Mysql ACL的数据库模式
我想为ACL创建一个模式;然而,我在实现它的两种方法之间左右为难 我很确定我不想处理层叠权限,因为这会导致后端和站点管理员的很多混乱 我想我也可以让用户一次只扮演一个角色。这样的设置将允许在站点增长时根据需要添加角色和权限,而不会影响现有角色/规则 首先,我要规范化数据,并用三个表来表示关系Mysql ACL的数据库模式,mysql,acl,Mysql,Acl,我想为ACL创建一个模式;然而,我在实现它的两种方法之间左右为难 我很确定我不想处理层叠权限,因为这会导致后端和站点管理员的很多混乱 我想我也可以让用户一次只扮演一个角色。这样的设置将允许在站点增长时根据需要添加角色和权限,而不会影响现有角色/规则 首先,我要规范化数据,并用三个表来表示关系 ROLES { id, name } RESOURCES { id, name } PERMISSIONS { id, role_id, resource_id } 用于确定是否允许用户在某个位置的查询如
ROLES { id, name }
RESOURCES { id, name }
PERMISSIONS { id, role_id, resource_id }
SELECT id FROM resources WHERE name = ?
SELECT * FROM permissions WHERE role_id = ? AND resource_id = ? ($user_role_id, $resource->id)
ROLES { id, name }
PERMISSIONS { id, role_id, resource_name }
SELECT * FROM permissions WHERE role_id = ? AND permission = ? ($user_role_id, 'post.update')
那么以下哪一项更正确?ACL还有其他架构布局吗?您可以使用集合来分配角色
CREATE TABLE permission (
id integer primary key autoincrement
,name varchar
,perm SET('create', 'edit', 'delete', 'view')
,resource_id integer );
根据我的经验,真正的问题主要在于是否会出现任何数量的特定于用户的访问限制 例如,假设您正在设计社区的模式,并且您允许用户切换其配置文件的可见性 一种选择是坚持使用公共/私有配置文件标志,并坚持广泛的、先发制人的权限检查:“users.view”(查看公共用户)与“users.view_all”(查看所有用户,针对版主) 另一个涉及到更精细的权限,您可能希望他们能够配置一些东西,这样他们就可以(a)让所有人都可以看到,(b)让他们亲手挑选的伙伴都可以看到,(c)完全保密,或者(d)让所有人都可以看到,除了他们亲手挑选的傻瓜。在这种情况下,您需要为单个行存储与所有者/访问相关的数据,并且需要对其中的一些内容进行大量抽象,以避免实现密集的、面向对象的图的传递闭包 无论采用哪种方法,我都发现角色编辑/分配中增加的复杂性被为单个数据块分配权限所带来的轻松性/灵活性所抵消,并且以下几点效果最好:
check_perms($user,'users.edit',$node)check_perms($user,'users.edit')正如开头的示例所示,要小心过度转向行级权限。与拉取有效节点列表(即,仅用户可以查看或编辑的节点)相比,检查单个节点的权限的性能瓶颈更少。如果您(非常)不熟悉查询优化,我建议您不要使用行本身中的标志和用户id字段以外的任何内容。这些规则以前不知道。虽然大多数资源上确实需要基本CRUD规则,但可能存在其他自定义规则,因此无法在项目开始时定义这些规则集。您可以在项目结束后使用
ALTER TABLESELECT id FROM resources WHERE name = ?
SELECT * FROM permissions
WHERE role_id = ? AND resource_id = ? ($user_role_id, $resource->id)
SELECT p.*
FROM permissions p
INNER JOIN resources r ON (r.id = p.resource_id AND
r.name = ?)