[inny][Laravel5.0] Zizaco/Entrust - Zastosowanie w praktyce Opcje

[mariio81]

Witam,
dokładam do pisanej aplikacji zarządzanie użytkownikami (Zizaco/Entrust) i zrobiłem wszystko według instrukcji na githubie. Dodaje role, uprawnienia, przypisuje użytkownikom role tylko problem jest z zastosowaniem tego w panelu do blokowania dostępu. I tutaj mam kilka pytań bo dodaję kontrolę na poziomie routingu według instrukcji:

[PHP] pobierz, plaintext 
Route::filter('superadmin', function()
{
 
    if (!Entrust::hasRole('superadmin')) {
        App::abort(403);
    }
});
 
 
Route::when('admin*', 'superadmin);
[PHP] pobierz, plaintext 

(Tak znalazłem na jednym blogu odnośnie tego dodatku)
i nic nie blokuje Uzytkownik admin ma rolę superadmin a drugi nie mając żadnej roli i tak ma dostęp do wszystkiego. Próbowałem też w kontrolerze sprawdzać rolę aktualnie zalogowanego ale też wszyscy mają dostęp. Coś chyba źlę robię i zastanawiam sięgdzielepiej zrobić kontrolę na poziomie routingu czy w kontrolerze wogóle jak to poprawnie użyć?

Ten post edytował mariio81 21.09.2015, 11:29:40

[Pyton_000]

Ja stosowałem Middleware dla admina:

[PHP] pobierz, plaintext 
<?php namespace Mylead\Http\Middleware;
 
use Carbon\Carbon;
use Closure;
use Illuminate\Contracts\Auth\Guard;
 
class AuthAdmin
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request $request
     * @param  \Closure                 $next
     *
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        if (auth()->check() && auth()->user()->hasRole('admin')) {
            return $next($request);
        }
 
        if ($request->ajax()) {
            return response('Unauthorized.', 401);
        }
 
        return redirect()->guest('auth/login');
    }
}
[PHP] pobierz, plaintext 

Jest to jedno z wielu rozwiązań.

[mariio81]

Myślałem też o Middleware żeby ogólnie sprawdzać dostęp. Ogólnie w tym co robię ma być z panelu admina dodawanie użytkowników, nowe role, uprawnienia, przypisywanie roli użytkownikom i jeszcze może pojawić się nowy moduł i trzeba będzie niektórym użytkownikom ograniczyć dostęp do niego. Trochę rozbudowane ale wszystko ma być konfigurowalne z panelu więc tutaj przypisania na sztywno odpadają. Nie bardzo rozumiem z tego nadawanie uprawnień np:

[PHP] pobierz, plaintext 
$editUser = new Permission();
$editUser->name         = 'edit-user';
$editUser->display_name = 'Edit Users'; 
$editUser->description  = 'edit existing users';
$editUser->save();
[PHP] pobierz, plaintext 

w przykładzie tworzę uprawnienie 'edit-user' a jak to się ma do konkretnego kontrolera?
Dla przykładu gdy mam link '/admin/ustawienia' to w jaki sposób wyglada tutaj powiązanie zasobów z uprawnieniami?

[Pyton_000]

Jeśli chodzi o permissions to ustalasz na poziomie metod. Role możesz ustawiać dowolnie, tam gdzie potrzebujesz np. w kostruktorze
Dowolność jest twoim przyjacielem

[mariio81]

Wielkie dzieki będę teraz poprawki robił.

NIe wiem czy dobrze rozumiem czyli robiąc kontrolę roli mogę dodać taki kod:

[PHP] pobierz, plaintext 
$user = User::where('name', '=', 'admin')->first();
if(!$user->hasRole('superadmin')) {
     return 'Brak dostępu';
}
[PHP] pobierz, plaintext 

a w metodzie do ustalania uprawnień :

[PHP] pobierz, plaintext 
$user = User::where('name', '=', 'admin')->first();
if(!$user->can('edit-user')) {
     return 'Brak dostępu';
}
[PHP] pobierz, plaintext 

czy nadal to źle rozumiem.

