二进制与权限控制

二进制与权限控制有什么关系

最近在做权限方面的设计，很自然想到了二进制的方案。
二进制跟权限有什么关系？举两个例子大家就熟悉了：

1. Linux的文件权限： 可执行 001, 可写 010，可读100，三种权限都有是111，也就是int(7)。
2. PHP的错误级别：E_ERROR = 00...001, E_WARNING = 00...010, E_PARSE = 00...100。

优势在哪里

那么为什么要用二进制来控制权限呢？我觉得最明显的优势有两个：

1.易存储易扩展

假如现在要设计一个用户权限系统，分别有CRUD四种权限。那么最先想到的可能是在数据表里建4个tinyint字段，如下：

USSE_ID	C_ABLE	R_ABLE	U_ABLE	D_ABLE
12345	0	1	1	1
67890	1	1	1	1

这样设计用是能用，但如果以后要新增一个权限类型，例如是发邮件的权限。那必须改数据表，新增一个EMAIL_ABLE字段。这样的需求对此方案来说是很恐怖的，基本不可扩展。
我们换个思路，改为用二进制来控制权限，那么只需要一个字段就足够了。
首先把所有权限用二进制定义好：

C_ABLE: 1 << 0 (int 1)
R_ABLE: 1 << 1 (int 2)
U_ABLE: 1 << 2 (int 4)
D_ABLE: 1 << 3 (int 8)
EMAIL_ABLE: 1 << 4 (int 16)

因为二进制也就是一个整数，所以用一个int/longint字段就可以把所有权限表示出来。数据表设计如下：

USER_ID	PERMISSONS
12345	7
67890	15

以后如要新增权限类型，定义好它的二进制即可，不需要新增数据表字段，扩展性大大增强。

2.权限控制简单

权限增减

相信大家对PHP的error_reporting()函数很熟悉。
新增错误上报项，用|符号，例如：

error_reporting(E_ERROR | E_WARNING)

表示上报E_ERROR + E_WARNING。
删除错误上报项，用& ~，例如：

error_reporting(E_ALL & ~E_NOTICE)

表示在所有上报项中排除E_NOTICE。
所以只需要用三个位运算符就可以实现权限的增减控制，实现复杂权限的叠加。

权限判断

最后一个问题来了。在二进制方案里，用户的最终权限是一个整数，那如何判断该用户是否拥有某个权限呢？
我们先看看PHP的error_reporting机制是怎么做的，见源码：
https://github.com/php/php-src/blob/PHP-5.4.1/Zend/zend.c#L1080

留意#1080行，其实就是用了一个&运算符。
假设用户设置如下：error_reporting(E_NOTICE | E_WARNING)。判断用户是否需要上报某种类型错误，执行以下运算即可：

//需要上报
if((E_NOTICE | E_WARNING) & E_NOTICE)       //为true，表示需要上报E_NOTICE，即拥有某权限
 
//不需要上报
if(!((E_NOTICE | E_WARNING) & E_ERROR))     //为false，表示不需要上报E_ERROR，即没有某权限

至于为什么要用&运算，大家把它们的二进制写出来算一遍就一目了然了，这里不作展开。

结论

用二进制来做权限控制是一个非常经典的方案，也有广泛的使用场景，大家多加参考。