RESTful简述

本文是基于RESTful描述的,需要你对这个有初步的了解。 RESTful是什么? Representational State Transfer,简称REST,是Roy Fielding博士在2000年他的博士论文中提出来的一种软件架构风格。 REST比较重要的点是资源状态转换, 所谓"资源",就是网络上的一个实体,或者说是网络上的一个具体信息。它可以是一段文本、一张图片、一首歌曲、一种服务,总之就是一个具体的实在。 而 “状态转换”,则是把对应的HTTP协议里面,四个表示操作方式的动词分别对应四种基本操作:

  1. GET,用来浏览(browse)资源
  2. POST,用来新建(create)资源
  3. PUT,用来更新(update)资源
  4. DELETE,用来删除(delete)资源

  • 资源的分类及操作

    清楚了资源的概念,然后再来对资源进行一下分类,我把资源分为下面三类:

    1. 私人资源 (Personal Source)
    2. 角色资源 (Roles Source)
    3. 公共资源 (Public Source)

    • “私人资源”:是属于某一个用户所有的资源,只有用户本人才能操作,其他用户不能操作。例如用户的个人信息、订单、收货地址等等。 “角色资源”:与私人资源不同,角色资源范畴更大,一个角色可以对应多个人,也就是一群人。如果给某角色分配了权限,那么只有身为该角色的用户才能拥有这些权限。例如系统资源只能够管理员操作,一般用户不能操作。 “公共资源”:所有人无论角色都能够访问并操作的资源。

      而对资源的操作,无非就是分为四种:

      1. 浏览 (browse)
      2. 新增 (create)
      3. 更新 (update)
      4. 删除 (delete)

      角色、用户、权限之间的关系

      角色和用户的概念,自不用多说,大家都懂,但是权限的概念需要提一提。
      “权限”,就是资源与操作的一套组合,例如"增加用户"是一种权限,"删除用户"是一种权限,所以对于一种资源所对应的权限有且只有四种。

    • 角色用户的关系:一个角色对应一群用户,一个用户也可以扮演多个角色,所以它们是多对多的关系。
      角色权限的关系:一个角色拥有一堆权限,一个权限却只能属于一个角色,所以它们是一(角色)对多(权限)的关系
      权限用户的关系:由于一个用户可以扮演多个角色,一个角色拥有多个权限,所以用户与权限是间接的多对多关系。

    • 需要注意两种特别情况:

      1. 私人资源与用户的关系,一种私人资源对应的四种权限只能属于一个用户,所以这种情况下,用户和权限是一(用户)对多(权限)的关系。
      2. 超级管理员的角色,这个角色是神一般的存在,能无视一切阻碍,对所有资源拥有绝对权限,甭管你是私人资源还是角色资源。

      数据库表的设计

      角色、用户、权限的模型应该怎么样设计,才能满足它们之间的关系?

    • 对上图的一些关键字段进行说明:

      Source
      • name: 资源的名称,也就是其他模型的名称,例如:user、role等等。
      • identity: 资源的唯一标识,可以像uuid,shortid这些字符串,也可以是model的名称。
      • permissions : 一种资源对应有四种权限,分别对这种资源的browse、create、update、delete
      Permission
      • source : 该权限对应的资源,也就是Source的某一条记录的唯一标识
      • action :对应资源的操作,只能是browse、create、update、delete四个之一
      • relation:用来标记该权限是属于私人的,还是角色的,用于OwnerPolicy检测
      • roles: 拥有该权限的角色
      Role
      • users : 角色所对应的用户群,一个角色可以对应多个用户
      • permissions: 权限列表,一个角色拥有多项权利
      User
      • createBy : 该记录的拥有者,在user标里,一般等于该记录的唯一标识,这一属性用于OwnerPolicy的检测,其他私有资源的模型设计,也需要加上这一字段来标识资源的拥有者。
      • roles : 用户所拥有的角色

      策略/过滤器

      在sails下称为策略(Policy),在java SSH下称为过滤器(Filter),无论名称如何,他们工作原理是大同小异的,主要是在一条HTTP请求访问一个Controller下的action之前进行检测。所以在这一层,我们可以自定义一些策略/过滤器来实现权限控制。
      为行文方便,下面姑且允许我使用策略这一词。

      ** 策略 (Policy) **

      下面排版顺序对应Policy的运行顺序

      1. SessionAuthPolicy
        检测用户是否已经登录,用户登录是进行下面检测的前提。
      2. SourcePolicy
        检测访问的资源是否存在,主要检测Source表的记录
      3. PermissionPolicy
        检测该用户所属的角色,是否有对所访问资源进行对应操作的权限。
      4. OwnerPolicy
        如果所访问的资源属于私人资源,则检测当前用户是否该资源的拥有者。

      如果通过所有policy的检测,则把请求转发到目标action。

    Sails下的权限控制实现

    在Sails下,有一个很方便的套件sails-permissions,集成了一套权限管理的方案,本文也是基于该套件的源码所引出来的权限管理解决方案。

    结语

    对程序员最大的挑战,并不是能否掌握了哪些编程语言,哪些软件框架,而是对业务和需求的理解,然后在此基础上,把要点抽象出来,写成计算机能理解的语言。
    最后,希望这篇文章,能够帮助你对权限管理这一课题增加多一点点理解。

    • 附上thinkphp restful类库 帮助理解 验证方式什么的这里面没有 需要自己写
      1. <?php
      2. // +----------------------------------------------------------------------
      3. // | ThinkPHP [ WE CAN DO IT JUST THINK IT ]
      4. // +----------------------------------------------------------------------
      5. // | Copyright (c) 2006-2014 http://thinkphp.cn All rights reserved.
      6. // +----------------------------------------------------------------------
      7. // | Licensed ( http://www.apache.org/licenses/LICENSE-2.0 )
      8. // +----------------------------------------------------------------------
      9. // | Author: liu21st <liu21st@gmail.com>
      10. // +----------------------------------------------------------------------
      11. namespace Think\Controller;
      12. use Think\Controller;
      13. /**
      14.  * ThinkPHP REST控制器类
      15.  */
      16. class RestController extends Controller {
      17.     // 当前请求类型
      18.     protected   $_method        =   '';
      19.     // 当前请求的资源类型
      20.     protected   $_type          =   '';
      21.     // REST允许的请求类型列表
      22.     protected   $allowMethod    =   array('get','post','put','delete');
      23.     // REST默认请求类型
      24.     protected   $defaultMethod  =   'get';
      25.     // REST允许请求的资源类型列表
      26.     protected   $allowType      =   array('html','xml','json','rss');
      27.     // 默认的资源类型
      28.     protected   $defaultType    =   'html';
      29.     // REST允许输出的资源类型列表
      30.     protected   $allowOutputType=   array(
      31.                     'xml' => 'application/xml',
      32.                     'json' => 'application/json',
      33.                     'html' => 'text/html',
      34.                 );
      35.  
      36.    /**
      37.      * 架构函数
      38.      * @access public
      39.      */
      40.     public function __construct() {
      41.         // 资源类型检测
      42.         if(''==__EXT__) { // 自动检测资源类型
      43.             $this->_type   =  $this->getAcceptType();
      44.         }elseif(!in_array(__EXT__,$this->allowType)) {
      45.             // 资源类型非法 则用默认资源类型访问
      46.             $this->_type   =  $this->defaultType;
      47.         }else{
      48.             // 检测实际资源类型
      49.             $this->_type   =  $this->getAcceptType() == __EXT__ ? __EXT__ : $this->defaultType;
      50.         }
      51.  
      52.         // 请求方式检测
      53.         $method  =  strtolower(REQUEST_METHOD);
      54.         if(!in_array($method,$this->allowMethod)) {
      55.             // 请求方式非法 则用默认请求方法
      56.             $method = $this->defaultMethod;
      57.         }
      58.         $this->_method = $method;
      59.  
      60.         parent::__construct();
      61.     }
      62.  
      63.     /**
      64.      * 魔术方法 有不存在的操作的时候执行
      65.      * @access public
      66.      * @param string $method 方法名
      67.      * @param array $args 参数
      68.      * @return mixed
      69.      */
      70.     public function __call($method,$args) {
      71.         if( 0 === strcasecmp($method,ACTION_NAME.C('ACTION_SUFFIX'))) {
