我一直在为我的大学开发一个需要基于角色的访问控制的 PHP 应用程序。我遵循的方法是为每个角色创建一个单独的 MySQL 用户。所以每个角色都有一个单独的数据库用户。这些 db 用户中的每一个都拥有角色所需的最小表集的权限。
现在,我的问题是这实际上是否是处理基于角色的应用程序的正确方法。我之所以产生这种疑问是因为现在是时候让系统联机(使用 GoDaddy 托管)了,我发现他们不允许创建具有表特定权限的用户。事实上,他们甚至不允许直接通过 SQL 脚本创建用户(系统上的角色创建涉及通过执行 SQL 命令的 php 脚本创建用户)。
因此,我现在正在考虑我的方法是否实际上是正确的方法。实施这种基于角色的系统的标准方法是什么?
这是我的第一个现场项目,所以在实际交付实际项目方面,我之前并没有太多经验。
【问题讨论】:
标签: php mysql project roles web-application-project
除非您不是托管商,否则您可能不想通过脚本动态创建数据库用户。想一想:
数据库用户是与您的应用程序而不是您的最终用户交互的组件。
因此,坚持为您的应用程序使用一个数据库,并使用专用表来构建您的 ACL。 您的数据库架构可能如下所示:
users( id:pk, name )
roles( id:pk, name )
permissions( id:pk, key, description )
permission_role( permission_id:fk, role_id:fk )
role_user( role_id:fk, user_id:fk )
你在这里基本上有三件事:
这是基本设置。其他表只是将各个部分连接在一起的辅助表。
您的代码处理其余部分。设置一个(或更好的)类来完成繁重的工作。然后将您的 ACL 实例传递给您的 User 类(当然也可以使用其他实现。请参阅文章底部)。
<?php
class Acl implements AclInterface {
public function hasPermissionTo( $action )
{
// Query DB and check if a record exists
// in the role_user table where the
// user_id matches with the current user
// and join the role_id with `roles` and then
// with `permission_role` to see if the user
// is permitted to perform a certain action
}
}
class User {
protected $acl;
public function __construct( AclInterface $acl )
{
$this->acl = $acl;
}
public function hasPermissionTo( $action )
{
return $this->acl->hasPermissionTo( $action );
}
}
您应该了解基本概念。实际实施取决于您。您可能需要考虑的事项:
User 的一部分还是一个独立的组件?这些问题取决于您喜欢什么以及您的架构。 快乐编码!
【讨论】: