基于位运算的权限控制

1 Linux基于位运算的权限控制

原理

在Linux文件系统中，一个用户对文件或目录所拥有的权限分为三种：”可读”、”可写”和”可执行”，分别用 1 、2 和 4 来表示，它们之间可以任意组合：有“可读”、“可写”权限就用 3 来表示（1 + 2 = 3）；有”可读“、”可执行“权限就用5来表示（1 + 4 = 5），三种权限全部拥有就用 7 表示（1 + 2 + 4 = 7）。

实际上，这种运算是基于二进制的。

假设可执行、可写、可读三种权限分别对应三个状态位，如果用户具有某种权限，那么将对应的状态位标识为“1”，反之则标识为“0”。

001 = 1 第一位数表示可读
010 = 2 第二位数表示可写
100 = 4 第三位数表示可执行
011 = 3 可读可写
101 = 5 可读可执行
110 = 6 可写可执行
111 = 7 可读可写可执行

如果只有“可读”权限，那么就对应二进制数：001，将这个二进制数转成十进制就得到1；如果同时具有“可读”、“可写”权限，二进制数则对应为： 011，转十进制得：3；同理，三种权限都有的，十进制就等于7。

实现

在PHP中，通过位运算符很容易就可以做到类似的权限控制：

<?php
//定义权限
define('READ', 1<< 0);    // 把可读权限放在最右边
define('WRITE', 1<<1);    // 可读权限向左移一位
define('EXCUTE', 1<<2);   // 可执行权限向左移两位

//赋予权限
$user_permission = READ | WRITE;

//验证权限
echo '可读：', ($user_permission & READ) ? 'Yes' : 'No', "
";
echo '可写：', ($user_permission & WRITE) ? 'Yes' : 'No', "
";
echo '可执行：', ($user_permission & EXCUTE) ? 'Yes' : 'No', "
";
?>

PHP语言本身的错误控制 也是用位运算来做的，它甚至还利用了按位异或和按位非，使得错误控制更加精确。

优点和缺陷

位运算的运算对象是二进制的位，速度快，效率高，而且节省存储空间，位运算做权限控制又相当地灵活。但是，位运算也有很大的局限，因为在32位计算机上，位移不能超过32次，这就要求权限数量不超过32种。

应用程序按位运算的权限控制

PHP语言:

我这里说到的权限管理办法是一个普遍采用的方法，主要是使用到"位运行符"操作，& 位与运算符、| 位或运行符。参与运算的如果是10进制数，则会被转换至2进制数参与运算，然后计算结果会再转换为10进制数输出。

它的权限值是这样的
2^0=1，相应2进数为"0001"(在这里^我表示成"次方"，即：2的0次方，下同)
2^1=2，相应2进数为"0010"
2^2=4，相应2进数为"0100"
2^3=8，相应2进数为"1000"


要判断一个数在某些数范围内就可以使用 & 运算符(数值从上面的表中得来)

如：7=4|2|1　(你也可以简单理解成7=4+2+1)
用 & 来操作，可以知道7&4、7&2、7&1都是真的，而如果7&8则是假的

&、|　不熟悉的就要去查查手册，看看是怎么用的了

下面来看例子吧：

<?
    //   赋予权限值-->删除：8、上传：4、写入：2、只读：1
    define("mDELETE",8);
    define("mUPLOAD",4);
    define("mWRITE",2);
    define("mREAD",1);

    //vvvvvvvvvvvvv使用说明vvvvvvvvvvvvv
     //部门经理的权限为(假设它拥有此部门的所有权限)，| 是位或运行符，不熟悉的就查查资料

    echo mDELETE|mUPLOAD|mWRITE|mREAD ,"<br>";//   相当于是把上面的权限值加起来：8+4+2+1=15

     //   设我只有 upload 和 read 权限，则
    echo mUPLOAD|mREAD ,"<br>";//相当于是把上传、只读的权限值分别相加：4+1=5
     /*
     *赋予它多个权限就分别取得权限值相加，又比如某位员工拥有除了删除外的权限其余都拥有，那它的权限值是多少?
     *应该是：4+2+1＝7
     *明白了怎么赋值给权限吧?
     */

     //^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

     //判断某人的权限可用，设权限值在$key中
     /*
     *判断权限用&位与符，
     */
    $key = 13;//13＝8+4+1
    if($key & mDELETE) echo "有删除权限<br>"; //8
    if($key & mUPLOAD) echo "有上传权限<br>"; //4
    $a=$key & mWRITE; echo "有写权限<br>".$a; //无此权限
    if($key & mREAD) echo "有读权限<br>";     //1
?>

因为幂运算的逆向运算是对数运算，所以可以使用对数运算函数log来验证客户端上传的权限值是否是2的幂结果

4 = log(16, 2) 2的4次方是16，如果 intval(log(16, 2)) = log(16, 2)说明权限值是正确的2的幂结果，否则log的结果应该是带小数的