      72.             if(method_exists($this,$method.'_'.$this->_method.'_'.$this->_type)) { // RESTFul方法支持
      73.                 $fun  =  $method.'_'.$this->_method.'_'.$this->_type;
      74.                 $this->$fun();
      75.             }elseif($this->_method == $this->defaultMethod && method_exists($this,$method.'_'.$this->_type) ){
      76.                 $fun  =  $method.'_'.$this->_type;
      77.                 $this->$fun();
      78.             }elseif($this->_type == $this->defaultType && method_exists($this,$method.'_'.$this->_method) ){
      79.                 $fun  =  $method.'_'.$this->_method;
      80.                 $this->$fun();
      81.             }elseif(method_exists($this,'_empty')) {
      82.                 // 如果定义了_empty操作 则调用
      83.                 $this->_empty($method,$args);
      84.             }elseif(file_exists_case($this->view->parseTemplate())){
      85.                 // 检查是否存在默认模版 如果有直接输出模版
      86.                 $this->display();
      87.             }else{
      88.                 E(L('_ERROR_ACTION_').':'.ACTION_NAME);
      89.             }
      90.         }
      91.     }
      92.  
      93.     /**
      94.      * 获取当前请求的Accept头信息
      95.      * @return string
      96.      */
      97.     protected function getAcceptType(){
      98.         $type = array(
      99.             'html'  =>  'text/html,application/xhtml+xml,*/*',
      100.             'xml'   =>  'application/xml,text/xml,application/x-xml',
      101.             'json'  =>  'application/json,text/x-json,application/jsonrequest,text/json',
      102.             'js'    =>  'text/javascript,application/javascript,application/x-javascript',
      103.             'css'   =>  'text/css',
      104.             'rss'   =>  'application/rss+xml',
      105.             'yaml'  =>  'application/x-yaml,text/yaml',
      106.             'atom'  =>  'application/atom+xml',
      107.             'pdf'   =>  'application/pdf',
      108.             'text'  =>  'text/plain',
      109.             'png'   =>  'image/png',
      110.             'jpg'   =>  'image/jpg,image/jpeg,image/pjpeg',
      111.             'gif'   =>  'image/gif',
      112.             'csv'   =>  'text/csv'
      113.         );
      114.  
      115.         foreach($type as $key=>$val){
      116.             $array   =  explode(',',$val);
      117.             foreach($array as $k=>$v){
      118.                 if(stristr($_SERVER['HTTP_ACCEPT'], $v)) {
      119.                     return $key;
      120.                 }
      121.             }
      122.         }
      123.         return false;
      124.     }
      125.  
      126.     // 发送Http状态信息
      127.     protected function sendHttpStatus($code) {
      128.         static $_status = array(
      129.             // Informational 1xx
      130.             100 => 'Continue',
      131.             101 => 'Switching Protocols',
      132.             // Success 2xx
      133.             200 => 'OK',
      134.             201 => 'Created',
      135.             202 => 'Accepted',
      136.             203 => 'Non-Authoritative Information',
      137.             204 => 'No Content',
      138.             205 => 'Reset Content',
      139.             206 => 'Partial Content',
      140.             // Redirection 3xx
      141.             300 => 'Multiple Choices',
      142.             301 => 'Moved Permanently',
      143.             302 => 'Moved Temporarily ',  // 1.1
      144.             303 => 'See Other',
      145.             304 => 'Not Modified',
      146.             305 => 'Use Proxy',
      147.             // 306 is deprecated but reserved
      148.             307 => 'Temporary Redirect',
