謝飛翔 黃謙

【摘要】權(quán)限認(rèn)證作為信息管理系統(tǒng)中必要的重要組成部分，它不僅要提供安全、可靠、高效的權(quán)限認(rèn)證，而且應(yīng)具備很好的適應(yīng)性和靈活性以滿足不同信息系統(tǒng)的需求。本文正是基于以上理念，給出了一個通用RBAC數(shù)據(jù)庫設(shè)計方案，并以ThinkPHP框架為開發(fā)環(huán)境，著重介紹了系統(tǒng)權(quán)限的設(shè)置、分配和驗(yàn)證。

【關(guān)鍵詞】權(quán)限控制：權(quán)限驗(yàn)證;RBAC;ThinkPHP

引言

權(quán)限認(rèn)證模塊在任何一個信息管理系統(tǒng)中都是不可或缺的，能有效防止非法用戶訪問系統(tǒng)資源以及合法用戶越權(quán)使用系統(tǒng)資源。

目前主要的訪問控制技術(shù)有自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制等，從優(yōu)越性上看，RBAC優(yōu)于前兩者，RBAC是基于角色的訪問控制，通過角色可以很好地把權(quán)限和用戶獨(dú)立開來，因此RBAC是目前信息系統(tǒng)的主流設(shè)計模型，尤其被廣泛應(yīng)用于Web信息管理系統(tǒng)。

本文以RBAC模型為核心理念，基于TinkPHP優(yōu)越的框架底層，實(shí)現(xiàn)了Web環(huán)境下，以角色為基礎(chǔ)的權(quán)限控制功能。

一、RBAC模型簡介

簡單而言，RBAC核心思想是提出了角色（Role）的概念，把用戶與權(quán)限相分離。主要包括三個要素，用戶、角色和權(quán)限。權(quán)限與角色相關(guān)聯(lián)，用戶通過成為適當(dāng)角色的成員而得到這些角色對應(yīng)的權(quán)限。這就極大地簡化了權(quán)限的管理。角色可依據(jù)新的需求被賦予新的權(quán)限，而權(quán)限也可根據(jù)需要而從某角色中回收。一個用戶可以根據(jù)需要被指派多個角色以適應(yīng)更為靈活的系統(tǒng)需求。

本文所采用的RBAC模型包括用戶（USERS）、角色（ ROIES）和權(quán)限（PRMS）等3類實(shí)體集合。三者之間的邏輯關(guān)系如圖1所示。

每個角色至少具備一個權(quán)限，每個用戶至少扮演一個角色;可以對兩個完全不同的角色分配完全相同的訪問權(quán)限;需要強(qiáng)調(diào)的是，將用戶和許可權(quán)進(jìn)行分離，使得彼此相互獨(dú)立，它們之間是多對多的關(guān)系，這種關(guān)系將使得模型具備足夠的靈活性以適應(yīng)不同的系統(tǒng)需求。如，企業(yè)副總經(jīng)理兼任財務(wù)總監(jiān)，該用戶將一身兼兩職，也將同時擁有兩個角色的權(quán)限。

二、RBAC數(shù)據(jù)庫設(shè)計

RBAC就是用戶通過角色與權(quán)限進(jìn)行關(guān)聯(lián)，一個用戶擁有若干角色，每一個角色擁有若干權(quán)限。這樣，就構(gòu)造成“用戶一角色一權(quán)限”的授權(quán)模型。在這種模型中，用戶與角色之間，角色與權(quán)限之間，一般是多對多的關(guān)系?；谝陨蟁BAC思想，給出圖2所示的數(shù)據(jù)庫設(shè)計概要，鑒于突出問題重點(diǎn)，省去了表中的一些通用業(yè)務(wù)字段。

用戶表與角色表之間的關(guān)系是多對多的關(guān)系，中間表為用戶角色分配表，一個用戶可以指定多個角色，一個角色也可以同時分配給多個用戶;角色表與權(quán)限表之間的關(guān)系也是多對多的關(guān)系，中間表為角色權(quán)限分配表，一個角色可以指定擁有多個權(quán)限，一個權(quán)限也可以同時分配給多個角色。

三、RBAC系統(tǒng)功能的實(shí)現(xiàn)

ThinkPHP是一個免費(fèi)開源的，快速、簡單的面向?qū)ο蟮妮p量級PHP開發(fā)框架，是為了敏捷WEB應(yīng)用開發(fā)和簡化企業(yè)應(yīng)用開發(fā)而誕生的。本文擬基于ThinkPHP實(shí)現(xiàn)RBAC的權(quán)限管理、用戶管理、角色管理、用戶授權(quán)及認(rèn)證等功能。

（一）RBAC權(quán)限的設(shè)置和分配

在數(shù)據(jù)庫設(shè)計中，我們知道程序中核心的數(shù)據(jù)庫表有用戶表（ user）、角色表（role）、用戶角色分配表（role_user）、權(quán)限表（node）、角色權(quán)限分配表（access）等5張表。以下重點(diǎn)討論，程序怎樣實(shí)現(xiàn)系統(tǒng)權(quán)限的設(shè)置和分配的。

1. RBAC權(quán)限的設(shè)置

權(quán)限的設(shè)置是基于系統(tǒng)權(quán)限表（node），表結(jié)構(gòu)及樣例如圖3所示。

可見，所有權(quán)限節(jié)點(diǎn)都有一個pid值，意為其父親節(jié)點(diǎn)id，如果pid-0，表示當(dāng)前節(jié)點(diǎn)為模塊級權(quán)限，同時對應(yīng)level-1，意為一級根節(jié)點(diǎn)，所有當(dāng)前模塊下授權(quán)控制器和方法都會隸屬于該根節(jié)點(diǎn);每一個授權(quán)控制器對應(yīng)一個pid-l/level-2/type-1的二級節(jié)點(diǎn)，意為隸屬xfadmin模塊的二級控制器節(jié)點(diǎn);每一個授權(quán)控制器方法對應(yīng)一個pid-n/level-3/type-0的三級節(jié)點(diǎn)，意為隸屬n號控制器的三級方法節(jié)點(diǎn)，如，29號節(jié)點(diǎn)是隸屬于“用戶管理”控制器的“添加”方法節(jié)點(diǎn)。通過pid、level、type三個字段的合理設(shè)置，所有權(quán)限節(jié)點(diǎn)就構(gòu)成了一棵權(quán)限樹。說明：表中 group_id并非rbac的要素字段，該字段設(shè)置的目的是對所有節(jié)點(diǎn)功能進(jìn)行分組，便于在前臺界面進(jìn)行展示，group_id=0，表示未分組，該權(quán)限只作為功能點(diǎn)存在，并不會在功能界面展示;groupid>0，表示進(jìn)行了分組，該權(quán)限會以獨(dú)立的功能點(diǎn)展示在前臺界面中。

name和title是權(quán)限的名稱和標(biāo)題，name屬性對應(yīng)具體程序的模塊名、控制器名。如，34號結(jié)點(diǎn)是xfadmin模塊下的AdminUser控制器下的password方法。title字段主要是前臺展示時的標(biāo)記名。

系統(tǒng)權(quán)限管理功能主要有：權(quán)限添加、權(quán)限刪除、權(quán)限編輯、權(quán)限禁用與恢復(fù)等幾個核心操作;權(quán)限節(jié)點(diǎn)分為一級模塊節(jié)點(diǎn)，如“后臺管理”，二級控制器節(jié)點(diǎn)，如“節(jié)點(diǎn)管理”，三級方法節(jié)點(diǎn)，如“添加”。

下面重點(diǎn)看看“添加”權(quán)限功能，其實(shí)現(xiàn)代碼是AdminNode＼add方法，下面重點(diǎn)看看“添加”權(quán)限功能，其實(shí)現(xiàn)代碼是AdminNo de＼add方法，對應(yīng)源碼片段為：

public function add（） {

$controller - $this->request->controller（）;

if （$this->request->isAjax（） {

$data - $this->request->except（['id']）;

if （

class exists（$validateClass = Loader： ：parseClass（Config： ：get（app.validate_path'）， 'validate'. $controller））） {

