Struktura uprawnień w CMS'ie Opcje

[matid]

Witam,

Chciałbym się dowiedzieć, jak rozwiązalibyście problem struktury uprawnień w CMS'ie. Potrzebuję Waszych opini, gdyż sam piszę takiego CMS'a (jak chyba większość osób, które znają lepiej php (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) ).
Jak rozwiązać przydzielanie uprawnień do użytkowników? Tzn. chcę np. nadawać uprawnienia w stylu dodawanie wiadomości, dodawanie artykułów (z możliwością nadawania uprawnień do zapisu, odczytu, lub edycji dla poszczególnych kategorii). Jak rozwiązać uprawnienia grup i na jakiej zasadzie oprzeć ich dziedziczenie ?
Proszę o Wasze opinie, napewno będą one pomocne.

[jaco]

To jest naprawde twardy orzech. To musi byc jak najbardziej dynamiczne, system nie musi miec newsow a musi wiedziec jakie uprawnienia mozna przydzielic userowi dla danego modulu.

Zastnanawialem sie nad definiowaniem rodzajow uprawnien w samym module i ich przporzatkowywanie do danych operacji w owym module - system moglby je odczytywac i na ich podstawie przydzielac uprawnienia (ktore definiuje osoba do tego uprawniona)

[hamlecik]

Moze sie przyda:

http://forum.php.pl/viewtopic.php?t=5614
http://forum.php.pl/viewtopic.php?t=1608

[matid]

Dzięki Wam. Narazie wykombinowałem coś takiego:

[PHP] pobierz, plaintext 
<!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Transitional//EN\" \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd\">
<html xmlns=\"http://www.w3.org/1999/xhtml\" xml:lang=\"pl\">
<head>
<meta http-equiv=\"Content-Type\" content=\"text/html; charset=iso-8859-2\" />
<meta http-equiv=\"Reply-to\" content=\"matid@seishi.net\" />
<link rel=\"stylesheet\" title=\"default\" type=\"text/css\" href=\"style.css\" />
</head>
<body>
<?
require_once(&#092;"adodb/adodb.inc.php\");
$sql = &ADONewConnection('mysql');
$sql->connect(&#092;"localhost\",\"anime\",\"anime\",\"chmod\"); // laczy z baza danych
class user {
	function info($id){
	 global $sql;
	 $users = $sql->execute(&#092;"SELECT id, login FROM user WHERE id = '\" . $id . \"'\");
	 $this->id = $users->fields['id'];
	 $this->login = $users->fields['login'];
	}
	function group($id){
		global $sql;
		$r_1 = $sql->execute(&#092;"SELECT id, nazwa, grupa_nadrzedna FROM grupa WHERE id = '$id'\");
		$this->group_data[] = array(&#092;"id\" => $r_1->fields['id'], \"nazwa\" => $r_1->fields['nazwa'], \"grupa_nadrzedna\" => $r_1->fields['grupa_nadrzedna']);
		if($r_1->fields['grupa_nadrzedna']!=0){
		  $this->group($r_1->fields['grupa_nadrzedna']);
		}
	}
	function groups($id){
		global $sql;
		$r_1 = $sql->execute(&#092;"SELECT id_grupa FROM user_grupa WHERE id_user = '\" . $id . \"'\");
		while(!$r_1->EOF){
			$r_2 = $sql->execute(&#092;"SELECT id, nazwa, grupa_nadrzedna FROM grupa WHERE id = '\" . $r_1->fields['id_grupa'] . \"'\");
			$this->group[] = array(&#092;"id\" => $r_2->fields['id'], \"nazwa\" => $r_2->fields['nazwa'], \"grupa_nadrzedna\" => $r_2->fields['grupa_nadrzedna']);
			$r_1->MoveNext();
		}
	}
	function auth($id, $dzial){
		global $sql;
		$this->groups($id);
		for($i=0;$i<count($this->group);$i++){
			$this->group($this->group[$i]['id']);
		}
		$this->group = $this->group_data;
		$this->dzial($dzial);
		for($ag = 0; $ag<count($this->group); $ag++){
		 $r_1 = $sql->execute(&#092;"SELECT id_uprawnienia_zespolu FROM grupa_zespol_uprawnien WHERE id_grupa = '\" . $this->group[$ag]['id'] . \"'\");
		 while(!$r_1->EOF){
			 $r_2 = $sql->execute(&#092;"SELECT id_uprawnien FROM uprawnienia_zespol WHERE id = '\" . $r_1->fields['id_uprawnienia_zespolu'] . \"'\");
			 while(!$r_2->EOF){
				 $r_3 = $sql->execute(&#092;"SELECT id, nazwa, liczba FROM uprawnienia WHERE id = '\" . $r_2->fields['id_uprawnien'] . \"'\");
				 for($z=0; $z<count($this->dzial['uprawnienia']); $z++){
				 if($r_3->fields['id']==$this->dzial['uprawnienia'][$z]){
				 $liczba += $r_3->fields['liczba'];
				 $result[] = array(&#092;"id\" => $r_3->fields['id'], \"nazwa\" => $r_3->fields['nazwa'], \"odczyt\" => $r_3->fields['liczba'][0], \"zapis\" => $r_3->fields['liczba'][1], \"edycja\" => $r_3->fields['liczba'][2], \"usuwanie\" => $r_3->fields['liczba'][3]);
				 }
				 }
				 $r_2->MoveNext();
			 }
			 $r_1->MoveNext();
		 }
		}
		if($liczba>1111){
			$liczba = 1111;
		}
		$liczba = $this->zeroFill($liczba,'4');
		$liczba = strval($liczba);
		$result['perms'] = array(&#092;"odczyt\" => $liczba[0], \"zapis\" => $liczba[1], \"edycja\" => $liczba[2], \"usuwanie\" => $liczba[3]);
		return $result;
	}
	function check($usr_id,$dzial, $upr_id, $what){
		$auth = $this->auth($usr_id,$dzial);
		for($i=0; $i<count($auth)-1; $i++){
			if($auth[$i]['id']==$upr_id){
				return $auth[$i][$what];
			}
		}
		return 0;
 
