网站权限控制

可分为以下三部分

  • 权限:可以获取的信息或执行的操作
  • 角色:一个角色,可拥有多个权限
  • 账户:成员用账户登陆管理后台,账户对应角色

1,基于url权限管理流程

网站权限控制_第1张图片

 

一共是五个表
user表,存放用户的信息
role表,角色新建管理的表,存放的是角色的一些基本信息而已
role_user表,单从字面看,就是用户表与角色表进行的管理,可为一对多,或者多对多的。
node表,节点表,则主要放置应用,控制器,方法的名称
access表,则是进行node表与role表的角色关联,即该角色下所对应的功能权限
主要tp框架实现的逻辑是:
1.登录模式获取权限,通过登录调用RBAC类,将该用户的角色下的权限,即access与node表联表后,获取相应的节点功能,存放到session中,每次调用任何一个方法,会先通过tp框架机制去跟存放在session里面的权限数据进行判断,然后返回结果
2.实时获取权限,在每次调用方法的时候,通过RBAC类访问数据库,获取是否可操作该方法的权限

一般如果有用框架的话,先熟悉下框架里面的类,一般权限这块,框架都有相应的类可用
如果没的话,可以去找找RBAC的类,研究研究,基本有这个类做,很容易就做出来了

 

使用基于url拦截的权限管理方式,实现起来比较简单,不依赖于框架,使用Web提供filter就可以实现。 
问题: 
需要将所有的url全部配置起来,有些繁琐,不易维护,url(资源)和权限表示方式不规范。

你可能感兴趣的:(网站)