Portál AbcLinuxu, 1. listopadu 2024 00:53
Minule jsem stručně popsal autentizaci, dnes, opět krátce, o autorizaci. Autorizace je v Zendu řešena přes Access Controll List (ACL). Je to v podstatě seznam zdrojů (objekt, vůči němuž se kontroluje oprávnění k přístupu), rolí (objekty, které žádají o přístup ke zdrojům) a pravidel definovaných mezi nimi. ACL je v Zendu reprezentován třídou Zend_Acl
, která obsahuje metody pro přidávání zdrojů, rolí, pravidel přístupu a dotazování se na oprávněnost přístupu. Role i zdroje mohou být jak existující objekty, tak objekty, které v systému reálně neexistují (jak bylo řečeno, ACL je seznam nějakých rolí a zdrojů a vztahů mezi nimi, bez jakéhokoli zřetele ne realitu; co si nadefinujeme, to máme).
Prvně tedy musíme definovat zdroje a role, které v systému budou vystupovat. Uvažujme jednoduchý příklad, kdy budeme mít např. školní systém pro zadávání a zobrazování známek. Budeme v systému mít následující role: studen (student), rodiče (parents), učitel (teacher) a administrátor (admin). Zdroje budou reprezentovat jednotlivé případy použití (use case), které budou odpovídat jednotlivým kontrolerům (k jednomu use case jeden kontroler). Každý případ užití bude mít jednu nebo více akcí:
Vytvoříme tedy instanci Zend_Acl
. Přidání rolí je jednoduché a stejně tak přidání zdrojů :
$_acl = new Zend_Acl(); $_acl->add(new Zend_Acl_Resource('marks')); $_acl->add(new Zend_Acl_Resource('messages')); $_acl->add(new Zend_Acl_Resource('studentlist')); $_acl->add(new Zend_Acl_Resource('teacherlist')); $_acl->addRole(new Zend_Acl_Role('guest')); $_acl->addRole(new Zend_Acl_Role('student')); $_acl->addRole(new Zend_Acl_Role('parents'), 'student'); $_acl->addRole(new Zend_Acl_Role('teacher'), 'parents'); $_acl->addRole(new Zend_Acl_Role('admin'));Definovali jsme čtyři zdroje, v našem případě kontrolery a čtyři role v systému (navíc jsme ještě zavedli roli hosta pro případ, že uživatel není přihlášený, ale to není nezbytně nutné). Parametr v konstruktorech je identifikátor zdroje resp. role. První parametr funkce
addRole()
je instance třídy Zend_Acl_Role
, další parametry určují identifikátory rolí od nichž vytvářená role dědí práva. Tj. pokud není explicitně definováno pravidlo pro danou roli a zdroj, Zend prochází předky role a hledá, zda je nějaké pravidlo definováno pro předka role a zdroj. Pokud ano, je použito toto pravidlo. Předci role se prochází od posledního k prvnímu (tj. pokud bychom měli $_acl->addRole(new Zend_Acl_Role('teacher'), 'student','parents')
, hledají se prvně pravidla pro zdroj a roli parents
, až pokud opět žádné pravidlo není nalezeno, hledá se pravidlo pro zdroj a roli student
). Použije se pravidlo, které najde jako první - na pořadí, v jakém uvádíme předky role tedy záleží.
Definujme nyní tedy jednotlivá pravidla pro jednotlivé role a kontrolery:
$_acl->allow('student', 'marks','show'); $_acl->allow('parents', 'messages','show'); $_acl->allow('teacher', 'marks','add'); $_acl->allow('teacher', 'messages','add'); $_acl->allow('teacher', 'studentlist'); $_acl->allow('admin');Voláním metody
allow(role,zdroj,akce)
povolujeme roli s daným zdrojem provést uvedenou akci (shodou okolností je v našem případě akce akce na kontroleru, ale nemusí tomu tak být, zdroj i akce může být cokoli, nejen kontroler a akce na kontroleru). Pro zakázání bychom použili metodu deny()
. Pokud uvedeme jen roli a zdroj, pak se povolí všechny akce. Pokud ale uvedeme akci (jednu nebo více), ostatní, které nebyly uvedeny v seznamu jsou automaticky zakázané. V našem případě tedy např. student má právo na kontroleru marks
volat pouze akci show
, pokud bychom ale definovali právo následovně $_acl->allow('student', 'marks')
, měl by právo volat jak akci show
, tak akci add
. Pokud místo zdroje uvedeme null
, pak se dané pravidlo aplikuje na všechny zdroje, tj. opět např. pro roli student
by $_acl->allow('student', null,'show')
znamenalo, že student může volat akci show
nejen na kontroleru marks
, ale také např. na kontroleru messages
nebo jakémkoli jiném.U administrátora jsem nedefinovali žádný zdroj ani akci, což znamená, že má dovoleno vše.
