如何在 Web 应用程序中实现用户和组安全？

Question

如果重要的话使用 php 。

如果您创建一个具有用户和组的网站。你把它放在网络应用程序的哪里？你是否只是在每个页面的顶部放置一个功能（伪）：

如果有人在一个组中，那么他们可以看到此页面 或者 如果有人在这个组中，他们可以看到这个按钮

这肯定是错误的。我不想编辑网络应用程序代码只是为了更改谁可以按组查看内容。我不确定我应该做什么或如何实现这样的事情。

谢谢。

Answer 1

在 MySQL 中，我总是创建这 4 个表：users、user_groups、permissions 和 user_groups_permissions，它们使用外键链接。

所以，用户A可以属于用户组B，该用户组的权限在user_groups_permissions中。

现在，我只是对这 4 个表（或者更好，三个：用户、用户组权限和权限）执行 INNER JOIN，结果是用户拥有的权限。我们所需要的只是通过 INNER JOIN 选择 permissions.key 。

现在，在处理请求之前，我需要检查 Client::has_permissin('send_post') 是否返回 true 。更好的是，还在每个用户组相关的功能之上。

注意：Client 是一个类，它在处理请求之前仅加载一次所有用户权限，然后在整个请求生命周期内使用该权限，而无需在该请求中多次访问数据库。对此类使用静态方法和 $permissions 属性，这样您就不需要通过应用程序类/方法/函数发送它的对象:)

Answer 2

您可以拥有一个实用程序函数，它接受用户 ID 和组代码并返回 true 或 false。
您可以在每个页面的顶部将该实用程序函数用作伪函数，并且相同的函数也可用于隐藏或显示页面中的部分。

如果您的 Web 应用程序采用 MVC，请将用户授权逻辑嵌入到您的控制器中。