PHP访问控制系统

Question

我是使用 PHP 和 MySQL 创建 Web 应用程序的团队的一员。 该应用程序将有多个具有不同角色的用户。 该应用程序还将以地理分布的方式使用。 因此，我们需要创建一个在以下两个级别运行的访问控制系统：

1. 控制特定 php 页面的用户权限，即根据用户的角色提供或拒绝对特定页面（或用户界面元素）的访问。 例如：用户可能被允许访问“学生”页面，但不允许访问“教师”页面。
2. 控制特定数据库记录的用户权限，即修改数据库查询以便仅显示特定记录。 例如，对于城市级别的用户，仅应显示与用户的特定城市相关的那些记录，而对于国家级别的用户，应显示该国家/地区所有城市的记录。

我需要帮助设计一个可以处理这两种类型的访问控制的系统。 点号。 1 看起来很简单。 然而，我完全不知道如何在不硬编码 SQL 查询中的信息的情况下执行第 2 点。

任何帮助，将不胜感激。

预先感

谢维纳亚克

Answer 1

几个月前我也遇到过类似的情况。 我发现，如果您只检查单个项目（或数量相当少的项目）的访问级别，像 Zend_ACL 这样的工具就可以很好地工作。 当您需要获取允许用户访问的大量项目列表时，它会失败。 我使用 业务代表 模式精心设计了此问题的自定义解决方案。 BD 提供可应用于特定上下文的业务逻辑。 本场景下发了一条SQL逻辑，作为子查询的过滤条件。 请参见下图：

_{（来源：epsi.pl）}

和顺序说明调用顺序的图表：

_{（来源：epsi.pl）}

不幸的是，我在博客中介绍了此解决方案全部都是波兰语，但您可能会发现方便的代码和图表。 我可以说，实现并不是小菜一碟，但在性能方面，与列表中每个元素的迭代访问检查相比，它是冠军。 此外，上述基础设施不仅处理列表中的一种类型的项目。 它可以在访问不同的列表时提供服务，无论是城市列表、国家列表、产品列表还是文档列表，只要列表上的项目实现了 IAuthorized 接口。

Answer 2

不知道你的问题的细节，但 Zend Framework 有一个相当有效的 ACL 和 AUTH 您可能想要的组件集看着。 好东西，比如非常精确的访问控制、持久性存储数据、高级条件规则。

Answer 3

在我看来，您需要的是这样的：（我将使用国家/州/城市示例）

1. 所有国家/地区的列表。 每个“国家”都有一个ID。
2. 国家内所有国家的列表。 每个州都绑定了该国的ID，同时也有自己唯一的ID。
3. 所有城市的列表。 每个城市要么与一个州绑定，要么直接与一个国家绑定，并有一面旗帜来指示。

对于城市用户，显然只搜索并显示与其 ID 匹配的城市相关记录。 不过，对于州或国家级别，请搜索与每个城市相关的所有记录，这些记录的 ID 与该国家（或州或您拥有的国家）匹配。

所以基本上，每个子组都依赖于它上面的组，尽管我记错了，但我相信您可以使用子查询来实现这一点。

Answer 4

我有类似的解决方案要构建，到目前为止，我决定使用规范和角色，因此实际上一个角色将附加一些权限规范。 如果它们都满足，则授予权限，否则 - 它将回退到资源默认访问权限。

我正在寻找已经实施该解决方案的人，但似乎没有人这样做。 希望它不会失败:)

Answer 5

如果您不知道如何执行此操作，我会使用 PHP 框架，例如 Zend Framework、CakePHP 或 Symfony。 他们已经为您完成了繁重的工作，并且已经制定了某种类型的访问控制方案。