$validate - new $validateClass（）;

if （！$validate->check（$data）） {return ajax_return_adv_error（$validate->getError））;}

}

if （

classexists（$mo deIClass - Loader： ：parseClass（Config ： ：get（' app.mo del_path'）， 'model'. $this->parseCameICase（$controller）））

||classexists（$modeIClass=Loader：：parseClass（Config：：get（app.model_path'）， 'model'， $controller））） {

$model=new $modeIClass（）;

$ret=$model->isUpdate（false）->save（$data）;

} else {

Db ： ：startTrans（）;

try {

$model=Db：：name（$this->parseTable（$controller））;

$ret=$model->insert（$data）;

Db： ：commit（）;

} catch（＼Exception $e） {

Db：：rollback（）;

return ajax_return_adv_error（$e->getMessage（））;

}

}

return ajax_return_adv（'success'）;

} else {

return $this->view->fetch（isset（$this->template） ？$this->template：'edit'）;

}

}

代碼分析：由以上代碼分析可知，該add方法實(shí)際上一個通用添加方法，控制器名稱對應(yīng)數(shù)據(jù)庫表名和驗(yàn)證器名稱，用戶在訪問控制器時，程序會自動調(diào)用對應(yīng)的驗(yàn)證器和數(shù)據(jù)庫表進(jìn)行數(shù)據(jù)處理。另外，可以針對不同的控制器在模型庫中定義不同的模型，充分體現(xiàn)了程序設(shè)計擴(kuò)展性的優(yōu)越性。

2. RBAC權(quán)限的分配

權(quán)限設(shè)置完之后，就需要基于用戶表（user）、用戶角色表（roleuser）、角色表（role）、角色權(quán)限表（access）將權(quán)限分配給用戶。其邏輯是先基于“角色權(quán)限表”將權(quán)限分配給角色，然后再基于“用戶角色表”將角色分配給用戶，進(jìn)而完成用戶權(quán)限的授權(quán)。

（1）角色授權(quán)

角色表包括的核心字段有id和name，角色權(quán)限表包括核心字段有role id、node id，其中 role id對應(yīng)角色表id，node id對應(yīng)node表id;一個角色分配了一個權(quán)限就會生成一條角色權(quán)限表記錄，一個角色可以分配若干個權(quán)限，同一個權(quán)限可以被分配給多個角色。

角色的授權(quán)功能在角色管理模塊中實(shí)現(xiàn)，通過過添加功能創(chuàng)建角色后，可以立即通過授權(quán)功能對其進(jìn)行權(quán)限分配，系統(tǒng)權(quán)限會以樹型的方式提供給用戶進(jìn)行選擇分配，操作界面如圖4所示。

以上所有功能都是通過AdminRole控制器來實(shí)現(xiàn)的，其中角色授權(quán)是通過AdminRole＼access方法實(shí)現(xiàn)的，access方法源碼為：

public function access（）{

$roleid=$this->request->param（'id/d'）;

if （$this->request->isPost（））{

if（！ $role_id）{return ajax_return adv error（''缺少

必要參數(shù)''）;}

if （

true ！==$error=Loader：：modeI（'AdminAccess'， 'Iogic'）->insertAccess（$role_id， $this->request->post（）》

{return ajax_return_adv_error（$error）; }

retum ajax_return_adv（"權(quán)限分配成功"， "）;

} else {

if （！$roleid） {throw new Exception（"缺少必要參

$tree=Loader：：model（'AdminRole'，'Iogic'）->getAccessTree（$role_id）;

$this->view->assign（"tree"， json_encode（$tree））;

return $this->view->fetch（）;

}

}

代碼分析：用戶執(zhí)行授權(quán)時，程序首先會執(zhí)行else部分，程序獲取請求的參數(shù)是角色id，然后再通過logic＼AdminRole功能類的get Access Tree方法拿到當(dāng)前角色的權(quán)限集，該權(quán)限是根據(jù)用戶id（UID）查詢出的當(dāng)前用戶所擁有的權(quán)限集，也即用戶只能基于自己擁有的權(quán)限進(jìn)行再分配，這個功能是很多企業(yè)所需要的。