[Pyton_000]

przecież masz sprawdzać uprawnienia dla zalogwanego uzytkownika więc:

[PHP] pobierz, plaintext 
!auth()->user()->hasRole('admin')
[PHP] pobierz, plaintext 

[mariio81]

No tak powinno być, bezmyślnie przepisałem z dokumentacji.
Dodałem w metodzie:

[PHP] pobierz, plaintext 
if (!auth()->user()->can('edit-user')) { 
	return view('admin.contents.401');				
}
[PHP] pobierz, plaintext 

ładnie blokuje dla drugiego użytkownika.
Wystarczy powstawiać do metod oczywiście zmieniając uprawnienia dla każdej z nich i to wystarczy bez korzystania z:

[PHP] pobierz, plaintext 
 !auth()->user()->hasRole('admin')
[PHP] pobierz, plaintext 

?
Mam rozumieć albo to albo to drugie w zalezności jaki jest zakres dostępu czy cały kontroler czy poszczególne metody.

[Pyton_000]

Zależy na jakim poziomie chcesz mieć uprawnienia.

Możesz dać ogólny dostęp hasRole('admin'), a możesz mieć też np. JuniorAdmin który can('show-users')

Wszystko zależy od potrzeby

[mariio81]

Tak myslałem tylko to całe zarządzanie uprawnieniami ma być jako opcjonalny plugin doinstalowywany do aplikacji i podczas działania aplikacji będą tworzone nowe role, bedą pojawiały sie inne dodatki i niewiadomo kto na jakim poziomie będzie uprawnienia i w takim przypadku wydaje mi się bezpieczniejszym rozwiązaniem can('show-users').
Ogólnie ma to działać tak:
Aplikacja w podstawowej wersji będzie miała tylko profil użytkownika i ustawienia strony. Plugin z uprawnieniami bedzie doinstalowywany. W takim przypadku podstawowa wersja bedzie miała dołaczony dodatek Entrust, skonfigurowany, dodane modele. Sam dodatek to bedzie oddzielna klasa do obsługi uprawnień wykorzystujaca Entrust. Instalacja bedzie polegała na wgraniu tabel do zarządzania uprawnieniami dodania do tabeli plugins nazwy dodatku i aktywowanie go.
Dodatkowo uprawnienia do podstawowych elementów byłyby w specjalnym pliku i podczas instalacji uzupełniona by została tabela permissions o te elementy.
Byłaby także specjalna funkcja która by sprawdzała czy plugin jest aktywny jeśli tak to następuje kontrola a jeśli nie wszystko jest po staremu.
W takim przypadku trochę ciężko by było ustawić automatyczna kontrolę na podstawie roli albo uprawnień.
Ogólnie nie wiem czy pomysł jaki tu przedstawiłem jest poprawny czy wogóle to się w ten sposób robi.

[Pyton_000]

Uprawnienia raczej powinny być podstawowym elementem.

Co do pluginów każdy będzie musiał mieć już zdefiniowane role które powinny być dodawane do systemu.

[mariio81]

Z założenia ma to być system Cms w którym Uprawnienia są opcją do doinstalowania.
Co do pluginów to nie same uprawnienia ale też role.
A wychodząc całkowicie poza temat do tworzenia pluginów dobre byłoby przez Package Development czy to raczej nadaje się do tworzenia paczek typu entrust?

[Pyton_000]

PD jak najbardziej się do tego nadaje.

[mariio81]

PD jak najbardziej się do tego nadaje.

Właśnie czytałem o tym na twoim blogu.
A wracając jeszcze do sposobu instalacji pluginu to paczkę entrust instalować tak jak pisałem czyli w podstawowej wersji aplikacji z całą konfiguracją i tabele w bazie utworzyć nawet gdy plugin nie będzie zainstalowany czy tabele tworzyć w trakcie instalacji pluginu czy może jeszcze paczkę entrust instalować i konfigurować dopiero przy instalacji pluginu?

[Pyton_000]

Tak jak pisałem, entrust wpakowałbym jako element stały w aplikacji.
Ale jeśli już chcesz to instalować to przy instalacji twórz wszystko, a przy wywalaniu wywal

[mariio81]

Dzięki za odpowiedź. Mam nadzieje że już nie będę miał większych problemów.