	}
	function zeroFill($liczba, $ilosc_cyfr) {
		$liczba = strval($liczba);
		$ile = strlen($liczba);
		if($ile < $ilosc_cyfr){
		$liczba = strrev($liczba);
		$liczba *= pow(10,$ilosc_cyfr-$ile);
		$liczba = strrev($liczba);
		}
		return $liczba;
	}
	function dzial($id){
		global $sql;
		$r_1 = $sql->execute(&#092;"SELECT id, nazwa FROM dzialy_strony WHERE id = '$id'\");
		$r_2 = $sql->execute(&#092;"SELECT id_uprawnienia FROM dzialy_strony_uprawnienia WHERE id_dzialy_strony
 
 '$id'\");
		while(!$r_2->EOF){
			$auth[] = $r_2->fields['id_uprawnienia'];
			$r_2->MoveNext();
		}
		$return = array(\"id\" => $r_1->fields['id'], \"nazwa\" => $r_1->fields['nazwa'], \"uprawnienia\" => $auth);
		$this->dzial = $return;
		return $return;
	}
}
$user = new user;
$user->info(1); // pobiera dane użytkownika o id == 1
$dzial = 1; // numer dzialu
$auth = $user->auth($user->id,$dzial);
echo \"Uprawnienia użytkownika: <br /><hr noshade size=1 color=black />\";
echo \"Dział: \" . $user->dzial['nazwa'] . \"<br />\";
for($i=0; $i<count($auth)-1; $i++){
	echo \"ID: \" . $auth[$i]['id'] . \"<br />\";
	echo \"Nazwa: \" . $auth[$i]['nazwa'] . \"<br />\";
	echo \"Uprawnienia:<ul>\";
	echo \"<li>Odczyt: \" . $auth[$i]['odczyt'] . \"</li>\";
	echo \"<li>Zapis: \" . $auth[$i]['zapis'] . \"</li>\";
	echo \"<li>Edycja: \" . $auth[$i]['edycja'] . \"</li>\";
	echo \"<li>Usuwanie: \" . $auth[$i]['usuwanie'] . \"</li>\";
	echo \"</ul>\";
	echo \"<hr noshade size=1 color=black />\";
}
echo \"Uprawnienia końcowe: <br /><ul>\";
	echo \"<li>Odczyt: \" . $auth['perms']['odczyt'] . \"</li>\";
	echo \"<li>Zapis: \" . $auth['perms']['zapis'] . \"</li>\";
	echo \"<li>Edycja: \" . $auth['perms']['edycja'] . \"</li>\";
	echo \"<li>Usuwanie: \" . $auth['perms']['usuwanie'] . \"</li></ul>\";
 
echo $user->check($user->id,$dzial,3,\"edycja\"); // sprawdza czy uzytkownik ma upranienia do edycji tego, co opisuje w bazie uprawn
enie o id = 3
?>
</body>
</html>
[PHP] pobierz, plaintext 

i baza danych:

[SQL] pobierz, plaintext 
# MySQL-Front Dump 2.5
 
CREATE TABLE IF NOT EXISTS dzialy_strony (
  id tinyint(3) UNSIGNED DEFAULT '0' ,
  nazwa varchar(10) DEFAULT '0' 
);
 
INSERT 
INTO dzialy_strony VALUES("1", "Newsy");
INSERT 
INTO dzialy_strony VALUES("2", "Artykuły");
 
CREATE TABLE IF NOT EXISTS dzialy_strony_uprawnienia (
  id_dzialy_strony tinyint(3) UNSIGNED DEFAULT '0' ,
  id_uprawnienia tinyint(3) UNSIGNED DEFAULT '0' 
);
 
INSERT 
INTO dzialy_strony_uprawnienia VALUES("1", "1");
INSERT 
INTO dzialy_strony_uprawnienia VALUES("1", "2");
INSERT 
INTO dzialy_strony_uprawnienia VALUES("1", "3");
INSERT 
INTO dzialy_strony_uprawnienia VALUES("1", "4");
INSERT 
INTO dzialy_strony_uprawnienia VALUES("2", "5");
 
CREATE TABLE IF NOT EXISTS grupa (
  id tinyint(3) UNSIGNED DEFAULT '0' ,
  nazwa varchar(50) DEFAULT '0' ,
  grupa_nadrzedna tinyint(3) UNSIGNED DEFAULT '0' 
);
 
INSERT 
INTO grupa VALUES("1", "Użytkownicy", "0");
INSERT 
INTO grupa VALUES("2", "Administratorzy", "1");
INSERT 
INTO grupa VALUES("0", "Goście", "0");
INSERT 
INTO grupa VALUES("3", "Redaktorzy", "1");
 
CREATE TABLE IF NOT EXISTS grupa_zespol_uprawnien (
  id_grupa tinyint(3) DEFAULT '0' ,
  id_uprawnienia_zespolu tinyint(3) UNSIGNED DEFAULT '0' 
);
 
INSERT 
INTO grupa_zespol_uprawnien VALUES("1", "1");
INSERT 
INTO grupa_zespol_uprawnien VALUES("2", "2");
INSERT 
INTO grupa_zespol_uprawnien VALUES("1", "3");
INSERT 
INTO grupa_zespol_uprawnien VALUES("3", "4");
INSERT 
INTO grupa_zespol_uprawnien VALUES("1", "5");
 
CREATE TABLE IF NOT EXISTS uprawnienia (
  id tinyint(3) UNSIGNED DEFAULT '0' ,
  nazwa varchar(50) DEFAULT '0' ,
  liczba int(4) UNSIGNED ZEROFILL DEFAULT '0000' 
);
 
INSERT 
INTO uprawnienia VALUES("2", "Administracja newsami", "0011");
INSERT 
INTO uprawnienia VALUES("1", "Przeglądanie newsów", "1000");
INSERT 
INTO uprawnienia VALUES("3", "Komentowanie newsów", "1100");
INSERT 
INTO uprawnienia VALUES("4", "Dodawanie newsów", "0110");
INSERT 
INTO uprawnienia VALUES("5", "Przeglądanie artykułów", "1000");
 
CREATE TABLE IF NOT EXISTS uprawnienia_zespol (
  id tinyint(3) UNSIGNED DEFAULT '0' ,
  nazwa varchar(50) DEFAULT '0' ,
  id_uprawnien tinyint(3) UNSIGNED DEFAULT '0' 
);
 
INSERT 
INTO uprawnienia_zespol VALUES("1", "Administracja newsami", "1");
INSERT 
INTO uprawnienia_zespol VALUES("2", "Przegladanie newsów", "2");
INSERT 
INTO uprawnienia_zespol VALUES("3", "Komentowanie newsów", "3");
INSERT 
INTO uprawnienia_zespol VALUES("4", "Dodawanie newsów", "4");
INSERT 
INTO uprawnienia_zespol VALUES("5", "Przeglądanie artykułów", "5");
 