　　OK，权限分值的这其中一个算法就是这样的，可以说是简单高效。也不知大家明白没有，不明白也没关系，记住例子就行了。前提就是做好权限值的分布，即那个1、2、4、8、16....(这里还有个顺序问题，越高级的权限就要越高的权限值，比如上面的例子所演示的删除权限)。有了权限分布表就可以确定给某个人什么权限了，你简单的理解成要哪个权限就加上相应的权限值吧。
　　这个方法很好用的，缺点就是如果权限分布得细的话，那么权限值会越来越大，你自己想想，2的几次方、如果所有的权限都要则是全部相加。不过对于一般的权限来说这个已经足够了。

C#语言:

摘要：本文向您讲解使用C#位运算来实现权限管理，在设计权限时, 把权限管理操作转换为C#位运算来处理。
标签：C#位运算 权限管理

常用的位运算主要有与(&), 或(|)和非(~), 比如:

1 & 0 = 0, 1 | 0 = 1, ~1 = 0

在设计权限时, 我们可以把权限管理操作转换为C#位运算来处理.

第一步, 先建立一个枚举表示所有的权限管理操作:
/// 测试代码
[Flags]
public enum Permissions
{
   Insert = 1,
    Delete = 2,
    Update = 4,
    Query = 8
}

[Flags]表示该枚举可以支持C#位运算, 而枚举的每一项值, 我们用2的n次方来赋值, 这样表示成二进制时刚好是1 = 0001, 2 = 0010, 4 = 0100, 8 = 1000等, 每一位表示一种权限, 1表示有该权限, 0表示没有.

接下来是权限的运算:

1. 权限的加法, 使用与运算来实现. 我们知道, 0001 | 0100 = 0101, 这样就表示同时具有第一位和第三位的权限管理了, 枚举表示为:
Permissions permissions = Permissions.Insert | Permissions.Update

2. 权限的减法, 使用与运算+非运算来实现, 如上面要去掉Insert权限, 操作为:
Permissions permissions &= ~Permissions.Insert即是 0101 & ~0001 = 0101 & 1110 = 0100

3. 权限的判断, 使用与运算, 当判断用一用户是否具有该操作权限时, 要把用户的的权限与操作权限进行与运算, 如果得到的结果仍是操作权限管理, 则表示用户具有该权限:
Permissions permissions = Permissions.Insert | Permissions.Update;

Assert.IsTrue((permissions & Permissions.Insert) == Permissions.Insert);
Assert.IsTrue((permissions & Permissions.Update) == Permissions.Update);
Assert.IsFalse((permissions & Permissions.Query) == Permissions.Query);

permissions &= ~Permissions.Delete;
Assert.IsFalse((permissions &= ~Permissions.Delete) == Permissions.Delete);
      
比较过程为 0101 & 0001 = 0001, 0001的0位用与C#位运算把其它位都置成0, 变成只比较1的这一位.

3 基于位运算的权限控制 具体计算方法

权限运算采用位运算的方式，权限由系统预先定义，一个权限用2的N次冥表示,

MySQL的一个BIGINT类型占8个字节（8字节 * 8比特位 =64个比特位），

则权限集可以表示64-1项权限（因为2的次方等于所有2的次方-1的数之和加1，即 2 ^ 32 = (2 ^ 31 + 2 ^ 30 + 2 ^29 ...... + 2 ^ 0) + 1），如下所示：

二进制：0001 表示权限1,整型值1

二进制：0010 表示权限2,整型值2

二进制：0100 表示权限3,整型值4

二进制：1000 表示权限4,整型值8

... ...

权限集：0011就表示权限1和权限2,则整型值就为3

权限的基本操作：

1 检测是否有权限： 权限验证采用与等运算(&=)

checkPermission(权限集值，权限项) {

       return 权限集值 & 权限项 == 权限项

}

2 增加权限项：权限增加采用和运算(+)

addPermission(权限集值, 权限项) {

      return 权限集值 + 权限项

}

3 删除权限项： 权限删除采用与非运算(&~)

deletePermission(权限集值，权限项){

      return 权限集值 & ~权限项

}

 

4 基于位运算的权限控制不能解决的问题

 一个权限用2的N次冥表示,mysql的一个BIGINT类型占8个字节（8字节 * 8比特位 =64个比特位），则权限集可以表示64-1项权限.
  假如现在的系统需要的权限集超过了64项权限该怎嘛办？
  一种方法：定义多个BIGINT类型字段表示权限集，一个表示64位，多个字段就表示范围扩展了，但增加判断的复杂度
 另一种方法：采用VARCHAR列中的值为可变长字符串。长度可以指定为0到65,535之间的值，用每一位0或1表示true或false,如果权限集超过65,535项，可以考虑使用TEXT类型