      149.             // Client Error 4xx
      150.             400 => 'Bad Request',
      151.             401 => 'Unauthorized',
      152.             402 => 'Payment Required',
      153.             403 => 'Forbidden',
      154.             404 => 'Not Found',
      155.             405 => 'Method Not Allowed',
      156.             406 => 'Not Acceptable',
      157.             407 => 'Proxy Authentication Required',
      158.             408 => 'Request Timeout',
      159.             409 => 'Conflict',
      160.             410 => 'Gone',
      161.             411 => 'Length Required',
      162.             412 => 'Precondition Failed',
      163.             413 => 'Request Entity Too Large',
      164.             414 => 'Request-URI Too Long',
      165.             415 => 'Unsupported Media Type',
      166.             416 => 'Requested Range Not Satisfiable',
      167.             417 => 'Expectation Failed',
      168.             // Server Error 5xx
      169.             500 => 'Internal Server Error',
      170.             501 => 'Not Implemented',
      171.             502 => 'Bad Gateway',
      172.             503 => 'Service Unavailable',
      173.             504 => 'Gateway Timeout',
      174.             505 => 'HTTP Version Not Supported',
      175.             509 => 'Bandwidth Limit Exceeded'
      176.         );
      177.         if(isset($_status[$code])) {
      178.             header('HTTP/1.1 '.$code.' '.$_status[$code]);
      179.             // 确保FastCGI模式下正常
      180.             header('Status:'.$code.' '.$_status[$code]);
      181.         }
      182.     }
      183.  
      184.     /**
      185.      * 编码数据
      186.      * @access protected
      187.      * @param mixed $data 要返回的数据
      188.      * @param String $type 返回类型 JSON XML
      189.      * @return string
      190.      */
      191.     protected function encodeData($data,$type='') {
      192.         if(empty($data))  return '';
      193.         if('json' == $type) {
      194.             // 返回JSON数据格式到客户端 包含状态信息
      195.             $data = json_encode($data);
      196.         }elseif('xml' == $type){
      197.             // 返回xml格式数据
      198.             $data = xml_encode($data);
      199.         }elseif('php'==$type){
      200.             $data = serialize($data);
      201.         }// 默认直接输出
      202.         $this->setContentType($type);
      203.         //header('Content-Length: ' . strlen($data));
      204.         return $data;
      205.     }
      206.  
      207.     /**
      208.      * 设置页面输出的CONTENT_TYPE和编码
      209.      * @access public
      210.      * @param string $type content_type 类型对应的扩展名
      211.      * @param string $charset 页面输出编码
      212.      * @return void
      213.      */
      214.     public function setContentType($type, $charset=''){
      215.         if(headers_sent()) return;
      216.         if(empty($charset))  $charset = C('DEFAULT_CHARSET');
      217.         $type = strtolower($type);
      218.         if(isset($this->allowOutputType[$type])) //过滤content_type
      219.             header('Content-Type: '.$this->allowOutputType[$type].'; charset='.$charset);
      220.     }
      221.  
      222.     /**
      223.      * 输出返回数据
      224.      * @access protected
      225.      * @param mixed $data 要返回的数据
      226.      * @param String $type 返回类型 JSON XML
      227.      * @param integer $code HTTP状态
      228.      * @return void
      229.      */
      230.     protected function response($data,$type='',$code=200) {
      231.         $this->sendHttpStatus($code);
      232.         exit($this->encodeData($data,strtolower($type)));
      233.     }
      234. }