當(dāng)用戶分配完權(quán)限后通過保存功能，執(zhí)行角色權(quán)限的保存，其實(shí)就是執(zhí)行access方法的$this->request->isPost（）條件為真的部分，代碼中通過logic＼Admin Access功能類的rnsertAccess方法完成角色權(quán)限的保存，insertAccess參數(shù)錯誤

public function insertAccess（$role_id， $data）{

Db：：startTrans（）;

try{

$db access=Db：：name（"AdminAccess"）;

$db access->where（"role_id". $role_id）->delete0;

if （isset（$data['node_id']）&&！empty（$data['node_id']）&&isarray（$data['nodeid']））{

$insert_all=[];

foreach（$data['nodeid']as$v）{

$node=explode（‘_，$v）;

if（！isset（$node[2]））{throw new Exception（'參數(shù)錯誤）;}

$insert_all[]=[

“roleid”=> $role_id.

。"node_id"=> $node[0]，

“l(fā)evel"=> $node[1]，

"pid"=_> $node[2]，

];

}

$db access->insertAll（$insert_all）;

}

Db：：commit（）;

return true：

} catch （＼Exception $e）{

Db：：rollback（）;

return $e->getMessage（）;

}

}

代碼分析：代碼使用的Think PHP的數(shù)據(jù)庫事務(wù)處理，方法參數(shù)為角色id（$role id）和待插入權(quán)限數(shù)據(jù)（$data），訪問rbac配置文件的access table值讀取到access表名，先刪除當(dāng)前角色的所有現(xiàn)有權(quán)限，然后通過foreach遍歷$data的node id數(shù)據(jù)，把數(shù)據(jù)再組裝成access表結(jié)構(gòu)數(shù)據(jù)$insert all，最后通過Db：：insertAII把數(shù)據(jù)一次。降插入到access數(shù)據(jù)表中，完成角色權(quán)限的保存。在代碼中利用了事務(wù)機(jī)制很好的保障了角色權(quán)限數(shù)據(jù)的完整性和有效性。

（2）用戶授權(quán)

用戶表的核心字段有id、account、realname、password等，用戶角色表包括字段有role_id，user_id，其中 role_id對應(yīng)role表的id，user_id對應(yīng)user表的id，一個用戶分配了一個角色就會生成一條用戶角色表記錄，一個用戶可以同時擁有多個角色，同一個角色可以被分配給多個用戶。

分配角色的邏輯過程為：首先基于user表創(chuàng)建一條用戶記錄，然后基于role_user表為該用戶創(chuàng)建一條或多條角色分配記錄。程序中實(shí)現(xiàn)該過程是通過用戶管理和角色管理來實(shí)現(xiàn)的。

在“角色管理”中選中待分配的角色項，點(diǎn)擊對應(yīng)的“用戶列表”功能按鈕，程序會彈出當(dāng)前系統(tǒng)用戶列表，然后再勾選需要分配的用戶，保存即可。該過程使用到的代碼是AdminRole＼user方法，源碼片段為：

public function user（）{

$roleid=$this->request->param（‘id/d）;

if （$this->request->isPost（））{

if（！ $role_id）{return ajax_return_adv_error（“缺少必要參數(shù)”）;}

$db role user=Db：：name（“AdminRoleUser”）;

$db role user->where（“role id”，$roleid）->delete（）;

$data=$this->request->post（）;

if （isset（$data[‘user_id]）&&！empty（$data[‘user_id]）&&is_array（$data[‘user_ id]））{

$insert_all=[]

foreach （$data[‘user_ id]as$v）{

$insert_all[]=[

“role_id”=>$role_id.

