基于角色的访问控制 - 正确的 MVC 模式

Question

半年前开始使用MVC模式，至今仍然存在一些误区。

现在我想在我的应用程序中实现基于角色的访问控制。然而，我的问题不是关于 RBAC 的，而是关于 MVC 的。

我的 RBAC 实现是这样的： 用户->角色->权限 因此每个用户（例如 userA）可以拥有许多角色（例如读者、编辑者、管理员），并且每个角色可以拥有许多权限（读取、更新、删除等）。

MySQL 表

• users（用户列表）
• Roles（角色列表）
• Permissions（权限列表）
• Roles_permissions（角色列表 -> 权限连接。例如编辑器 -> 更新）
• users_roles（权限列表 ）用户->角色连接。例如用户A->编辑）

现在我的问题是 我应该如何在 MVC 中实现这个？ 有一个单独的模型：用户、角色、权限、roles_permissions、users_roles，而不是有一个创建用户、角色、权限、roles_permissions 和 user_roles 的 authManager 类？ 这种方式正确吗？有没有更好、也许更优雅的方式？

Answer 1

基本上，我会坚持使用许多现有的 Kohana ACL 库之一，而不是编写自己的库（或者至少尝试它们，看看它们是否适合您的需求）。

您可能想检查此线程（Wouter A1、A2 和 ACL 模块） - http://forum.kohanaframework.org/discussion/1988/releases-a1-authentication-acl-acl-for-kohana-a2-object-level-authorization/p1
它正在不断更新和维护，并且也可用于 3.2 版本。

如果你觉得 Wouter 模块很复杂，你还可以查看 Vendo ACL 模块，它非常简单，消除了很多复杂性 - https ://github.com/vendo/acl
如何使用它的示例 - http://forum.kohanaframework .org/discussion/9517/getting-started-with-vendo-acl/p1

Answer 2

您通常需要为此使用 ACL 库/类，因为您正在描述的是 ACL。我不知道 Kohana，但通过快速谷歌我找到了这个 Kohana ACL 库。 https://github.com/synapsestudios/kohana-acl

但基本上你确实需要模型管理 ACL 库中的单独实体，例如用户、角色和权限。然后与控制器或其他库中的 ACL-api 通信，以确定对应用程序特定部分的访问权限。

Answer 3

我复制/粘贴 KohanaPHP 的主应用程序控制器的代码，假设我们已经包含 Zend_ACL。

请注意，我拥有基于用户的权限，而不是基于组的权限...尽管这可以轻松编辑。

<?php

defined('SYSPATH') OR exit('No direct script access.');

class Controller_Application extends Controller_Template
{

    protected static $acl;
    public $template = 'default';

    public function before()
    {
        parent::before();
        session_start();
        self::$acl = new Zend_Acl();
        $this->set_permissions($_SESSION['userid']);
    }

    protected function check_access($resource, $privilege, $redirect = TRUE)
    {
        $permission = (self::$acl->has($resource) AND self::$acl->isAllowed($_SESSION['userid'], $resource, $privilege));
        if (!$permission AND $redirect)
            $this->request->redirect('user/denied');
        elseif (!$permission AND !$redirect)
            return FALSE;
        elseif ($permission AND !$redirect)
            return TRUE;
    }

    protected function set_permissions($user_id)
    {
        $result = DB::select()
            ->from('permissions')
            ->where('user_id', '=', $user_id)
            ->execute()
            ->as_array();
        self::$acl->addRole(new Zend_Acl_Role($user_id));
        foreach ($result AS $permission)
        {
            if (!self::$acl->has($permission['resource']))
                self::$acl->add(new Zend_Acl_Resource($permission['resource']));
            self::$acl->allow($user_id, $permission['resource'], $permission['privilege']);
        }
    }
}

?>

然后我检查控制器中的访问，如下所示：$this->check_access('events', 'add');。

Answer 4

我知道这条线索很冷，但一个新项目已经出现：

PHP-RBAC 是一个 PHP 分层 NIST 2 级标准基于角色的访问控制，并且非常成熟。这也是一个 OWASP 项目。

我希望您喜欢 http://phprbac.net

它在 jframework 中的使用方式是标准方式将 RBAC 纳入 MVC 模式。