由于需要,理解thinkcmf的权限管理方式,特此记录,备忘。
后台管理页面的访问权限
在cmf的simplewind/cmf/controller/AdminBaseController.php文件中,使用函数checkAccess($userid)判断此登陆用户是否有权限访问此页面。
/**
* 检查后台用户访问权限
* @param int $userId 后台用户id
* @return boolean 检查通过返回true
*/
private function checkAccess($userId)
{
// 如果用户id是1,则无需判断
if ($userId == 1) {
return true;
}
$module = $this->request->module();
$controller = $this->request->controller();
$action = $this->request->action();
$rule = $module . $controller . $action;
$notRequire = ["adminIndexindex", "adminMainindex"];
if (!in_array($rule, $notRequire)) {
return cmf_auth_check($userId);
} else {
return true;
}
}
在这个函数里首先判断用户是不是超级管理员用户,如果是,不用检查权限,直接放行。如果访问的是后台主界面等所有人都可以访问的公共界面,也直接放行。否则调用cmf_auth_check()函数检查权限。
转到cmf_auth_check()函数看看
/**
* 检查权限
* @param $userId int 要检查权限的用户 ID
* @param $name string|array 需要验证的规则列表,支持逗号分隔的权限规则或索引数组
* @param $relation string 如果为 'or' 表示满足任一条规则即通过验证;如果为 'and'则表示需满足所有规则才能通过验证
* @return boolean 通过验证返回true;失败返回false
*/
function cmf_auth_check($userId, $name = null, $relation = 'or')
{
if (empty($userId)) {
return false;
}
if ($userId == 1) {
return true;
}
$authObj = new \cmf\lib\Auth();
if (empty($name)) {
$request = request();
$module = $request->module();
$controller = $request->controller();
$action = $request->action();
$name = strtolower($module . "/" . $controller . "/" . $action);
}
return $authObj->check($userId, $name, $relation);
}
但是这个函数并没有什么实质内容,只是将当前的路径当成参数调用另一个类里的函数,所以继续跟踪。
\cmf\lib\Auth()->check()
/**
* 检查权限
* @param $name string|array 需要验证的规则列表,支持逗号分隔的权限规则或索引数组
* @param $uid int 认证用户的id
* @param $relation string 如果为 'or' 表示满足任一条规则即通过验证;如果为 'and'则表示需满足所有规则才能通过验证
* @return boolean 通过验证返回true;失败返回false
*/
public function check($uid, $name, $relation = 'or')
{
if (empty($uid)) {
return false;
}
if ($uid == 1) {
return true;
}
if (is_string($name)) {
$name = strtolower($name);
if (strpos($name, ',') !== false) {
$name = explode(',', $name);
} else {
$findAuthRuleCount = Db::name('auth_rule')->where([
'name' => $name
])->count();
if ($findAuthRuleCount == 0) {//没有规则时,不验证!
return true;
}
$name = [$name];
}
}
$list = []; //保存验证通过的规则名
$groups = Db::name('RoleUser')
->alias("a")
->join('__ROLE__ r', 'a.role_id = r.id')
->where(["a.user_id" => $uid, "r.status" => 1])
->column("role_id");
if (in_array(1, $groups)) {
return true;
}
if (empty($groups)) {
return false;
}
$rules = Db::name('AuthAccess')
->alias("a")
->join('__AUTH_RULE__ b ', ' a.rule_name = b.name')
->where(["a.role_id" => ["in", $groups], "b.name" => ["in", $name]])
->select();
foreach ($rules as $rule) {
if (!empty($rule['condition'])) { //根据condition进行验证
$user = $this->getUserInfo($uid);//获取用户信息,一维数组
$command = preg_replace('/\{(\w*?)\}/', '$user[\'\\1\']', $rule['condition']);
//dump($command);//debug
@(eval('$condition=(' . $command . ');'));
if ($condition) {
$list[] = strtolower($rule['name']);
}
} else {
$list[] = strtolower($rule['name']);
}
}
if ($relation == 'or' and !empty($list)) {
return true;
}
$diff = array_diff($name, $list);
if ($relation == 'and' and empty($diff)) {
return true;
}
return false;
}
这才是真正的权限检查函数啊…首先还是例行的判断是否超级管理员,再判断传入的需要验证的路径是否有多组(以逗号分隔),如果有多组,分隔开后作为数组存入原变量。如果只有一组,直接查询表auth_rule其中是否有这条验证规则,如果没有就不用验证了,直接返回true。
接下来联合RoleUser和__ROLE__两张表,当表中有当前用户且用户状态正常时,返回当前用户的role_id(可能有多个角色,所以为数组),如果当前用户拥有超级管理员角色,放行;如果什么角色也没有,拒绝请求。
在继续联合AuthAccess和__AUTH_RULE__两张表,找出此用户此次请求访问的页面中有权限访问的页面,存入$rules数组中。遍历$rules数组,如果当前行的condition列不为空,………..(没看懂);如果condition为空,则将当前行的name值存入数组list中,表示已经通过权限验证的页面。
如果list数组中不为空且验证规则的连接词为or(即只要有一个验证条件通过验证),则返回true,放行;如果连接词为and,则对比传入的规则列表与通过验证的规则列表(即$name与$list),若两个数组一致,则表明所有验证列表都通过了验证,返回true。否则,其他所有情况都返回false,拒绝请求。