我正在构建访问控制系统,作为我正在开发的 Web 框架的一部分。我想让它变得超级灵活和令人敬畏。你能通过提供关于我的设计的意见和见解来帮助我吗?这是我到目前为止的工作(我的具体问题在底部):
用户
- 用户有用户名(32 个字符,无空格)和密码
- 用户有一个或多个必须验证的电子邮件地址
- 用户可以使用他们的用户名或任何电子邮件地址登录
- 用户可能与零个或多个帐户相关联
账户
- 帐户代表一个或多个用户
- 每个用户可能对一个帐户具有特定的权限或角色(例如,帐户所有者或“可以添加新用户”)
- 所有帐户都绑定到一个帐户类型
账户类型
- 帐户类型具有零个或多个帐户类型角色
- 帐户类型具有零个或多个帐户类型特征
帐户类型角色
- 例如,“所有者”、“管理员”、“高级用户”、“访客”等。
- 账户类型角色是账户类型权限的集合
帐户类型权限
- 帐户类型权限是应用程序逻辑将验证的系统中的特定操作
- 它们可以引用父级,因此可以按层次分组
- 例如:
- “用户管理”
- “添加用户”
- “删除用户”
- “用户管理”
- 这些权限可能专门针对帐户类型功能
帐户类型功能
- 可以在帐户上激活帐户类型功能以赋予其更多权限
- 例如,“标准帐户”或“高级帐户”
- 如果在帐户上激活这些功能,将赋予帐户所有者更大的系统访问权限
- 它们在激活或停用时被跟踪,并且可以定期或按需计费
问题
根据用户操作检查应用程序逻辑的最佳方法是什么?我正在考虑将用户的所有权限存储在他们会话的对象中(这将需要注销/登录来刷新权限,我不喜欢 - 关于实时权限管理的任何想法?):
{
"All Permissions": {
"User Management": {
"Add User",
"Delete User"
},
"Premium Account": {
"Download Files",
"Upload Files"
},
}
}
然后,我将声明系统中特定操作所需的权限。也许是这样的:
Permission::require('Add User');
如果声明的权限不在用户权限对象中,则请求将失败。不过,对于每个用户的操作来说,这似乎有点激烈。此外,如果另一个权限子集具有字符串“添加用户”怎么办?
提前感谢您对此的任何帮助!