一个简易高效的Laravel的ACL权限系统实现思路

一个简易高效的ACL权限设计系统的实现思路

要在laravel上设计一个acl权限系统，调研了一下Entrust等相关权限包，发现效率过低，对于每一次QueryPrmission、QueryRole都须要进行连表查询，对于一个控制台菜单来讲sql量竟然上了50+，这是不能忍受的。

干脆本身作一套简易的user-role-permission权限结构。

思路：

1. 缓存用户权限

2. 批量判断权限

3. 实现权限拦截中间件

缓存权限

通常来讲，除更改用户权限逻辑代码，其余时候用户的权限是不变的，因此能够缓存用户全部的角色和权限信息。

同时为了提供刷新用户权限的行为，添加了flush permission的功能。

function cacheUserRolesAndPermissions($user_id , $flash = false){
    if ($flash){
        Cache::forget('user_r_p_' . $user_id);
        return cacheUserRolesAndPermissions($user_id , false);
    }else{
        return Cache::remember('user_r_p_' . $user_id , 60 ,function() use($user_id){
            $res = collect(DB::table('role_user')
                ->where('role_user.user_id' , $user_id)
                ->join('roles' , 'roles.id' , '=' , 'role_user.role_id')
                ->join('permission_role' , 'permission_role.role_id' , '=' ,'role_user.role_id')
                ->join('permissions' , 'permissions.id' , '=' , 'permission_role.permission_id')
                ->select(['permissions.name as p_name' , 'roles.name as r_name'])
                ->get());
            $roles = $res->pluck('r_name')->unique();
            $pers = $res->pluck('p_name')->unique();
            $vals = [
                'roles' => $roles->values()->all(),
                'pers'  => $pers->values()->all()
            ];
            return $vals;
        });
    }
}

批量判断权限的思路

对于批量判断权限时候，须要有方法批量返回判断数组。这里借鉴了Entrust的getAbility思路。

/**
 * @param $pers []
 * @param $option [] valid_all 是否判断所有权限 return_type boolean/array
 */
function hasPermission($pers , $option = []){
    $option = array_merge(['valid_all' => false , 'return_type' => 'boolean'] , $option); //return_type boolean|array|both
    if (!is_array($pers)) $pers = [$pers];
    $gates = cacheUserRolesAndPermissions(Auth::id());

    if ($option['return_type'] == 'boolean'){
        foreach ($pers as $per){
            if (in_array($per , $gates['pers'])){
                if (!$option['valid_all']){
                    return true;
                }
            }else{
                if ($option['valid_all']){
                    return false;
                }
            }
        }
        if ($option['valid_all']) return true;
        else return false;
    }else if ($option['return_type'] == 'array'){
        $res = [];
        foreach ($pers as $per){
            $res[$per] = in_array($per , $gates['pers']);
        }
        return $res;
    }else{
        return null;
    }
}

路由拦截中间件

批量判断权限高效实现了页面渲染时候权限判断问题，为了进一步加强系统安全性，须要对路由进行权限匹配拦截。

这里就不贴代码了，主要的意思是对route group内每一次的请求进行权限检查，这里须要注意有些请求含有参数，因此须要路径通配符判断，其次须要对路由方法进行检测。拦截规则相似于：

$rules = [
    '/admin/post/{id}' => ['method' => 'DELETE' , 'permission' => 'post_delete'],
    '/admin/post/{id}/edit' => 'post_edit', //default any http method
]

利用这三个思路实现的权限系统简洁、高效，缓存权限以后，基本不会查表便可实现批量权限判断，大大改善了以前权限系统的性能问题。