Français
Français
La sécurité est un facteur crucial lors du développement d'un site Web ou d'une application. Comment définir les autorisations appropriées pour les utilisateurs et s'assurer que seuls les utilisateurs avec des autorisations spécifiques peuvent accéder aux fonctions et ressources correspondantes est un problème que chaque développeur doit résoudre. Le contrôle d'autorisation basé sur les rôles (RBAC) est une méthode courante de gestion de l'autorisation. Cet article vous guidera comment utiliser PHP pour implémenter le contrôle d'authentification basé sur les rôles.
Avant de mettre en œuvre le contrôle de l'autorisation basée sur les rôles, nous devons d'abord clarifier les concepts de «rôle» et de «autorisations».
Les rôles représentent l'identité de l'utilisateur dans le système. Par exemple, "administrateur", "utilisateur ordinaire", etc. Chaque rôle reçoit généralement des autorisations différentes pour limiter ce que l'utilisateur peut effectuer.
Les autorisations sont définies par le système et déterminent les actions qu'un rôle peut jouer ou accéder aux ressources. Les autorisations peuvent inclure des "données de lecture", "modifier les données" ou "supprimer les données", etc.
Grâce à la combinaison de rôles et d'autorisations, les utilisateurs peuvent contrôler efficacement les autorisations d'opération du système.
Afin de mettre en œuvre un contrôle d'autorisation basé sur les rôles, nous devons généralement stocker le rôle et les informations d'autorisation dans la base de données. Nous pouvons créer deux tables: l'une stocke les informations sur le rôle et les autres informations sur l'autorisation. Voici un exemple de déclaration SQL qui crée des rôles et des tables d'autorisation:
Créer des rôles de table (
id int Auto_Increment Clé primaire,
nom varchar (255) pas null
));
Créer des autorisations de table (
id int Auto_Increment Clé primaire,
nom varchar (255) pas null
));
Dans la table des rôles, nous utilisons le champ "Nom" pour stocker le nom de rôle, et dans la table d'autorisation, le champ "Nom" pour stocker le nom d'autorisation.
Dans les applications réelles, vous devez d'abord créer des rôles et des autorisations, puis attribuer des rôles et des autorisations à l'utilisateur.
Par exemple, nous pouvons insérer des données dans les tables de rôle et les tables d'autorisation en utilisant les instructions SQL suivantes:
Insérer dans les rôles (nom) valeurs ('admin'); Insérer dans les valeurs de rôles (nom) («utilisateur»);
Insérer dans les valeurs d'autorisations (nom) («Create»); Insérer dans les valeurs d'autorisations (nom) («lire»); Insérer dans les valeurs d'autorisations (nom) («mise à jour»); Insérer dans les valeurs d'autorisations (nom) («supprimer»);
Ensuite, nous devons attribuer des rôles à l'utilisateur. Vous pouvez stocker des informations utilisateur en créant une table d'utilisateurs et associer l'ID de rôle. Voici un exemple de SQL pour créer des tables d'utilisateurs:
Créer des utilisateurs de table (
id int Auto_Increment Clé primaire,
nom d'utilisateur Varchar (255) pas nul,
mot de passe varchar (255) pas nul,
role_id int not null
));
Ensuite, insérez les données de l'utilisateur à l'aide de l'instruction suivante:
Insérer dans les utilisateurs (nom d'utilisateur, mot de passe, role_id) VALEUR ('admin', 'admin_password', 1); Insérer dans les utilisateurs (nom d'utilisateur, mot de passe, role_id) VALEUR ('utilisateur', 'user_password', 2);
Dans PHP, nous pouvons utiliser la session pour enregistrer l'état de connexion de l'utilisateur et les informations de rôle. Une fois que l'utilisateur s'est connecté, nous stockons son ID de rôle dans la session, puis utilisons le contrôle de l'autorisation en jugeant l'ID de rôle.
Voici un exemple de code PHP qui vérifie l'état de connexion d'un utilisateur, son rôle et ses autorisations:
// Démarrer la session
session_start ();
// Vérifiez si l'utilisateur est connecté if (! Isset ($ _ session ['user_id'])) {
écho "non connecté";
sortie;
}
// Obtenez l'ID de rôle utilisateur
$ role_id = $ _Session ['role_id'];
// juge le rôle de l'utilisateur if ($ role_id == 1) {
écho "Administrateur, avoir toutes les autorisations";
} elseif ($ role_id == 2) {
écho "utilisateur ordinaire, avec quelques autorisations";
} autre {
écho "rôle inconnu";
sortie;
}
// Vérifiez les autorisations utilisateur $ permission = $ _get ['Permission'];
if ($ role_id == 1 || ($ role_id == 2 && in_array ($ permission, ['read', 'update']))) {
echo "a {$ permission} permission";
} autre {
ECHO "NON {$ Permission} Permission";
sortie;
}
Dans ce code, vérifiez d'abord si l'utilisateur est connecté, puis déterminez les autorisations qu'il a en fonction de l'ID de rôle de l'utilisateur. Vous pouvez personnaliser la logique de jugement des rôles et des autorisations en fonction des besoins réels.
Le contrôle d'authentification basé sur les rôles (RBAC) est une méthode très efficace de gestion de l'autorisation. En stockant des rôles et des autorisations dans la base de données et en combinant le code PHP pour juger les rôles et les autorisations de l'utilisateur, nous pouvons nous assurer que chaque utilisateur ne peut accéder et effectuer les opérations que dans ses propres autorisations. Cette approche aide à améliorer la sécurité et la gestion du système pendant le développement.
