ECSHOP源码分析(权限系统).doc

ECSHOP源码分析（权限系统）第一部分ecshop权限系统介绍（这部分熟悉了的朋友可以直接跳过，进入第二部分的代码分析）这里是后台管理员的列表，我这里以admin管理员登陆进入后台的，admin管理员拥有所有的权限。图1 后台管理员列表如果想为某位管理员分派权限，点击分派权限按钮以后就会出现下面图片中的内容图2 分派权限图商品管理、文章管理、会员管理等都被精细的分成更多小的权限。图中的每一项小的权限都在数据库表中对应一个列数据。它被储存在数据表ecs_admin_action中。图3 ecs_admin_action权限表的部分数据该表中的action_code字段的值就是对应着各个权限。这个权限系统还涉及到另外一张表ecs_admin_user,下面的图片是表记录中的某一行记录，包括了这名管理员的一些基本信息。图4 ecs_admin_user表中记录中的其中一行与权限相关的字段是action_list，从以上图片中可以看到用户名为bjgonghuo1的管理员所有的权限在字段action_list中，action_list里面用逗号分割开的值对应着权限表ecs_admin_action中action_code的值。所以我要知道某个管理员的拥有哪些权限只需要查询这个ecs_action_user表中的action_list字段。不同权限的管理员从后台登陆进去以后，看到的管理菜单是不一样的。下面图片是拥有全部权限的admin管理员登陆以后的管理菜单。 图5 管理员admin的权限管理菜单以test03管理员登录后台看到的权限菜单则是图6 管理员test03的后台权限管理菜单第二部分 代码分析登陆某管理员登录的时候，就需要查询权限表，并将该管理员的权限放在session中。if (md5($rowpassword . $_CFGhash_code) = $_COOKIEECSCPadmin_pass) !isset($rowlast_time) & $rowlast_time = ; set_admin_session($rowuser_id, $rowuser_name, $rowaction_list, $rowlast_time);以上这段代码在ecshop/upload/admin/includes/init.php的253行附近。其中set_admin_session函数用来将一些信息记录到session中去的，$rowaction_list存储了该管理员拥有了那些权限。set_admin_session函数在ecshop/upload/admin/includes/lib_mains.php/* * 设置管理员的session内容 * * access public * param integer $user_id 管理员编号 * param string $username 管理员姓名 * param string $action_list 权限列表 * param string $last_time 最后登录时间 * return void */function set_admin_session($user_id, $username, $action_list, $last_time) $_SESSIONadmin_id = $user_id; $_SESSIONadmin_name = $username; $_SESSIONaction_list = $action_list; $_SESSIONlast_check = $last_time; / 用于保存最后一次检查订单的时间分派权限某管理员为其他管理员分派权限的相关代码位于ecshop/upload/admin/privilege.php文件中/*- */- 为管理员分配权限/*- */elseif ($_REQUESTact = allot)/该包含文件是ECSHOP 权限名称语言文件，主要用于多语言网站 include_once(ROOT_PATH . languages/ .$_CFGlang. /admin/priv_action.php);/*判断该管理员是否拥有“allot_priv”权限，拥有allot_priv权限的管理员才能为其他用户设置权限*/admin_priv(allot_priv); if ($_SESSIONadmin_id = $_GETid) admin_priv(all); /* 获得该管理员的权限 */ $priv_str = $db-getOne(SELECT action_list FROM .$ecs-table(admin_user). WHERE user_id = $_GETid); /* 如果被编辑的管理员拥有了all这个权限，将不能编辑 */ if ($priv_str = all) $link = array(text = $_LANGback_admin_list, href=privilege.php?act=list); sys_msg($_LANGedit_admininfo_cannot, 0, $link); /* 获取权限的分组数据 */ $sql_query = SELECT action_id, parent_id, action_code FROM .$ecs-table(admin_action). WHERE parent_id = 0; $res = $db-query($sql_query); while ($rows = $db-FetchRow($res) $priv_arr$rowsaction_id = $rows; /* 按权限组查询底级的权限名称 */ $sql = SELECT action_id, parent_id, action_code FROM .$ecs-table(admin_action). WHERE parent_id .db_create_in(array_keys($priv_arr); $result = $db-query($sql); while ($priv = $db-FetchRow($result) $priv_arr$privparent_idpriv$privaction_code = $priv;admin_priv函数位于ecshop/upload/admin/lib_main.php 第162行附近/* * 判断管理员对某一个操作是否有权限。 * * 根据当前对应的action_code，然后再和用户session里面的action_list做匹配，以此来决定是否可以继续执行。 * param string $priv_str 操作对应的priv_str * param string $msg_type 返回的类型 * return true/false */function admin_priv($priv_str, $msg_type = , $msg_output = true) global $_LANG; if ($_SESSIONaction_list = all) return true; if (strpos(, . $_SESSIONaction_list . , , . $priv_str . ,) = false) $link = array(text = $_LANGgo_back, href = javascript:history.back(-1); if ( $msg_output) sys_msg($_LANGpriv_error, 0, $link); return false; else return true; 权限对应左侧导航菜单不