PHP中的身份验证系统的设计模式

时间:2013-10-21 21:08:02

标签: php authentication

我正在学习PHP,我很好奇是否有为网站设计身份验证界面的优雅解决方案。

基本上,我将有三种类型的用户:普通用户,管理员和“超级用户”。 每种类型的用户都有自己的行动。

以下是我当前代码的简要草图:

# Regular User = Non-Authenticated
interface IRegularUser {
        # Will return an object of a class that implements this interface
        public static function loginUser ($name, $pass);
}

# Authenticated User
class AuthUser extends RegularUser {
        public function logoutUser();
}

interface IAdmin {..}
interface IPowerUser {...}
class User implements IRegularUser {}
class Admin     extends AuthUser implements IAdmin {}
class PowerUser extends AuthUser implements IPowerUser {}

在检查正确登录的脚本中,我会写一些与此类似的内容:

$user = new User();
$user = $user->loginUser($_POST['username'], $_POST['password']);

if (get_class($user) == get_class(new Admin()))
    # Redirect to admin_home.html   
else if (get_class($user) == get_class(new PowerUser()))
    # Redirect to power_user_home.html

我正在尝试使用PHP的OOP功能,以便在我的应用程序中的实体之间建立一些约束(例如:只有通过获取User对象,您才能登录,并获取Admin类型的对象,或者高级用户)。

我觉得我的身份验证系统有点笨拙,我想知道webapp身份验证系统是否有一个通用的设计模式。

1 个答案:

答案 0 :(得分:3)

实际上,乍一看似乎并不那么容易。处理具有角色的用户时有3个不同的方面。 "系统"您正在寻找的将包含以下组件:

查询适配器

它负责查找与某个适配器匹配的记录。这可以查询几乎任何类型,无论是MySQL表,XML文件还是Mongo数据库集合。您的所有查询适配器都将实现此接口:

interface QueryAdapter
{
    public function recordValid($username, $password);
}

访问控制列表(ACL / RBAC)

它必须是分离的图层,用于处理角色及其权限。通常

$roleManager = new RoleManager();
$roleManager->register(array(
   'admin'     => 'write, edit, read, delete',
   'user'      => 'view',
   'moderator' => 'write, edit, read'
));


$currentUser = get_that_from_session();

if ($roleManager->isAllowed($currentUser, 'write')) {
  // Allow writing
} else {
  echo 'You are not allowed to write';
}

存储适配器

负责在$_SESSION$_COOKIE内存储密码和令牌。如果用户点击记住我,那么您可以将该信息存储在$_COOKIE中,否则存储在$_SESSION中。

典型工作流程

To" connect"他们在一起,你会这样写:(请记住,这是非常简化的版本)

<?php

$queryAdapter = new Query_Adapter_MySQL($pdo); // or $mongo, whatever

if ($queryAdapter->rowExists($_POST['username'], $_POST['password'])) {

   $role = $queryAdapter->getRole(); // Let's assume that its "user"

   $roleManager = new RoleManager();
   $roleManager->register(array(
      $role => 'read'
   ));

   if (isset($_POST['rememberMe'])){
      $storageAdapter = new StorageAdapter_Cookie();
   } else {
      $storageAdapter = new StorageAdapten_Session();
   }

   $storageAdapter->write(array(
      'role' => $role,
      'passwordHash' => $passwordHash,
      'token' => $token
   ));
}

要检查该用户是否已登录并有权执行某项操作,您只需查询适配器即可查看,例如

<?php

if ($storageAdapter->isLoggedIn()){

   if ($roleManager->hasRight($storageAdapter->get('role'), 'read')){
      // Allowed to read content
   }
}

这种方法你会得到什么?

  • 明确职责分离(这符合单一责任原则)
  • 改进了代码可读性
  • 坚持依赖注入(从而使单元测试成为可能)
  • 您可以轻松地从MySQL切换到另一个存储,而不会影响其余代码。您只需注入一个您将要使用的适配器实例。

是吗?

是。您还可以查看Zend Framework implements this

的方式
相关问题
最新问题