[Algorytm][Funkcje] do ACL i nawigacji Opcje

[cve]

Witam. Jestem bardzo początkujący w temacie php, ale duużżżooo czytam i zacząłem od jakiegoś czasu rozwijać swój framework i tutaj na forum chciałbym zaprezentować swoje przemyślenia na temat ACL jakie zastosowałem. Otóż w żadnym znanym mi frameworku (Zend, Cake, Symfony, Code Igniter, Kohana) nie umiałem łatwo i szybko zaimplementować takiej jakby automatycznej autoryzacji użytkownika chodziło mi o sprawdzenie praw dostępu do zasobu już na poziomie front-controllera, który zobaczy czy w Liście Kontroli Dostępu znajduje się żądany zasób dla obecnej roli użytkownika i albo 'wpuszcza' go i włącza odpowiednią akcje controllera albo nie 'wpuszcza' i kieruje na wiadomość o braku dostępu. Wydaje mi się to lepszym rozwiązaniem niż pisanie w controllerach instrukcji if i else za każdym razem. Oto jak to jest zaimplementowane:
We folderze config trzymam sobie prosty plik xml, który wgląda następująco:

[XML] pobierz, plaintext 
<?xml version="1.0" encoding="UTF-8"?>
<acl>
    <guest>
        <resource name="/" label="Strona główna" />
        <resource name="/user/login" label="Zaloguj się" />
        <resource name="/user/register" label="Zarejestruj się" />
    </guest>
 
    <user>
        <resource name="/user/logout" label="Wyloguj się" />
        <resource name="/user/login" label="" />
        <resource name="/user/register" label="" />
    </user>
 
    <moderator>
    </moderator>
 
    <admin>
    </admin>
</acl>
[XML] pobierz, plaintext 

jak widać chyba nic nie trzeba tutaj tłumaczyć, jedyne co może wzbudzać zainteresowanie to dlaczego w roli user zasoby /user/login i user/register maja pusty label, ale to później wytłumaczę, bo jest jeszcze jedna funkcjonalność tego podejścia, o której za chwile napisze.

A tak wygląda kod:

[PHP] pobierz, plaintext 
//najpierw potrzebujemy role, jest ona brana z bazy, a jeśli nie to domyślną jest guest
 
$rola = (isset($_SESSION['user']['rola'])) ? $_SESSION['user']['rola'] : 'guest';
 
//teraz w obiekt acl pobieramy wcześniejszy plik xml
 
$acl = simplexml_load_file('../config/acl.xml');
 
//budujemy tablice dwuwymiarową z rolami i odpowiadającymi im zasobami z pliku xml
 
foreach($acl as $role) {
    foreach($role as $res) {
            $label = (string)$res['label'];
            $ACL[$role->getName()][(string)$res['name']] = ($label == '') ? null : $label;
    }
}
 
//teraz czas na funkcje, która tworzy powiązania (dziedziczenie) ról jakie chcemy ze sobą
//oraz tworzy nam na podstawie powiązań nawigacje gotową dla obecnie zalogowanego użytkownika z odpowiednią rolą
//tutaj właśnie są nam potrzebne te puste atrybuty 'label' w zasobach, bo po co mamy wyświetlać zalogowanemu użytkownikowi
//linki do zalogowania albo do zarejestrowania się, skoro on już to zrobił :) Dajemy mu tylko możliwość do wylogowania. :)
//funkcja po prostu wyrzuca sobie takie powtarzające się zasoby z pustymi labelami i daje Nam ładną tablicę z nawigacją.
 
function setInheritAndNav () {
 
    $args = func_get_args();
 
    foreach($args as $key => $val) {
        if($val == null) {
            unset($args[$key]);
        }
 
    }
 
    foreach($args as $tab) {
        $newArgs[] = $tab;
    }
 
    $nav = array_reverse($newArgs[0]);
 
    foreach($newArgs as $tab) {
        if($tab != null) {
 
            $nav += array_reverse($tab);
        }
    }
 
    foreach($nav as $key => $val) {
        if($val == null) {
            unset($nav[$key]);
        }
    }
 
    $nav = array_reverse($nav);
 
    return $nav;
 
}
 
//tutaj w prosty sposób definiujemy sobie jakie role jak mają zostać dziedziczone
//korzystając z wyżej wymienionej funkcji, dziedziczenie działa od lewej strony, czyli 
//tak jak np. dla admina: admin -> moderator -> user -> guest ('->' oznacza 'dziedziczy po'),
//a nawet mozemy zrobic tak guest -> user -> moderator -> admin :) wtedy guest dziedziczy po naszych wszystkich rolach :)
 
$guest = setInheritAndNav($ACL['guest']);
$user = setInheritAndNav($ACL['user'], $ACL['guest']);
$admin = setInheritAndNav($ACL['admin'], $ACL['moderator'], $ACL['user'], $ACL['guest']);
 
//tworzymy sobie dwuwymiarową tablicę z nawigacjami dla ról
 
$NAV = array('guest' => $guest, 'user' => $user, 'admin' => $admin);
 
//żeby w prosty sposób sprawdzić sobie właśnie czy żądany zasób znajduje się ACL:
 
$resources = array_keys($NAV[$rola]);
 
//i działanie prostego front-controllera:
//w adresie trzymam zmienną url, która przechowuje mi kombinację czystych urli np. '/index/index/' lub '/user/login' albo nic czyli '/' itp.
 
