2

一个简易高效的ACL权限设计系统的实现思路

要在laravel上设计一个acl权限系统,调研了一下Entrust等相关权限包,发现效率太低,对于每一次QueryPrmission、QueryRole都需要进行连表查询,对于一个控制台菜单来说sql量居然上了50+,这是不能忍受的。

干脆自己做一套简易的user-role-permission权限结构。

思路:

  1. 缓存用户权限

  2. 批量判断权限

  3. 实现权限拦截中间件

缓存权限

一般来说,除更改用户权限逻辑代码,其他时候用户的权限是不变的,所以可以缓存用户所有的角色和权限信息。

同时为了提供刷新用户权限的行为,添加了flush permission的功能。

function cacheUserRolesAndPermissions($user_id , $flash = false){
    if ($flash){
        Cache::forget('user_r_p_' . $user_id);
        return cacheUserRolesAndPermissions($user_id , false);
    }else{
        return Cache::remember('user_r_p_' . $user_id , 60 ,function() use($user_id){
            $res = collect(DB::table('role_user')
                ->where('role_user.user_id' , $user_id)
                ->join('roles' , 'roles.id' , '=' , 'role_user.role_id')
                ->join('permission_role' , 'permission_role.role_id' , '=' ,'role_user.role_id')
                ->join('permissions' , 'permissions.id' , '=' , 'permission_role.permission_id')
                ->select(['permissions.name as p_name' , 'roles.name as r_name'])
                ->get());
            $roles = $res->pluck('r_name')->unique();
            $pers = $res->pluck('p_name')->unique();
            $vals = [
                'roles' => $roles->values()->all(),
                'pers'  => $pers->values()->all()
            ];
            return $vals;
        });
    }
}

批量判断权限的思路

对于批量判断权限时候,需要有方法批量返回判断数组。这里借鉴了Entrust的getAbility思路。

/**
 * @param $pers []
 * @param $option [] valid_all 是否判断全部权限 return_type boolean/array
 */
function hasPermission($pers , $option = []){
    $option = array_merge(['valid_all' => false , 'return_type' => 'boolean'] , $option); //return_type boolean|array|both
    if (!is_array($pers)) $pers = [$pers];
    $gates = cacheUserRolesAndPermissions(Auth::id());

    if ($option['return_type'] == 'boolean'){
        foreach ($pers as $per){
            if (in_array($per , $gates['pers'])){
                if (!$option['valid_all']){
                    return true;
                }
            }else{
                if ($option['valid_all']){
                    return false;
                }
            }
        }
        if ($option['valid_all']) return true;
        else return false;
    }else if ($option['return_type'] == 'array'){
        $res = [];
        foreach ($pers as $per){
            $res[$per] = in_array($per , $gates['pers']);
        }
        return $res;
    }else{
        return null;
    }
}

路由拦截中间件

批量判断权限高效实现了页面渲染时候权限判断问题,为了进一步增强系统安全性,需要对路由进行权限匹配拦截。

这里就不贴代码了,主要的意思是对route group内每一次的请求进行权限检查,这里需要注意有些请求含有参数,所以需要路径通配符判断,其次需要对路由方法进行检测。拦截规则类似于:

$rules = [
    '/admin/post/{id}' => ['method' => 'DELETE' , 'permission' => 'post_delete'],
    '/admin/post/{id}/edit' => 'post_edit', //default any http method
]

利用这三个思路实现的权限系统简洁、高效,缓存权限之后,基本不会查表即可实现批量权限判断,大大改善了之前权限系统的性能问题。


BigTomato
355 声望5 粉丝

北京中科开迪软件有限公司