我半年前开始使用MVC模式,但仍有一些误解。
现在我想在我的应用程序中实现基于角色的访问控制。然而,我的问题不是关于RBAC,而是关于MVC。
我的RBAC实现如下: 用户->角色->权限 因此,每个用户(例如userA)可以拥有多个角色(例如reader,editor,admin),每个角色可以拥有多个权限(读取、更新、删除等)。
MySQL表格
现在我的问题是 我应该如何在MVC中实现这个?是否应该为:用户、角色、权限、角色_权限、用户_角色创建单独的模型,然后再创建一个authManager类?这种方式正确吗?是否有更好、更优雅的方式?
我正在复制/粘贴KohanaPHP的主应用程序控制器代码,假设我们已经包含了Zend_ACL。
请注意,我具有基于用户的权限,而不是基于组的权限...尽管这很容易进行编辑。
<?php
defined('SYSPATH') OR exit('No direct script access.');
class Controller_Application extends Controller_Template
{
protected static $acl;
public $template = 'default';
public function before()
{
parent::before();
session_start();
self::$acl = new Zend_Acl();
$this->set_permissions($_SESSION['userid']);
}
protected function check_access($resource, $privilege, $redirect = TRUE)
{
$permission = (self::$acl->has($resource) AND self::$acl->isAllowed($_SESSION['userid'], $resource, $privilege));
if (!$permission AND $redirect)
$this->request->redirect('user/denied');
elseif (!$permission AND !$redirect)
return FALSE;
elseif ($permission AND !$redirect)
return TRUE;
}
protected function set_permissions($user_id)
{
$result = DB::select()
->from('permissions')
->where('user_id', '=', $user_id)
->execute()
->as_array();
self::$acl->addRole(new Zend_Acl_Role($user_id));
foreach ($result AS $permission)
{
if (!self::$acl->has($permission['resource']))
self::$acl->add(new Zend_Acl_Resource($permission['resource']));
self::$acl->allow($user_id, $permission['resource'], $permission['privilege']);
}
}
}
?>
然后我在控制器中像这样检查访问权限:$this->check_access('events', 'add');。