基于RESTful API 设计用户权限控制的更多相关文章

  1. 基于RESTful API 怎么设计用户权限控制?

    前言 有人说,每个人都是平等的:也有人说,人生来就是不平等的:在人类社会中,并没有绝对的公平,一件事,并不是所有人都能去做:一样物,并不是所有人都能够拥有.每个人都有自己的角色,每种角色都有对某种资源 ...

  2. Vue-Access-Control:前端用户权限控制解决方案

    原文地址:http://refined-x.com/2017/11/28/Vue2.0用户权限控制解决方案/ Vue-Access-Control是一套基于Vue/Vue-Router/axios 实 ...

  3. Rest Framework简介 和 RESTful API 设计指南

    使用Django Rest Framework之前我们要先知道,它是什么,能干什么用? Django Rest Framework 是一个强大且灵活的工具包,用以构建Web API 为什么要使用Res ...

  4. 微服务指南走北(三):Restful API 设计简述

    API的定义取决于选择的IPC通信方式,假设是消息机制(如 AMQP 或者 STOMP).API则由消息频道(channel)和消息类型.假设是使用HTTP机制,则是基于请求/响应(调用http的ur ...

  5. RESTful API设计原则与规范

    RESTful API设计原则与规范 一.背景与基础概念 2 二.RESTful API应遵循的原则 3 1.协议(Protocol) 3 2.域名(ROOT URL) 3 3.版本(Versioni ...

  6. RESTful API 设计指南 (转)

    RESTful API 设计指南 2016-02-23 ImportNew (点击上方公号,可快速关注) 作者:阮一峰 链接:http://www.ruanyifeng.com/blog/2014/0 ...

  7. 基于Vue实现后台系统权限控制

    原文地址:http://refined-x.com/2017/08/29/基于Vue实现后台系统权限控制/,转载请注明出处. 用Vue/React这类双向绑定框架做后台系统再适合不过,后台系统相比普通 ...

  8. RESTFul API设计指南及使用说明

    RESTFul API设计指南及使用说明 一. 协议 API与用户的通信协议,使用HTTP协议. 二. 域名 应尽量将API部署在专用域名之下(http://api.example.com) 也可以将 ...

  9. RESTful API 设计指南,RESTful API 设计最佳实践

    RESTful API 设计指南,RESTful API 设计最佳实践 网络应用程序,分为前端和后端两个部分.当前的发展趋势,就是前端设备层出不穷(手机.平板.桌面电脑.其他专用设备......). ...

随机推荐

  1. Error while uploading slice_4.apk : WARNING: linker: libhoudini.so has text relocations. This is wasting memory and prevents security hardening. Please fix.

    问题: android studio 2.4版本新建项目后老是编译不过,查看log报如下错误,最后发现关闭即时编译功能可以解决此问题.这也算是2.4测试版的bug吧 android - Error w ...

  2. 【bzoj4199】【Noi2015】品酒大会

    题解 SA+并查集 把ht按大小倒序加入,并查集合并维护答案的变化: SAM 翻转串,求出SAM的parent树就是后缀树,两个串的最长公共后缀是他们lca的len值: 考率一个节点x,那么它子树里的 ...

  3. Html 响应式 Web

    网格视图 很多网页都是基于网格设计的,这说明网页是按列来布局的. 使用网格视图有助于我们设计网页.这让我们向网页添加元素变的更简单. 响应式网格视图通常是 12 列,宽度为100%,在浏览器窗口大小调 ...

  4. git<Commit和Push的区别>

    git作为支持分布式版本管理的工具,它管理的库(repository)分为本地库.远程库. git commit操作的是本地库,git push操作的是远程库. git commit是将本地修改过的文 ...

  5. mysql 统计 group by 之后的 group 的个数

    如果将 count(*) 和 group by 一起使用,count(*) 统计的将会是每个 group 里面的行数,而不是 group 的个数. 如果你想统计 group 的个数,需要将 group ...

  6. Java入门:Java下载与安装方法

    本文适合刚入门的Java编程的初学者阅读. JDK有两种下载方法,一个是官网下载,另一个是第三方网站下载.官网速度也许有点慢,慢的话可以考虑去第三方网站下载. 一.官网下载 1. 访问地址:http: ...

  7. NATS_09:NATS常见问题说明

    1. Request() 和 Publish() 之间的不同 Publish()发送一条消息到 gnatsd 服务,是使用它的地址作为一个 主题(subject),而 gnatsd 交付消息给所有注册 ...

  8. P2627 修剪草坪

    P2627 修剪草坪 题目描述 在一年前赢得了小镇的最佳草坪比赛后,Farm John变得很懒,再也没有修剪过草坪.现在,新一轮的最佳草坪比赛又开始了,Farm John希望能够再次夺冠. 然而,Fa ...

  9. MongoDB 数据迁移和同步

    MongoDB 数据迁移和同步 MongoDB的数据同步 复制 mongodb的复制至少需要两个实例.其中一个是主节点master,负责处理客户端请求,其余的都是slave,负责从master上复制数 ...

  10. 初等数论及其应用——Lucas定理

    Lucas定理用于解决较大组合数的取模问题,下面的理论整理源自冯志刚的<初等数论>,其与百度百科上呈现的Lucas定理形式上不同,但是容易看到二者的转化形式. 首先我们来整理一下冯志刚的& ...