“user_ id”=>intval（$v），

];

}

$db_role_user->insertAll（$insert_all）;

}

return ajax_return_adv（“分配角色成功”，”）;

） else{

if （！$roleid）{

throw new Exception（“缺少必要參數(shù)”）;

）

$list user=Db：：name（“AdminUser”）一>field（‘id，account.realname）->where（‘status=l AND id>1）->select（）;

$list role user=Db：：name（“AdminRoleUser”）一>where（“role_id'， $roleid）->select（）;

$checks= filter_value（$list__role_user.”user_id，，true）;

$this->view->assign（‘list，$list user）;

$this->view->assign（‘checks，$checks）;

return $this->view->fetch（）;

}

}

代碼分析：當(dāng)用戶以Get方式提交時，程序執(zhí)行else部分，Get參數(shù)為role_id，程序依次從數(shù)據(jù)庫讀取當(dāng)前系統(tǒng)非超管用戶（id>l，數(shù)據(jù)庫設(shè)計超管賬號id=l）信息到$list_user;讀取當(dāng)前角色已授權(quán)信息到$list_role_user，最后把獲取到的信息以視圖變量的方式指派到對應(yīng)視圖模板。

當(dāng)用戶以Post方式提交時，表示用戶是需要保存用戶角色信息，程序執(zhí)行$this->request->isPost（）為真的部分，Post參數(shù)形如，array（2）{[“id”]_>”3”，[“user_id”]=>array（1）{[0]=>”2”}}，意為把id=3的角色分配給user_id=2的用戶。首先，程序?yàn)橄葎h除當(dāng)前角色之前的所有用戶，然后，再把當(dāng)前Post數(shù)據(jù)簡單處理后一次性新增到role user表中。

（二）RBAC權(quán)限的驗(yàn)證

我們可以把ThinkPHP程序中所有控制器分為兩類，一類是公開性控制器，該類控制器是公開的不需要授權(quán)，例如登錄控制器、對外接口性控制器等。另一類是授權(quán)控制器，該類控制器必須登錄授權(quán)后才能訪問，例如系統(tǒng)權(quán)限管理、用戶管理、分組管理等。

系統(tǒng)中怎樣實(shí)現(xiàn)授權(quán)控制器的訪問攔截的呢？系統(tǒng)在模塊根目錄下設(shè)計創(chuàng)建一個通用基類Controller（app＼xfadmin＼Controller.php），然后在創(chuàng)建授權(quán)控制器時，先讓其繼承該基類，這樣就可以把驗(yàn)證過程放在基類的構(gòu)造函數(shù)中，只要用戶訪問授權(quán)控制器，就會先執(zhí)行驗(yàn)證程序，從而實(shí)現(xiàn)RBAC控制器的實(shí)時訪問授權(quán)驗(yàn)證。

下面將具體通過攔截基類Controller部分源碼片段，來簡單分析該驗(yàn)證過程。

1.用戶UID及ADMrN常量的設(shè)置

當(dāng)用戶正常登錄后，系統(tǒng)會在Session中創(chuàng)建一個用戶UID標(biāo)識，用于記錄用戶的系統(tǒng)ID號，后續(xù)會通過該UID來獲取用戶獲得的權(quán)限樹，同時還會創(chuàng)建一個超級管理員ADMIN標(biāo)識，用于記錄當(dāng)前用戶是否是超管賬號。這兩個常量是在通用基類Controller中定義的，因此在所有授權(quán)控制器的業(yè)務(wù)處理過程中都是可以隨時訪問到的。源碼片段為：

public function____construct（）{

defined（‘UID）or define（‘UID，Session：：get（Config：：get（‘rbac.user_auth_ key）））;

defined（‘ADMIN）or define（‘ADMrN，true===Session：：get（Config：：get（‘rbac.admin_auth_key）））;

）

代碼分析：通過分析以上代碼片段，可知當(dāng)用戶登錄后系統(tǒng)會把登錄用戶的UID標(biāo)識和ADMrN標(biāo)識記錄到系統(tǒng)Session中，每當(dāng)授權(quán)控制器被訪問時，就會實(shí)時讀取出來作為驗(yàn)證用戶權(quán)限的標(biāo)識常量。其中，rbac是權(quán)限管理專用配置文件，在模塊文件夾中的extra 中，ThinkPHP引導(dǎo)時會自動引入，在該配置文件中可以動態(tài)配置Session中UID和ADMrN的緩存關(guān)鍵字。