$_url = strip_tags($_GET['url']);
 
$urlArray = array();
$urlArray = explode('/', $_url);
 
$_controller = $urlArray[0] ? $urlArray[0] : 'index';
$_action = $urlArray[1] ? $urlArray[1] : 'index';
$_parameter = $urlArray[2] ? $urlArray[2] : '1';
 
if(in_array('/'.$_controller.'/'.$_action, $resources) || in_array('/', $resources)) {
 
    $controllerName = ucfirst($_controller).'Controller';
 
    $run = new $controllerName($_controller, $_action, $NAV[$rola]);
 
    $run->$_action($_parameter);
 
    ob_end_flush();
}
else
{
    URL::_redirect();
    ob_end_flush();
}
[PHP] pobierz, plaintext 

prawie wszystko dzieje się metodą strukturalną, bo po co obciążać cały system obiektówką, tam gdzie nie jest ona potrzebna (IMG:style_emoticons/default/smile.gif) .

Chciałbym usłyszeć jakieś opinie lub uwagi co można jeszcze poprawić, usprawnić lub zmienić.

[darko]

Witam. Jestem bardzo początkujący w temacie php, ale duużżżooo czytam i zacząłem od jakiegoś czasu rozwijać swój framework i tutaj na forum chciałbym zaprezentować swoje przemyślenia na temat ACL jakie zastosowałem. Otóż w żadnym znanym mi frameworku (Zend, Cake, Symfony, Code Igniter, Kohana) nie umiałem łatwo i szybko zaimplementować takiej jakby automatycznej autoryzacji użytkownika chodziło mi o sprawdzenie praw dostępu do zasobu już na poziomie front-controllera, który zobaczy czy w Liście Kontroli Dostępu znajduje się żądany zasób dla obecnej roli użytkownika i albo 'wpuszcza' go i włącza odpowiednią akcje controllera albo nie 'wpuszcza' i kieruje na wiadomość o braku dostępu.

To coś słabo szukałeś, w ZF można sobie napisać plugin i zarejestrować w Bootstrap, coś np. takiego:

[PHP] pobierz, plaintext 
class Plugin_AccessCheck extends Zend_Controller_Plugin_Abstract {
 
	private $_acl = null;
 
	public function __construct(Zend_Acl $acl) {
		$this->_acl = $acl;
	}
 
	public function preDispatch(Zend_Controller_Request_Abstract $request) {
 
		$module = $request->getModuleName();
		$resource = $request->getControllerName();
		$action = $request->getActionName();
 
		if(!$this->_acl->isAllowed(Zend_Registry::get("role"), $module. ':' . $resource, $action)) {
                        // tutaj przekierowujemy jeśli user nie jest zalogowany
			$request//->setModuleName("NAZWA_MODUŁU")
					->setControllerName("NAZWA_KONTROLERA")
					->setActionName("NAZWA_AKCJI");	
		}
 
	}
 
}
[PHP] pobierz, plaintext 

zapisujemy do folderu plugins plik o nazwie AccessCheck.php i dalej w Bootstrap.php rejestrujemy nasz plugin:

[PHP] pobierz, plaintext 
class Bootstrap extends Zend_Application_Bootstrap_Bootstrap {
// (...)
private $_acl = null;
// (...)
protected function _initAutoload() {
// (...)
//$this->_acl = new Model_Acl();
$fc = Zend_Controller_Front::getInstance();
$fc->registerPlugin(new Plugin_AccessCheck($this->_acl));
return $autoloader;
}
// (...)
}
[PHP] pobierz, plaintext 

Co do Twojego kodu to mam trzy uwagi:
1. w tym przypadku kod proceduralny będzie niezauważalnie szybszy czy wydajniejszy od obiektowego, ale kodem obiektowym łatwiej zarządzać i modyfikować
2. chyba zapomniałeś, jak wygląda Acl i navigation.xml w przypadku, jeśli wprowadzimy do aplikacji podział na moduły
3. widzę, że jak na razie nie przewidujesz komunikacji z bazą w celu pobrania ról, zasobów i uprawnień, a szkoda...
Pozdrawiam

Ten post edytował darko 6.02.2010, 04:20:55