Чаще всего на сайте не один тип пользователей, а несколько и все они имеют разные права. К примеру, у вас могут быть обычные пользователи и админы. Админы будут иметь больше прав, чем обычные юзеры.
Каким образом это реализуется: создадим в
таблице с юзерами еще одно поле, назовем
его status и для каждого пользователя
будем хранить его статус: пусть для администраторов
слово 'admin', а для обычных пользователей
- слово 'user'.
Теперь при авторизации пользователя в $_SESSION['status']
запишем статус пользователя из базы данных:
<?php
if (password_verify($_POST['password'], $hash)) {
$_SESSION['auth'] = true;
$_SESSION['id'] = $user['id'];
$_SESSION['status'] = $user['status']; // записываем статус
}
?>
Пусть теперь у нас на сайте есть какая-то страница, к который имеют доступ только админы. Сделаем так, чтобы только админы видели контент этой страницы:
<?php
if (!empty($_SESSION['auth']) and $_SESSION['status'] === 'admin') {
// покажем контент страницы только админам
}
?>
Изменения в регистрации
Также нам необходимо внести изменения в нашу
регистрацию. Теперь при регистрации пользователя
мы должны в INSERT запросе указывать
его статус.
Обычно при начальной регистрации все пользователи
нашего сайта получают самый низший статус,
то есть в нашем случае 'user':
<?php
$query = "INSERT INTO users
SET login='$login', password='$password', 'status'='user'";
?>
Статусы повыше обычно раздает администратор. Он в админке видит список пользователей и может любого сделать, к примеру, администратором.
Как же на сайте в таком случае появится первый администратор? Самое простое: зарегистрировать обычного пользователя и через PhpMyAdmin сделать его админом.
Более сложное: при первом запуске на хостинге запускать установку сайта, спросить с помощью формы логин и пароль и зарегистрировать самого первого пользователя сайта, которому и присвоить статус администратора.
Практические задачи
Измените код регистрации так, чтобы все добавляемые
пользователи получали статус 'user'.
Вручную поменяйте какому-нибудь пользователю
его статус на 'admin'. Авторизуйтесь
под этим пользователем.
Сделайте страницу admin.php, к которой
будут иметь доступ только пользователи со
статусом 'admin'.
Выведите на странице admin.php список
всех зарегистрированных пользователей вашего
сайта в виде таблицы. Пусть в таблице будут
две колонки: логин и статус.
Модифицируйте предыдущую задачу так, чтобы появилась еще и третья колонка, со ссылкой, с помощью которой админ сможет удалить любого пользователя.
Модифицируйте предыдущую задачу так, чтобы ряды таблицы с админами красились в красный цвет, а обычными юзерами - в зеленый.
Модифицируйте предыдущую задачу так, чтобы появилась еще одна колонка. В этой колонке админ сможет менять права пользователей. Сделайте так, чтобы для всех обычных пользователей там стояла ссылка сделать его админом, а для админа - ссылка сделать его юзером.
Сделайте так, чтобы на всех страницах сайта, в хедере зарегистрированный пользователь видел свой логин и статус.
Модифицируйте предыдущую задачу так, чтобы для админов в хедере сайта также показывалась ссылка на админку.
Нормализируем базу данных
Сейчас мы храним статусы наших пользователей
в той же таблице, где и самих пользователей.
Это, однако, неправильно - у нас получается
не нормализованная таблица, ведь слова 'user'
и 'admin' повторяются много раз.
Необходимо выполнить нормализацию - вынесем
наши статусы в отдельную таблицу statuses:
| id | name |
|---|---|
| 1 | user |
| 2 | admin |
А в таблице users сделаем колонку
status_id. Теперь при регистрации
мы в колонку status_id будем записывать
id статуса из таблицы statuses:
<?php
$query = "INSERT INTO users
SET login='$login', password='$password', status_id='1'";
?>
Самые сложные изменения произойдут при авторизации:
для того, чтобы получить статус пользователя,
нужно будет выполнить LEFT JOIN:
<?php
$login = $_POST['login'];
// Получаем юзера по логину и джойним статус:
$query = "SELECT *, statuses.name as status FROM users
LEFT JOIN statuses
ON users.status_id=statuses.id WHERE login='$login'";
$result = mysqli_query($link, $query);
$user = mysqli_fetch_assoc($result);
if (!empty($user)) {
$hash = $user['password'];
if (password_verify($_POST['password'], $hash)) {
$_SESSION['auth'] = true;
$_SESSION['status'] = $user['status']; // статус
} else {
}
} else {
}
?>
Переделайте вашу авторизацию и регистрацию в соответствии с описанным в теории.
Внесите изменения в работу админки (вывод статусов пользователей, изменения статусов и так далее).