2. 用戶登錄驗(yàn)證和訪問權(quán)限驗(yàn)證

當(dāng)用戶UID不存在，即表示用戶未登錄，系統(tǒng)會引導(dǎo)用戶跳轉(zhuǎn)到登錄頁面完成登錄，從而保障了系統(tǒng)資源不被非法訪問。源碼片段為：

public function____construct（）{

……

if （null===UID）{

$this->notLogin（）;

} else{

$this->auth（）;

}

}

當(dāng)用戶正常登錄，則需要對用戶當(dāng)前訪問權(quán)限進(jìn)行驗(yàn)證。以下是auth方法源碼：

protected function auth（）{

if （

Config：：get（‘rbac.user_ auth on）&&

！in_array（$this->request->module（）， explode（‘，，Config：：get（‘rbac.not_auth_module）））

）{

if （?。躌bac：：AccessCheck（））{

throW new HttpException（403，“沒有權(quán)限”）;

}

}

}

代碼分析：當(dāng)rbac配置文件中“user auth on”項打開，并且當(dāng)前模塊不屬于非授權(quán)模塊，則需要進(jìn)行權(quán)限驗(yàn)證，驗(yàn)證函數(shù)為＼extend＼Rbac：：AccessCheck方法，該函數(shù)需要傳人待驗(yàn)證的權(quán)限節(jié)點(diǎn)（模塊＼控制器＼方法）。然后，根據(jù)用戶UID到系統(tǒng)中取出當(dāng)前用戶的權(quán)限列表accessList;最后使用keyExist函數(shù)判斷當(dāng)前node是否存在于accessList 中，存在則返回true表示當(dāng)前node被直接授權(quán)可以訪問，否則返回false表示不可以訪問?？梢?，通過以上授權(quán)驗(yàn)證機(jī)制，使得程序有效地保障了系統(tǒng)用戶不會越權(quán)使用權(quán)限范圍以外的系統(tǒng)資源。

結(jié)束語

訪問控制技術(shù)作為國際化標(biāo)準(zhǔn)組織定義的五項標(biāo)準(zhǔn)安全服務(wù)之一，是實(shí)現(xiàn)信息系統(tǒng)安全的一項重要機(jī)制?；诮巧脑L問控制（ RBAC）是目前流行的先進(jìn)的安全管理控制方法，解決了傳統(tǒng)的訪問控制方式DAC、MAC 中的一些問題。本文基于RBAC基本模型RBACO，以ThinkPHP和MySQL為開發(fā)環(huán)境，實(shí)現(xiàn)了一種適用于小小企業(yè)的權(quán)限管理系統(tǒng)，能針對系統(tǒng)所有控制器方法進(jìn)行權(quán)限的設(shè)置和分配，實(shí)現(xiàn)了一種約束型權(quán)限分配機(jī)制，當(dāng)用戶在進(jìn)行權(quán)限分配時，僅能分配自己當(dāng)前所擁有的權(quán)限;另外，還實(shí)現(xiàn)了一種公共授權(quán)機(jī)制，簡化了用戶授權(quán)的操作復(fù)雜度。目前，程序僅實(shí)現(xiàn)了RBACO基本模型功能，后續(xù)將需要進(jìn)一步完善角色層次設(shè)計。

參考文獻(xiàn)：

[1]馬林.J2EE企業(yè)級應(yīng)用系統(tǒng)及其安全框架研究與實(shí)現(xiàn)[D].西南交通大學(xué)，2007.

[2]劉建圻，曾碧，鄭秀璋.基于RBAC權(quán)限管理模型的改進(jìn)與應(yīng)用[J].計算機(jī)應(yīng)用，2008，28 （9）：2449-2451.

[3]陳波，于冷，肖軍模.計算機(jī)系統(tǒng)安全與技術(shù)[M].北京：機(jī)械工業(yè)出版社，2009.

[4]李蘭崇.基于角色的權(quán)限管理訪問控制系統(tǒng)平臺研究與實(shí)踐[D].蘭州大學(xué)，2009.