1

我正在尝试在我的数据库中实现表行权限系统(使用 PHP 前端和 MySQL 后端)。它应该遵循 Windows 文件权限系统,从某种意义上说:

  • 有用户
  • 每个用户可以是多个组的成员
  • 每个组都可以是其他超组的成员
  • 您可以指定整个组、超级组或单个用户的权限
  • 应该是:用户权限取代子组取代超组。(<- 不完全必要)

用户在创建数据库条目后,可以指定哪些组/用户应该具有哪些权限(读、写或不可见)。访问 Web 前端时,仅应显示他们有权访问的条目(使用 cookie 登录系统)。只有那些他们有写入权限的才可以进行编辑。

基本上,我不知道如何有效地创建数据库以将用户与他们应该对文件拥有的权限相关联(我知道,一旦我获得了权限“级别”,剩下的当然该怎么做)。

我试过关系表,但很快就变得复杂了。我在文件条目本身(作为文件的字段)中尝试了用户/组 ID 的数组,但这很草率并且只支持 64 个条目(并且难以实现组/用户层次结构)。

是否有任何示例,加载项,有什么帮助?我精通 Javascript、PHP、SQL、HTML 及其关系,并且正在使用新的 PDO 扩展重新编写旧版本。我知道这是有可能的,但我尝试过的每一个策略都只是一场噩梦。

4

1 回答 1

2

如果您使用的是 Oracle,则可以使用角色功能来处理组的层次结构。Mysql 目前不提供此功能(尽管它似乎在列表中)。

同时,您可以像这样模仿这个功能。
创建一个名为角色的表,其中包含 id 和 name 字段并填充一组角色。

在此处输入图像描述

创建一个名为 user_role_privs 的表,该表将保存从用户到角色的直接链接。

在此处输入图像描述

并创建一个名为 role_role_privs 的表,其中包含被授予其他角色的角色

在此处输入图像描述

最后,我们添加了一个表,我们希望只有某些权限才能访问它,因此我们添加了我们想要的列,加上一个可以查看此数据的角色。

在此处输入图像描述

然后我们创建一个新视图,它使用角色表中的数据加上 current_user() 函数来确定可以显示哪些数据。

create or replace view user_student 
    as select s.id, s.name, s.age
        from user_role_privs urp, student s 
       where urp.user=current_user() 
         and urp.role=s.role
       union 
      select s.id, s.name, s.age
        from user_role_privs urp, role_role_privs rrp, student s
       where urp.user=current_user()
         and urp.role=rrp.role_id
         and rrp.granted_role=s.role

现在,如果您的 php 允许 user1 登录,他们将从视图中选择并看到以下数据 - 即 Pluto 是基于直接角色授予和 Mickey 和 Donald 看到的,因为 clerk 的角色被授予 Manager 的角色。

但是如果 user2 登录,他们将只能看到直接授予其 Clerk 角色的记录,即 Mickey 和 Donald。

因此,如果您的应用程序从 user_student 角色而不是 student 表中选择数据,它将提供读取访问权限。

要基于角色进行写访问,您可能需要扩展此想法以在角色表上包含一个编辑标志,并且仅在角色允许时才显示编辑按钮和相关功能。

角色应该有权编辑它可以看到的任何数据,以便您可以通过在需要时创建更多角色来简化代码。对于向表中插入,您可能还需要一个插入前触发器,以在 student.role 列中插入创建它的用户的角色。您必须决定这是否应该是具有最高或最低权限的角色,因为这也会授予其他用户访问权限。

于 2012-07-31T16:02:00.170 回答