CREATE TABLE IF NOT EXISTS user (
  id tinyint(3) UNSIGNED NOT NULL DEFAULT '0' ,
  login varchar(10) DEFAULT '0' ,
  PRIMARY KEY (id)
);
 
INSERT 
INTO user VALUES("1", "matid");
 
CREATE TABLE IF NOT EXISTS user_grupa (
  id_user tinyint(3) UNSIGNED DEFAULT '0' ,
  id_grupa tinyint(3) UNSIGNED DEFAULT '0' 
);
 
INSERT 
INTO user_grupa VALUES("1", "3");
[SQL] pobierz, plaintext 

Skrypt korzysta z ADODB i bez tego nie ruszy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Proszę o opinie.

[jaco]

Jezeli dobrze do konca zrozumialem to nic tutaj nie wnosi albowiem nie chodzi o news czy artykul a dowolny modul i dowolna akcje - to nie musi byc dodawanie czy edycja - chce zaistalowac modul i miec mozliwosc nadania uprawnien userowi, ktore udostepnia mi dany modul - to rozwiazanie napenwo jest dobre ale dla zdefiniowanego systemu.

[hawk]

Uhmn, ten wielki kod tutaj nic nie daje bo kwestia nie jest w implementacji tylko w projekcie. Typowym grzechem w php jest przeskoczenia na zasadzie hurra do kodowania i mówienie "patrzcie, to jest mój projekt systemu". Programiści php przejawiają zadziwiającą, masochistyczną ochotę to zaglądania w (cudzy co gorsza) kod, który robi im za projekt, analizę, a nawet specyfikację wymagań (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Może przydałby się artykuł o UML...

Ale do rzeczy. Dobry system uprawnień powinien mieć definiowalne, zagnieżdżalne grupy. A nie na sztywno userzy, moderatorzy, admini... koniec. Bez sensu, nieelastyczne i bardziej złożone.

Dobry system uprawnień nie powinien mieć wbudowanych na sztywno uprawnień typu "może dodawać artykuły", "może edytować artykuły"... Robi się tego potwornie dużo, a i tak wszystkiego sie nie pokryje.

Dobry system uprawnień powinien IMHO mieć tylko jeden rodzaj uprawnień: <user> może/nie może <czynność>. Gdzie <user> to jest nasz user albo grupa, <czynność> to "tworzenie postów", "usuwanie postów", itd. Najprościej to zrobić gdy "tworzenie postów" jest po prostu obiektem. I tak dochodzę do tego do czego zawsze dochodzę, czyli do MVC, bo taki obiekt to wypisz wymaluj akcja :wink: .

[matid]

W tym kodzie nie ma z góry zdefiniowanych grup. Wszystko można zmienić, ale narazie tylko z poziomu mysql, bo nie mam jeszcze konsoli admina napisanej. Grupy, użytkownicy i uprawnienia są nadane przypadkowo. Chodziło mi o waszą opinię na temat takiego rozwiązania (w tym wypadku przede wszystkich dziedziczenia uprawnień)

[jaco]

Mi sie owe rozwiazanie nie podoba, co wiecej lepiej byloby abys opisal sposob dzialania a nie wklejal caly kod wraz ze struktura tabel (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Tutaj raczej wazniejsze jest rozwiazanie, realizacja to juz najmniejsy problem.

[Sh4dow]

Ja osobiscie mam podobny stosunek do hawk'a. Nie mozna na sztywno wpisywacdowolonych czynnosci.
Duzo wygodniej bedzie zbudowac tablice uprawnien. Uprawnienia, jesli juz chcesz dzielic.to podziel sobie uprawnienie na poziomy. Powiedzmy liczby od 1-4 gdzie 1 do podstawowe dostepy dla usera/grupy a 4 to pelna administracja. Tablice w bazie mozesz zrobic tak user_id|uprawnienie|modul.
Tablica chyba jest w miare jazno opisana. Mozna do tego zrobic funkje/metode, ktora sprawdza uprawnienia w danym module.
A w module administracyjnym bedziesz musial pamietac piszac zeby podzielic administracje na takie bloki. Im wiekszy poziom usera/grupt tym wiecej tych blokow pojawia mu sie.
Zamiast pisac juz gotowe skrypty, przeanalizuj to i rozryzuj sobie zebys mogl sie pozniej, podczas pisania skryptu, mial na czym opierac.
Życze powodzenia w pisaniu

[halfik]

Może przydałby się artykuł o UML...

