关于PHP位运算的简单权限设计

1. 写在最前面

   最近想写一个简单的关于权限处理的东西，之前我也了解过用二进制数的位运算可以出色地完成这个任务。关于二进制数 的位运算，常见的就是“或、与、非”这三种简单运算了，当然，我也查看了下PHP手册，还有“异或、左移、右移”这三个运算。记得上初中时数学老师就开始 唠叨个不停了，在此我也不想对此运算再作额外的说明，直接进入正题。

2. 如何定义权限

   将权限按照2的N次方来定义值，依次类推。为什么要这样子定义呐？这样子定义保证了每个权限值（二进制）中只有一个1，而它恰好对应一种权限。比如：

   define('ADD', 1); // 增加权限
   define('UPD', 2); // 修改权限
   define('SEL', 4); // 查找权限
   define('DEL', 8); // 删除权限

3. 权限操作

   权限操作其实涉及到“角色”这个概念。进行权限操作不外乎是让某个角色赋予某种权限、禁止某种权限和检测某个角色是否拥有某种权限。相对于这三个操作。可以用二进制数间的运算操作来很方便的实现。

   

   // 给予某种权限用到“位或”运算符
   $a_access = ADD | UPD | SEL | DEL; // a拥有增删改查权限
   $b_access = ADD | UPD | SEL; // b拥有增改查权限
   $c_access = ADD | UPD; // c拥有增改权限
   
   // 禁止某种权限用“位与”和“位非”运算符
   $d_access = $c_access & ~UPD; // d只拥有了增权限
   
   // 检测是否拥有某种权限用到“位与”运算符
   var_dump($b_access & ADD); // 1代表b拥有增权限
   var_dump($b_access & DEL); // 0代表b不拥有删权限

   

4. 实现简单的权限类和角色类

   运用上面的权限操作方法，可以简单地封装成一个权限类和一个角色类。

   

   /**
    * 简单权限类
    * @author 27_Man
    */
   class Peak_Auth {
   
       /**
        * 权限类计数器
        * 作用在于生成权限值
        *
        * @var int
        */
       protected static $authCount = 0;
   
       /**
        * 权限名称
        *
        * @var string
        */
       protected $authName;
   
       /**
        * 权限详细信息
        *
        * @var string
        */
       protected $authMessage;
   
       /**
        * 权限值
        *
        * @var int 2的N次方
        */
       protected $authValue;
   
       /**
        * 构造函数
        * 初始化权限名称、权限详细信息以及权限值
        *
        * @param string $authName 权限名称
        * @param string $authMessage 权限详细信息
        */
       public function __construct($authName, $authMessage = '') {
           $this->authName = $authName;
           $this->authMessage = $authMessage;
           $this->authValue = 1 << self::$authCount;
           self::$authCount++;
       }
   
       /**
        * 本类不允许对象复制操作
        */
       private function __clone() {
   
       }
   
       /**
        * 设置权限详细信息
        *
        * @param string $authMessage
        */
       public function setAuthMessage($authMessage) {
           $this->authMessage = $authMessage;
       }
   
       /**
        * 获取权限名称
        *
        * @return string
        */
       public function getAuthName() {
           return $this->authName;
       }
   
       /**
        * 获取权限值
        *
        * @return int
        */
       public function getAuthValue() {
           return $this->authValue;
       }
   
       /**
        * 获取权限详细信息
        *
        * @return string
        */
       public function getAuthMessage() {
           return $this->authMessage;
       }
   }
   
   /**
    * 简单角色类
    *
    * @author 27_Man
    */
   class Peak_Role {
   
       /**
        * 角色名
        *
        * @var string
        */
       protected $roleName;
   
       /**
        * 角色拥有的权限值
        *
        * @var int
        */
       protected $authValue;
   
       /**
        * 父角色对象
        *
        * @var Peak_Role
        */
       protected $parentRole;
   
       /**
        * 构造函数
        *
        * @param string $roleName 角色名
        * @param Peak_Role $parentRole 父角色对象
        */
       public function __construct($roleName, Peak_Role $parentRole = null) {
           $this->roleName = $roleName;
           $this->authValue = 0;
           if ($parentRole) {
               $this->parentRole = $parentRole;
               $this->authValue = $parentRole->getAuthValue();
           }
       }
   
       /**
        * 获取父角色的权限
        */
       protected function fetchParenAuthValue() {
           if ($this->parentRole) {
               $this->authValue |= $this->parentRole->getAuthValue();
           }
       }
   
       /**
        * 给予某种权限
        *
        * @param Peak_Auth $auth
        * @return Peak_Role 以便链式操作
        */
       public function allow(Peak_Auth $auth) {
           $this->fetchParenAuthValue();
           $this->authValue |=  $auth->getAuthValue();
           return $this;
       }
   
       /**
        * 阻止某种权限
        *
        * @param Peak_Auth $auth
        * @return Peak_Role 以便链式操作
        */
       public function deny(Peak_Auth $auth) {
           $this->fetchParenAuthValue();
           $this->authValue &= ~$auth->getAuthValue();
           return $this;
       }
   
       /**
        * 检测是否拥有某种权限
        *
        * @param Peak_Auth $auth
        * @return boolean
        */
       public function checkAuth(Peak_Auth $auth) {
           return $this->authValue & $auth->getAuthValue();
       }
   
       /**
        * 获取角色的权限值
        *
        * @return int
        */
       public function getAuthValue() {
           return $this->authValue;
       }
   }

   

5. 对权限类和角色类的简单操作例子

   

   // 创建三个权限：可读、可写、可执行
   $read = new Peak_Auth('CanRead');
   $write = new Peak_Auth('CanWrite');
   $exe = new Peak_Auth('CanExe');
   
   // 创建一个角色 User
   $user = new Peak_Role('User');
   
   // 创建另一个角色 Admin，他拥有 User 的所有权限
   $admin = new Peak_Role('Admin', $user);
   
   // 给予 User 可读、可写的权限
   $user->allow($read)->allow($write);
   
   // 给予 Admin 可执行的权限，另外他还拥有 User 的权限
   $admin->allow($exe);
   
   // 禁止 Admin 的可写权限
   $admin->deny($write);
   
   // 检测 Admin 是否具有 某种权限
   var_dump($admin->checkAuth($read));
   var_dump($admin->checkAuth($write));
   var_dump($admin->checkAuth($exe));