn]['fatherAcl'] = $fatherAcl[1][0];
                    $AclTree['c_'.$_classn]['key'] =  md5('c_'.$_classn.$sys);
                    $Acl[md5('c_'.$_classn.$sys)] = $AclSubjectName[1][0];
                    $AclArr[] = 'c_'.$_classn;
                    //print_r($_class->getMethods());
                    foreach($_class->getMethods() as $rk => $rv){
                        //if($rv->class == $_classn and !preg_match('/_/',$rv->name)){
                        if($rv->class == $_classn){
                            $_method = new ReflectionMethod($_classn, $rv->name);
                            $Doc = $_method->getDocComment();
                            preg_match_all('/@docheck\s+(\S*)/i',$Doc,$Acldo);
                            preg_match_all('/@fatherAction\s+(\S*)/i',$Doc,$fatherAcls);
                            if($Acldo[1][0]=='true'){
                                preg_match_all('/@AclSubjectName\s+(\S*)/i',$Doc,$AclSubjectName);
                                $AclTree['c_'.$_classn]['items']['c_'.$_classn.'_a_'.$rv->name]['subject'] = $AclSubjectName[1][0];
                                $AclTree['c_'.$_classn]['items']['c_'.$_classn.'_a_'.$rv->name]['fatherAcl'] = $fatherAcls[1][0];
                                $AclTree['c_'.$_classn]['items']['c_'.$_classn.'_a_'.$rv->name]['key'] = md5('c_'.$_classn.'_a_'.$rv->name.$sys);
                                $Acl[md5('c_'.$_classn.'_a_'.$rv->name.$sys)] = $AclSubjectName[1][0];
                                $AclArr[] = 'c_'.$_classn.'_a_'.$rv->name;
                            }
                        }
                    }
                }
            }
            //始终数据缓存,仅当删除缓存文件时才更新
            $this->spModel->always = true;
            $this->spModel->setCaches('_SYS'.$sys.'ACL_TREE',$AclTree);
            $this->spModel->setCaches('_SYS'.$sys.'ACL_ARR',$AclArr);
            $this->spModel->setCaches('_SYS'.$sys.'ACL',$Acl);
            //$_SESSION['_SYS'.$sys.'ACL'] = $AclTree;
        }
        //print_r($_SESSION['_SYS'.$sys.'ACL']);
        //print_r($this->spModel->getCaches('_SYS'.$sys.'ACL_TREE'));
        //return $this->spModel->getCaches('_SYS'.$sys.'ACL_TREE');
    }
   
    function giveAllAcl(){
        return array_keys($this->Router);
    }
   
}
 楼主| 发表于 2012-11-30 11:01:52 | 显示全部楼层
对于用户的权限,保存在数据库中为serialize(array(md5('c_user_a_index'),……))的形式,鉴权时,进行MD5码比对。

先写这么多,老板来了
欢迎jake及各位大牛拍砖和建议


发表于 2012-11-30 14:27:31 | 显示全部楼层
SP的ACL权限,有分两类。在实际应用中,数据表真正要记录controller并不多,其实没必要用反射那种低性能的东西来自动获取,而且有不灵活的问题。

两类权限控制要对应不同类型的应用:
有限控制 —— 前台大后台小
强制控制 —— 前台小后台大
所以两类要记录的控制器名称,都只是上述说的“小”的那一部分。

当然,你可以反过来辛苦点,用有限控制去做后台大的,这样就会有“手工去增加N多数据”的劳苦活。
 楼主| 发表于 2012-11-30 14:50:33 | 显示全部楼层
jake 发表于 2012-11-30 14:27
SP的ACL权限,有分两类。在实际应用中,数据表真正要记录controller并不多,其实没必要用反射那种低性能的 ...

反射出的数据,一般只要程序没有改动就不会变的,所以做了永久的数据缓存,不过当程序变更时,也可以进行数据更新,目前唯一考虑到不灵活的地方是,一旦原有的程序进行了变更,替换掉了原来的同名控制器,变成了新的功能,那么历史数据中的用户权限变更会比较难搞。
我也想听听jake发现的不灵活的地方。

其实没用spACL的原因还有个,因为客户需要权限细化到每个人,spACL是以角色来划分权限的,这样的话有点不太好弄(可能没怎么太深入研究)。。
发表于 2012-11-30 16:43:07 | 显示全部楼层
不灵活一方面是你说的修改和变更的问题。

最重要的是,你这段只能作为初始化入库的时候的一个入库操作(反射),实际上每个控制器对应的权限,还是需要人工去分配(包括权限对应的控制器/名称、中文名)。所以还是我上面说的,实际开发中,真正要入库的名称是比较少的,要不要写个过于复杂的程序(有上百行了)来入库少数几个控制器/动作(一般也就共10-20个action)的名称呢?

acl其实可以针对角色也可以针对单个用户,把用户当角色就行。

当然,鉴于你没有用过acl,那也不好说。sp的acl最早是在几个实际应用的后台型项目里面归总出来的,后来加上有限控制这种前台型的功能,所以许多问题是实际上已经被考虑到的。
 楼主| 发表于 2012-11-30 17:19:27 | 显示全部楼层
{:soso_e179:}学习了,回去再研究研究
发表于 2015-11-12 11:15:14 | 显示全部楼层
我都是简单粗暴,直接在构造函数中限制
您需要登录后才可以回帖 登录 | 注册成为新用户

本版积分规则

手机浏览|简版|中文PHP框架|开源协议|SpeedPHP.com ( 粤ICP备08008671号

GMT+8, 2019-12-10 07:12

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表