一个简易高效的ACL权限设计系统的实现思路
要在laravel上设计一个acl权限系统,调研了一下Entrust等相关权限包,发现效率太低,对于每一次QueryPrmission、QueryRole都需要进行连表查询,对于一个控制台菜单来说sql量居然上了50+,这是不能忍受的。
干脆自己做一套简易的user-role-permission权限结构。
思路:
缓存用户权限
批量判断权限
实现权限拦截中间件
缓存权限
一般来说,除更改用户权限逻辑代码,其他时候用户的权限是不变的,所以可以缓存用户所有的角色和权限信息。
同时为了提供刷新用户权限的行为,添加了flush permission的功能。
function cacheUserRolesAndPermissions($user_id , $flash = false){
if ($flash){
Cache::forget('user_r_p_' . $user_id);
return cacheUserRolesAndPermissions($user_id , false);
}else{
return Cache::remember('user_r_p_' . $user_id , 60 ,function() use($user_id){
$res = collect(DB::table('role_user')
->where('role_user.user_id' , $user_id)
->join('roles' , 'roles.id' , '=' , 'role_user.role_id')
->join('permission_role' , 'permission_role.role_id' , '=' ,'role_user.role_id')
->join('permissions' , 'permissions.id' , '=' , 'permission_role.permission_id')
->select(['permissions.name as p_name' , 'roles.name as r_name'])
->get());
$roles = $res->pluck('r_name')->unique();
$pers = $res->pluck('p_name')->unique();
$vals = [
'roles' => $roles->values()->all(),
'pers' => $pers->values()->all()
];
return $vals;
});
}
}
批量判断权限的思路
对于批量判断权限时候,需要有方法批量返回判断数组。这里借鉴了Entrust的getAbility思路。
/**
* @param $pers []
* @param $option [] valid_all 是否判断全部权限 return_type boolean/array
*/
function hasPermission($pers , $option = []){
$option = array_merge(['valid_all' => false , 'return_type' => 'boolean'] , $option); //return_type boolean|array|both
if (!is_array($pers)) $pers = [$pers];
$gates = cacheUserRolesAndPermissions(Auth::id());
if ($option['return_type'] == 'boolean'){
foreach ($pers as $per){
if (in_array($per , $gates['pers'])){
if (!$option['valid_all']){
return true;
}
}else{
if ($option['valid_all']){
return false;
}
}
}
if ($option['valid_all']) return true;
else return false;
}else if ($option['return_type'] == 'array'){
$res = [];
foreach ($pers as $per){
$res[$per] = in_array($per , $gates['pers']);
}
return $res;
}else{
return null;
}
}
路由拦截中间件
批量判断权限高效实现了页面渲染时候权限判断问题,为了进一步增强系统安全性,需要对路由进行权限匹配拦截。
这里就不贴代码了,主要的意思是对route group内每一次的请求进行权限检查,这里需要注意有些请求含有参数,所以需要路径通配符判断,其次需要对路由方法进行检测。拦截规则类似于:
$rules = [
'/admin/post/{id}' => ['method' => 'DELETE' , 'permission' => 'post_delete'],
'/admin/post/{id}/edit' => 'post_edit', //default any http method
]
利用这三个思路实现的权限系统简洁、高效,缓存权限之后,基本不会查表即可实现批量权限判断,大大改善了之前权限系统的性能问题。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。