二进制与权限控制
2018-08-22 本文已影响0人
wanzirong
二进制与权限控制有什么关系
最近在做权限方面的设计,很自然想到了二进制的方案。
二进制跟权限有什么关系?举两个例子大家就熟悉了:
- Linux的文件权限: 可执行 001, 可写 010,可读100,三种权限都有是111,也就是int(7)。
- PHP的错误级别:E_ERROR = 00...001, E_WARNING = 00...010, E_PARSE = 00...100。
优势在哪里
那么为什么要用二进制来控制权限呢?我觉得最明显的优势有两个:
1.易存储易扩展
假如现在要设计一个用户权限系统,分别有CRUD四种权限。那么最先想到的可能是在数据表里建4个tinyint字段,如下:
| USSE_ID | C_ABLE | R_ABLE | U_ABLE | D_ABLE |
|---|---|---|---|---|
| 12345 | 0 | 1 | 1 | 1 |
| 67890 | 1 | 1 | 1 | 1 |
这样设计用是能用,但如果以后要新增一个权限类型,例如是发邮件的权限。那必须改数据表,新增一个EMAIL_ABLE字段。这样的需求对此方案来说是很恐怖的,基本不可扩展。
我们换个思路,改为用二进制来控制权限,那么只需要一个字段就足够了。
首先把所有权限用二进制定义好:
C_ABLE: 1 << 0 (int 1)
R_ABLE: 1 << 1 (int 2)
U_ABLE: 1 << 2 (int 4)
D_ABLE: 1 << 3 (int 8)
EMAIL_ABLE: 1 << 4 (int 16)
因为二进制也就是一个整数,所以用一个int/longint字段就可以把所有权限表示出来。数据表设计如下:
| USER_ID | PERMISSONS |
|---|---|
| 12345 | 7 |
| 67890 | 15 |
以后如要新增权限类型,定义好它的二进制即可,不需要新增数据表字段,扩展性大大增强。
2.权限控制简单
权限增减
相信大家对PHP的error_reporting()函数很熟悉。
新增错误上报项,用|符号,例如:
error_reporting(E_ERROR | E_WARNING)
表示上报E_ERROR + E_WARNING。
删除错误上报项,用& ~,例如:
error_reporting(E_ALL & ~E_NOTICE)
表示在所有上报项中排除E_NOTICE。
所以只需要用三个位运算符就可以实现权限的增减控制,实现复杂权限的叠加。
权限判断
最后一个问题来了。在二进制方案里,用户的最终权限是一个整数,那如何判断该用户是否拥有某个权限呢?
我们先看看PHP的error_reporting机制是怎么做的,见源码:
https://github.com/php/php-src/blob/PHP-5.4.1/Zend/zend.c#L1080
留意#1080行,其实就是用了一个
&运算符。假设用户设置如下:
error_reporting(E_NOTICE | E_WARNING)。判断用户是否需要上报某种类型错误,执行以下运算即可:
//需要上报
if((E_NOTICE | E_WARNING) & E_NOTICE) //为true,表示需要上报E_NOTICE,即拥有某权限
//不需要上报
if(!((E_NOTICE | E_WARNING) & E_ERROR)) //为false,表示不需要上报E_ERROR,即没有某权限
至于为什么要用&运算,大家把它们的二进制写出来算一遍就一目了然了,这里不作展开。
结论
用二进制来做权限控制是一个非常经典的方案,也有广泛的使用场景,大家多加参考。