Máme nyní tedy definované role a zdroje v systému a nastavena pravidla (patrně to všechno dáme do jedné třídy, např. MyAcl
). To vše ale zatím byly abstraktní věci, které nemuseli mít s realitou nic společného. Že zdroj bude kontroler a akce bude akce na kontroleru jsem měli jen v hlavě, framework o tom zatím nic neví. Musíme tedy implementovat třídu, kde frameworku řekneme, co je zdroj, co akce, kde má vzít roli uživatele a jak s tím vším naložit. Protože práva budeme kontrolovat pro každý požadavek, můžeme toto vše implementovat jako pulgin front controlleru.
class ZendTest_Acl_AclPlugin extends Zend_Controller_Plugin_Abstract{ private $_auth; private $_acl; private $_noacl = array('module' => 'default', 'controller' => 'aclerror', 'action' => 'index'); public function preDispatch(Zend_Controller_Request_Abstract $request) { $this->_auth = Zend_Auth::getInstance(); $this->_acl = ZendTest_Acl_MyAcl::getAcl(); if ($this->_auth->hasIdentity()) { $role = $this->_auth->getIdentity()->getUser()->role; } else { $role = 'guest'; } $controller = $request->controller; $action = $request->action; $module = $request->module; $resource = $controller; if ($this->_acl->has($resource)){ if (!$this->_acl->isAllowed($role, $resource, $action)) { $module = $this->_noacl['module']; $controller = $this->_noacl['controller']; $action = $this->_noacl['action']; } } $request->setModuleName($module); $request->setControllerName($controller); $request->setActionName($action); } }Ve výše uvedené části kódu prvně nastavíme na jaký kontroler má být přesměrován požadavek, pokud uživatel nemá právo provést požadovanou akci na příslušném kontroleru. V metodě
preDispatch()
získáme identitu uživatele a z ní jeho roli (roli máme připravenou již od minula) a dále definici pravidel. Z identity uživatele zjistíme jeho roli, pokud uživatel nemá identitu, tak zřejmě není přihlášen a je obsazen do role hosta. Dále z požadavku zjistíme kontroler a akci, kterou chce uživatel zavolat. Samotná kontrola práv proběhne na zavoláním $this->_acl->isAllowed($role, $resource, $action)
, kde jsem ještě před tím zjistili, zda je požadovaný zdroj v acl definován. Pokud zdroj není v acl definován, má k němu automaticky přístup kdokoli. Pokud je v acl definován, proběhne ověření, zda k němu má daná role přístup a pokud ne, provede se přesměrování na kontroler uvedený na začátku pluginu.
Toto je jen jednoduchý příklad, jak lze acl v Zendu použít. Plugin bychom pochopitelně mohli rozšířit např. tak, že pokud by uživatel nebyl přihlášený, tak by byl přesměrován na přihlašovací formulář a pod. Pokud by nám nestačil seznam povolených a zakázaných akcí, můžeme si implementovat vlastní třídu, která bude rozhodovat, zda je možno k danému zdroji přistupovat nebo ne. Ukázka je např. v manuálu Zendu, kde je to demonstrováno na přikladu, že chceme dovolit přistup jen z určitých IP adres.
Tiskni Sdílej:
Prvni! =)
Predne diky za pekny clanek, chtel bych se zeptat, jak vypada implementace funkce ZendTest_Acl_MyAcl::getAcl();
zminena v kodu. Nejak to nemuzu najit=(
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.