A wiesz, że to nie głupi pomysł? (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Napiszesz ? (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[e-Gandalf]

Uhmn, ten wielki kod tutaj nic nie daje bo kwestia nie jest w implementacji tylko w projekcie. Typowym grzechem w php jest przeskoczenia na zasadzie hurra do kodowania i mówienie "patrzcie, to jest mój projekt systemu".

Kazdy jezyk typu user-friendly boryka sie z takimi problemami (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Od siebie:

Zagniezdzane grupy, elastyczne zestawy uprawnien podzielone na grupy (wiem, trudno to opisac) i nakladanie sie uprawnien - a'la Unix i dwustronne uprawnienia - a'la Windows

definiuje dowolne grupy - ble, ble1, ble2 - z zagniezdzeniami, definiuje dowolne grupy uprawnien - jadro, news, forum - z zagniezdzeniami, kazdy uzytkownik moze miec uprawnienia in plus albo in minus. I potem jade po kolej:
1) pobieram grupy dla usera, jade od gory biorac uprawniania grupy na tablice uprawnien usera, jesli nastepna grupa nadpisuje cos, to nadpisuje to w tablicy, na koncu nakladam na to uprawnienia solowe uzytkownika i mam tablice uprawnien.

Wiem, ze brzmi trudno, ale realizacja nie jest juz tak skomplikowana. Zaleta tego modelu (sprawdzone (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) ) jest wygoda w dodawaniu grup uprawnien modulow. Jesli tworzymy MMCMS (Massive Multiplayer CMS (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) ) ktory ma budowe Linuxa - jadro abstrakcyjne i setki mozliwych modulow do zaladowania to kazdy z tych modulow podczas instalacji moze zglaszac swoje grupy uprawnien (oznaczone sygnatura modulu - u mnie typu type.author.owner.name) dzieki temu w jadrze nie ma czegos takiego jak kontrola uprawnien do forum czy newsow czy innych galerii, a w momencie instalacji lub wlaczenia modulu dla serwisu te uprawnienia zostaja dodane do zestawu.

[Bora]

a mi dziś wpadł do głowy prosty a zarazem bardzo elastyczny pomysł.

[sql:1:b9b96a4b2f]CREATE TABLE `cms_acces` (
`id` smallint(5) unsigned NOT NULL auto_increment,
`module` varchar(30) NOT NULL default '0',
`user_group` smallint(6) NOT NULL default '0',
`status` tinyint(4) NOT NULL default '0',
`auth_admin` tinyint(2) NOT NULL default '0',
`auth_rights` text NOT NULL,
PRIMARY KEY (`id`),
KEY `cat_id` (`module`)
) ENGINE=MyISAM DEFAULT CHARSET=latin2 AUTO_INCREMENT=19 ;[/sql:1:b9b96a4b2f]

status zaaiwra info czy jest moduł jest włączony.
`auth_admin` to sa pełne uprawniania, natomiast w `auth_rights` znajduje sie zserializowana tablica z uprawnainiami.
np:
[php:1:b9b96a4b2f]<?php
$auth['auth_view']='1';
$auth['auth_add']='0';
$auth['auth_reply']='1';
$auth['auth_edit']='0';
$auth['auth_delete']='0';
var_dump($auth);
foreach ($auth as $key=>$var){
echo $key.'-'.$var.'<br>';
}
var_dump(serialize($auth));
?>[/php:1:b9b96a4b2f]
pozwala to na dostosowywanie uprawnień do każdego modułu indywidualnie.
co o tym sądzicie??

[cichy]

Bora: nad IDENTYCZNYM rozwiązaniem pracuje od 2 tygodni... tylko że od półtora tygodnia mi sie nie chce nic w tym kierunku pisać..
ale dzieki temu uprawnienia sa dodawane dynamicznie razem z modulem... i każdy moduł moze mieć włąsne uprawnienia (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

Problem pojawia sie dopiero gdy trzeba te uprawnienia sprawdzac ... np przy generowaniu menu (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Pozdro

[Bora]

oradziłę soebie z tym.
Każdy moduł ma baze gdzie znajduje sie jego stan.
Natomiast w w porównaniu z poprzednim rozwiązaniem zamiast auth_admin jest auth_view czyli czy user ma prawo ogl.ądać ten moduł. reszta znajduje sie już w tablicy zserializowanej.