在php-crud-api中实现基于用户ID的多租户数据隔离

php-crud-api是一个强大的PHP库，用于快速创建CRUD API接口。在实际应用中，我们经常需要根据不同的用户身份来隔离数据访问权限。本文将介绍如何使用php-crud-api的多租户(multiTenancy)中间件来实现这一需求。

多租户数据隔离的需求场景

在典型的Web应用中，不同用户只能查看和操作属于自己的数据记录。例如：

• 普通用户只能访问自己创建的数据
• 管理员可以访问所有用户的数据
• 创建新记录时需要自动关联当前用户ID

这种需求在SaaS应用或多用户系统中非常常见，php-crud-api通过multiTenancy中间件提供了优雅的解决方案。

配置多租户中间件

在php-crud-api中，multiTenancy中间件可以自动处理以下功能：

1. 在查询时自动添加用户ID过滤条件
2. 在创建记录时自动注入当前用户ID
3. 根据用户角色动态调整权限

以下是典型的多租户配置示例：

$config = new Config([
    'middlewares' => 'cors,firewall,apiKeyDbAuth,multiTenancy',
    
    // 数据库连接配置
    'address' => '数据库地址',
    'port' => '端口',
    'username' => '用户名',
    'password' => '密码',
    'database' => '数据库名',
    
    // API密钥认证配置
    'apiKeyDbAuth.usersTable' => 'api_users',
    'apiKeyDbAuth.apiKeyColumn' => 'api_key',
    
    // 多租户配置
    'multiTenancy.handler' => function ($operation, $tableName) {
        // 获取当前用户信息
        $user = $_SESSION['apiUser'];
        
        // 管理员拥有全部权限
        if ($user['role'] == 'admin') {
            return null; // 不添加任何过滤条件
        }
        
        // 特定表添加用户ID过滤
        if (in_array($tableName, ['table1', 'table2'])) {
            return [
                'select' => 'user_id = ?', // 查询过滤
                'insert' => ['user_id' => $user['id']], // 插入时自动设置
                'update' => 'user_id = ?', // 更新时验证
                'delete' => 'user_id = ?' // 删除时验证
            ];
        }
        
        // 其他表不做处理
        return null;
    },
    
    'debug' => true
]);

实现原理分析

multiTenancy中间件通过以下方式工作：

1. 查询拦截：在SELECT操作前自动添加WHERE条件，确保用户只能查询到自己的数据
2. 写入保护：在INSERT操作时自动注入用户ID字段，在UPDATE/DELETE操作时验证记录所属用户
3. 动态权限：根据用户角色动态调整过滤条件，实现灵活的权限控制

最佳实践建议

1. 表设计规范：确保需要隔离的表都包含user_id字段
2. 性能考虑：为user_id字段建立索引以提高查询效率
3. 安全检查：定期检查中间件配置，确保没有权限问题
4. 测试覆盖：编写单元测试验证各种用户角色下的数据访问行为

总结

php-crud-api的multiTenancy中间件为多租户应用提供了开箱即用的解决方案，开发者无需编写大量重复代码即可实现数据隔离。通过灵活的配置回调函数，可以满足各种复杂的业务权限需求，同时保持代码的简洁性和可维护性。