还在手写权限管理？Think-authz 库帮你省 80% 工作量，开箱即用

做后端开发的你，是不是也被 “权限管理” 搞得头大？

写接口时，要反复判断 “用户有没有访问权限”“角色能不能操作这个资源”；改需求时，加一个新权限就要改一堆代码，还容易漏判、错判；对接不同项目时，权限逻辑又要重新写一遍，重复劳动没完没了……

这里给大家推荐的 Think-authz，就是专门为解决权限管理痛点而生的 “神器”—— 基于 RBAC 模型，支持多种权限规则，还能无缝对接 ThinkPHP 项目，让你不用再手写繁琐的权限逻辑，几分钟就能搭起可靠的权限体系。

一、为什么需要 Think-authz？

在介绍 Think-authz 之前，先说说我们平时手写权限管理的 “坑”：

1. 逻辑分散：权限判断代码混在业务逻辑里，比如接口开头要写 “if (用户角色！= 管理员) return 无权限”，每个接口都要重复写，后期难维护；

2. 规则僵化：如果需要 “基于资源的权限”（比如用户只能编辑自己的文章），或者 “基于属性的权限”（比如 VIP 用户才能看高清内容），手写逻辑会非常复杂；

3. 扩展性差：新增角色、修改权限范围时，要改大量代码，容易引发 bug；

4. 安全性低：手动判断容易漏判场景（比如忘了判断 “超级管理员例外”），导致权限漏洞。

而 Think-authz 正是为解决这些问题而来 —— 它把权限管理逻辑从业务代码中抽离出来，用统一的规则配置权限，支持灵活的权限策略，一键将Casbin集成到ThinkPHP项目中，让权限管理变得 “简单、可靠、可扩展”。

二、Think-authz 是什么？

1. 本质：基于 Casbin 的 ThinkPHP 权限扩展

Think-authz 是 Casbin（一款强大的开源权限管理框架）在 ThinkPHP 生态下的适配库。Casbin 支持 RBAC、ACL、ABAC 等多种权限模型，而 Think-authz 则把 Casbin 的能力 “封装成 ThinkPHP 开发者熟悉的方式”，开箱即用，不用再自己做复杂的适配。

简单说：Think-authz = Casbin 的强大能力 + ThinkPHP 的便捷集成。

2. 3 个核心优势，解决你的痛点

（1）支持多种权限模型，满足 99% 场景

不管你的项目需要哪种权限逻辑，Think-authz 都能覆盖：

• RBAC 模型（最常用）：基于 “用户 - 角色 - 权限” 的三层结构，比如 “张三→编辑→能发布文章”“李四→管理员→能删除文章”；

• ACL 模型：直接 “用户 - 权限” 映射，比如 “只有用户 ID=100 的能访问后台”；

• ABAC 模型：基于属性判断，比如 “用户只能编辑自己创建的文章”（判断文章的 user_id 是否等于当前用户 ID）；

• RESTful 权限：结合 HTTP 方法，比如 “GET /api/user 允许游客访问，POST /api/user 只允许管理员访问”。

不用再为不同场景手写不同逻辑，配置规则就能实现。

（2）无缝对接 ThinkPHP，零成本集成

如果你正在用 ThinkPHP 8.x，集成 Think-authz 只需要 3 步：安装依赖、注册服务和配置发布及数据迁移、权限决策，全程不超过 5 分钟，不用改现有业务代码。

而且它贴合 ThinkPHP 的开发习惯，比如用 ThinkPHP 的缓存、数据库连接，支持 ThinkPHP 的模型关联，开发者上手毫无压力。

（3）规则灵活配置，改需求不用改代码

权限规则可以存在数据库、配置文件甚至 Redis 里，想修改权限时，只需要改规则（比如给 “编辑” 角色加 “审核文章” 权限），不用改业务代码。

比如要禁止某个角色访问某个接口，只需要在权限规则表中新增一条 “拒绝规则”，无需修改接口代码，极大降低了维护成本。

三、5 分钟上手 Think-authz

光说不练假把式，下面用一个 “后台管理系统” 的例子，教你快速集成 Think-authz，实现 “管理员能访问所有接口，编辑只能访问文章相关接口” 的权限控制。

1. 第一步：安装依赖

在 ThinkPHP 项目根目录执行 Composer 命令：

composer require casbin/think-authz

2. 第二步：注册服务、发布配置和迁移

在应用的全局公共文件service.php中加入：

return [
    // ...

    tauthz\TauthzService::class,
];

发布配置文件和数据库迁移文件：

# 发布配置文件
php think tauthz:publish
# 数据库迁移文件
php think migrate:run

3. 第三步：策略管理和权限决策

安装成功后，可以这样使用:

use tauthz\facade\Enforcer;

// adds permissions to a user
Enforcer::addPermissionForUser('eve', 'articles', 'read');
// adds a role for a user.
Enforcer::addRoleForUser('eve', 'writer');
// adds permissions to a rule
Enforcer::addPolicy('writer', 'articles','edit');

你可以检查一个用户是否拥有某个权限:

// to check if a user has permission
if (Enforcer::enforce("eve", "articles", "edit")) {
    // permit eve to edit articles
} else {
    // deny the request, show an error
}

整个过程不用手写一行权限判断逻辑，全靠 Think-authz 帮你搞定！

四、哪些项目适合用 Think-authz？

不管是小项目还是大系统，只要需要权限管理，Think-authz 都能派上用场：

• 企业内部管理系统：OA、CRM、ERP等系统通常需要严格的权限控制，以确保数据安全性和操作合规性，控制不同角色（管理员、运营、编辑）的操作权限；

• 内容管理系统：博客、新闻网站等需要对内容操作权限进行控制，确保内容安全性和质量；

• 多租户电子商务平台：需要对不同角色用户（管理员、商家、买家）进行权限控制，以保护交易数据和用户隐私，隔离不同租户的资源访问权限；

• 用户分级系统：比如普通用户、VIP 用户、超级会员的权限差异；

• API 接口服务：控制第三方应用或前端的接口访问范围，支持 Restful 风格的接口；

从个人博客到企业级系统，稳定性和可靠性都能有效保证。

五、写在最后

Think-Authz 为ThinkPHP开发者提供了一个强大而灵活的权限管理解决方案。无论你是正在开发一个新的ThinkPHP项目，还是需要为现有项目添加权限控制功能，Think-Authz都值得你的尝试。

通过简单的安装和配置，你就可以为你的应用注入强大的权限控制基因，确保系统的安全性和可靠性。

项目地址👉 ：github.com/php-casbin/think-authz

尝试使用 Think-Authz 吧，让它成为你 ThinkPHP 项目权限管理的得力助手！

本作品采用《CC 协议》，转载必须注明作者和本文链接