使用了rbac模式设计权限,现在有种情况。普通a用户发表一个帖子,a拥有对这个帖子的编辑,删除,查看权限。普通b用户,拥有查看权限小编c用户,拥有对这个帖子的编辑,删除,查看权限。编辑,删除,查看权限都有对应的按钮,有权限就显示,没有就不显示。应该怎么设计呢?例如,编辑按钮对应的是一个按钮,操作节点设计成一个,节点的功能有对自己的主题编辑,对他人的主题编辑。
1 回答
慕慕森
TA贡献1856条经验 获得超17个赞
通常对自己的数据进行编辑、删除是不需要进行权限管理的。因为一般来说网站是划分前后台的,普通用户在前台操作时几乎不用考虑权限问题,是谁的谁就能管理。
详细解释起来很麻烦,你先思考一下,我觉得你主要是陷入误区了。
我这样解释一下:
已 “编辑主题” 和 “编辑我的主题” 为例 用真值表的方式模拟如下:
有 编辑主题 权限 , 有 “编辑我的主题” 权限: T
有 编辑主题 权限 , 无 “编辑我的主题” 权限: T
无 编辑主题 权限 , 有 “编辑我的主题” 权限: 做isAuth检查并返回 isAuth检查结果
无 编辑主题 权限 , 无 “编辑我的主题” 权限: F
那么现在取消 编辑我的主题 权限设置,用isAuth检查代替,真值表为相同结果:
有 编辑主题 权限 , isAuth = T: T
有 编辑主题 权限 , isAuth = F: T
无 编辑主题 权限 , isAuth = T: T
无 编辑主题 权限 , isAuth = F: F
你肯定说了,有的地方就算是用户通过 isAuth 检查也不让他用,此类操作不做isAuth检查不就行了吗?
class Controller {
protected $_allowIfIsAuth = false;
public function afterDispatch() {
if (! $user->hasPermission('permission_name')) {
if (! ($this->_allowIfIsAuth && $user->isAuth('auth_id'))) {
return false;
}
}
return true;
}
}
- 1 回答
- 0 关注
- 746 浏览
添加回答
举报
0/150
提交
取消