个人中心
gpt4 book ai didi

php - CakePHP ACL 数据库设置 : ARO/ACO structure?

转载 作者:IT王子 更新时间:2023-10-28 23:51:27 24 4
gpt4 key购买 nike

我正在努力在 CakePHP 中实现 ACL。阅读 cake manual 中的文档后以及其他一些教程、博客文章等,我发现 Aran Johnson 的优秀教程帮助填补了许多空白。他的例子似乎与我在一些地方看到的其他例子有冲突——特别是在他使用的 ARO 树结构中。

在他的examples他的用户组被设置为级联树,最通用的用户类型位于树的顶部,其子级为每个更受限制的访问类型分支。在其他地方,我通常将每个用户类型视为相同通用用户类型的子级。

如何在 CakePHP 中设置 ARO 和 ACO?任何和所有提示都表示赞赏!

最佳答案

CakePHP 的内置 ACL 系统非常强大,但在实际实现细节方面的文档却很少。我们在许多基于 CakePHP 的项目中成功使用的系统如下。

它是对一些已被documented elsewhere 的组级访问系统的修改。 .我们系统的目标是建立一个简单的系统,用户在组级别上获得授权,但他们可以对他们创建的项目或每个用户拥有特定的附加权限。我们希望避免在 aros_acos 表中为每个用户(或者,更具体地说,为每个 ARO)创建一个特定条目。

我们有一个用户表和一个角色表。

用户

user_id、user_name、role_id

角色

id, role_name

为每个角色创建 ARO 树(我们通常有 4 个角色 - 未授权访客 (id 1)、授权用户 (id 2)、站点管理员 (id 3) 和管理员 (id 4)):

cake acl create aro/Role.1

cake acl create aro 1 Role.2 ... etc ...

在此之后,您必须使用 SQL 或 phpMyAdmin 或类似工具为所有这些添加别名,因为 cake 命令行工具不会这样做。我们所有人都使用“Role-{id}”和“User-{id}”。

然后我们创建一个ROOT ACO -

cake acl create aco/'ROOT'

然后为这个ROOT下的所有 Controller 创建ACO:

cake acl create aco 'ROOT' 'MyController' ...等...

到目前为止一切正常。我们在 aros_acos 表中添加了一个名为 _editown 的附加字段,我们可以将其用作 ACL 组件的 actionMap 中的附加操作。

CREATE TABLE IF NOT EXISTS `aros_acos` (
`id` int(11) NOT NULL auto_increment,
`aro_id` int(11) default NULL,
`aco_id` int(11) default NULL,
`_create` int(11) NOT NULL default '0',
`_read` int(11) NOT NULL default '0',
`_update` int(11) NOT NULL default '0',
`_delete` int(11) NOT NULL default '0',
`_editown` int(11) NOT NULL default '0',
PRIMARY KEY  (`id`),
KEY `acl` (`aro_id`,`aco_id`)
) ENGINE=InnoDB  DEFAULT CHARSET=utf8;

然后我们可以设置 Auth 组件以使用“crud”方法,该方法根据 AclComponent::check() 验证请求的 Controller /操作。在 app_controller 中,我们有以下内容:

private function setupAuth() {
    if(isset($this->Auth)) {
        ....
        $this->Auth->authorize = 'crud';
        $this->Auth->actionMap = array( 'index'     => 'read',
                        'add'       => 'create',
                        'edit'      => 'update'
                        'editMine'  => 'editown',
                        'view'      => 'read'
                        ... etc ...
                        );
        ... etc ...
    }
}

同样,这是相当标准的 CakePHP 东西。然后我们在 AppController 中有一个 checkAccess 方法,它添加了组级别的东西来检查是检查组 ARO 还是用户 ARO 的访问权限:

private function checkAccess() {
    if(!$user = $this->Auth->user()) {
        $role_alias = 'Role-1';
        $user_alias = null;
    } else {
        $role_alias = 'Role-' . $user['User']['role_id'];
        $user_alias = 'User-' . $user['User']['id'];
    }

    // do we have an aro for this user?
    if($user_alias && ($user_aro = $this->User->Aro->findByAlias($user_alias))) {
        $aro_alias = $user_alias;
    } else {
        $aro_alias = $role_alias;
    }

    if ('editown' == $this->Auth->actionMap[$this->action]) {
        if($this->Acl->check($aro_alias, $this->name, 'editown') and $this->isMine()) {
            $this->Auth->allow();
        } else {
            $this->Auth->authorize = 'controller';
            $this->Auth->deny('*');
        }
    } else {
        // check this user-level aro for access
        if($this->Acl->check($aro_alias, $this->name, $this->Auth->actionMap[$this->action])) {
            $this->Auth->allow();
        } else {
            $this->Auth->authorize = 'controller';
            $this->Auth->deny('*');
        }
    }
}

setupAuth()checkAccess() 方法在 AppControllerbeforeFilter() 中调用打回来。 AppControler 中也有一个 isMine 方法(见下文),它只检查所请求项目的 user_id 是否与当前经过身份验证的用户相同。为了清楚起见,我将其省略了。

这就是它的全部内容。然后,您可以允许/拒绝特定组访问特定 acos -

cake acl grant 'Role-2' 'MyController' 'read'

cake acl grant 'Role-2' 'MyController' 'editown'

cake acl deny 'Role-2' 'MyController' 'update'

cake acl deny 'Role-2' 'MyController' 'delete'

我相信你明白了。

无论如何,这个答案比我预期的要长,而且它可能几乎没有意义,但我希望它对你有所帮助......

-- 编辑--

根据要求,这里有一个经过编辑的(纯粹是为了清楚起见 - 我们的样板代码中有很多东西在这里没有意义)我们在 AppController 中拥有的 isMine() 方法。我也删除了很多错误检查的东西,但这是它的本质:

function isMine($model=null, $id=null, $usermodel='User', $foreignkey='user_id') {
    if(empty($model)) {
        // default model is first item in $this->uses array
        $model = $this->uses[0];
    }

    if(empty($id)) {
        if(!empty($this->passedArgs['id'])) {
        $id = $this->passedArgs['id'];
        } elseif(!empty($this->passedArgs[0])) {
            $id = $this->passedArgs[0];
        }
    }

    if(is_array($id)) {
        foreach($id as $i) {
            if(!$this->_isMine($model, $i, $usermodel, $foreignkey)) {
                return false;
            }
        }

        return true;
    }

    return $this->_isMine($model, $id, $usermodel, $foreignkey);
}


function _isMine($model, $id, $usermodel='User', $foreignkey='user_id') {
    $user = Configure::read('curr.loggedinuser'); // this is set in the UsersController on successful login

    if(isset($this->$model)) {
        $model = $this->$model;
    } else {
        $model = ClassRegistry::init($model);
    }

    //read model
    if(!($record = $model->read(null, $id))) {
        return false;
    }

    //get foreign key
    if($usermodel == $model->alias) {
        if($record[$model->alias][$model->primaryKey] == $user['User']['id']) {
            return true;
        }
    } elseif($record[$model->alias][$foreignkey] == $user['User']['id']) {
        return true;
    }

    return false;
}

关于php - CakePHP ACL 数据库设置 : ARO/ACO structure?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54230/

24 4 0
文章推荐: php - PHP 中 sleep() 和 usleep() 的区别
文章推荐: php - 尝试将 PHP DateTime 类与 Yii2 一起使用,接收类未找到错误
文章推荐: php - 如何在 PHP 中搜索数组中的多个值?
文章推荐: android - 如何在 ArrayAdapter 上设置 onClickListener?
IT王子
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com