Zabezpieczenie dostępu do metod, czyli metody dostepne tylko po zalogowaniu Opcje

[spike20rz]

Witam,

Costam sobie dlubie od niedawna przy OOP i natknalem sie na taki problem:
Otóż mam klase App w ktorej robie wszystkie potrzebne akcje - tj laduje obiekt bazy, template itp.
Wszystkie metody mam poprawnie zahermetyzowane, wiec public mam tylko:

[PHP] pobierz, plaintext 
<?php
$a = new App();
$a->doLogin($user,$pass); //wiadomo
$a->show(); //pokazuje panel glowny badz okno logowania
?>
[PHP] pobierz, plaintext 

Jest to klasa glowna, z ktorej chce czesto,gesto dziedziczyc. Mam powiedzmy klase Posty

[PHP] pobierz, plaintext 
<?php
class Posty extends App {
 function __construct() {
   parent::__construct();
   //...i logika tego konstruktora
 }
}
?>
[PHP] pobierz, plaintext 

Zastanawiam sie (od dluzszego juz czasu) jak zrobic zeby metody Posty byly dostepne tylko po wczesniejszym zalogowaniu - oczywiscie radze sobie z wyswietleniem formularza z logowaniem itd - to nie jest problem, problem jest taki ze chce zrobic API w oparciu o ta aplikacje i akcja typu:

[PHP] pobierz, plaintext 
<?php
$p = new Posty();
$p->usunPost(9);
?>
[PHP] pobierz, plaintext 

.. powinna byc niemozliwa do wykonania bez istniejacej poprawnej sesji.
Da sie to zrobic bez sprawdzania stanu zalogowania w kazdej metodzie,
tj: public function usunPost($id) { if ($this->status) {...

(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

Ten post edytował spike20rz 6.01.2009, 20:59:28

[pinochet]

... Jest to klasa glowna, z ktorej chce czesto,gesto dziedziczyc.

Nie rozumiem tego :] Jaki to ma sens w twojej aplikacji?

kiedyś dawno temu wymysliłem coś co zobrazuje takim pseudokodem:

[PHP] pobierz, plaintext 
<?php
function __autoload($name){
 if(logged_in){
     require('authorized/'.$name.'.class.php');
 }else{
     require('unauthorized/'.$name.'.class.php');
 }
}
?>
[PHP] pobierz, plaintext 

To apropos nie sprawdzania w każdej metodzie czy user jest zalogowany. Oczywiście teraz preferuje bardziej wyszukane metody. :wink:

Ten post edytował pinochet 6.01.2009, 21:35:54

[spike20rz]

Nie rozumiem tego :] Jaki to ma sens w twojej aplikacji?

Ano sens ma taki ze klasy dziedzicza z niej potrzebne metody, chociazby te zwiazane z obsluga db - jest takim "nieabstrakcyjnym" szkieletem - niewiem jak to okreslic;]
Twoja metoda jest ciekawa, niemniej mnie nie urzadza - czy user jest zalogowany czy nie sprawdzam wlasnie wewnatrz klasy App, upychanie tego w autoload jest bez sensu. Aplikacja dziala w przegladarce i jest dobrze (w miare moich mozliwosci) zabezpieczona przed dostepem do metod wymagajacych logowania - poprostu to logowanie wyswietla juz z konstruktora i die() - jak juz pisalem chce utworzyc API, wiec wewnatrz obiektu musze jakos zezwolic badz nie na dostep do metod.

To apropos nie sprawdzania w każdej metodzie czy user jest zalogowany. Oczywiście teraz preferuje bardziej wyszukane metody.

Dlatego tez niechcac trącic amatorka zwrocilem sie na to forum i takowe metody chcialbym poznac - moglbys sie jakimis podzielic?

Ten post edytował spike20rz 6.01.2009, 21:56:16

[mike]

Zacznijmy od tego, że musisz sobie uświadomić, że kompletnie nie rozumiesz programowania obiektowego. Im szybciej to do Ciebie dotrze tym szybciej oczyścisz umysł i się tego nauczysz.

Dostępu do metod nie zabezbiecza się w zależności od tego czy ktoś jest zalogowany czy nie. To Ty jako programista piszesz system i to Ty decydujesz czy metodę wykonać czy nie. Jeśli robisz coś co wymaga bycia zalogowanym a nie jesteś to jest błąd w projekcie. Taka sytuacja nie może się zdarzyć. Projektując aplikację i implementując ją masz zapewnić, że dana metoda nie będzie wykonana.

Ustawianie dostępu do metod (public, protected, private) to nie jest system autoryzacji. Jedno z drugim nie ma żadnego związku.

[pinochet]

Ano sens ma taki ze klasy dziedzicza z niej potrzebne metody, chociazby te zwiazane z obsluga db

Nie wiem skad czerpałeś swoją wiedzę o OOP ale w każdym artykule, ksiązce i opracowaniu przeczytasz ze takie używanie dziedziczenia jest nie zgodne z założeniem. Obiekty mają odzwierciedlać obiekty w rzeczywistości.

Powienieneś stworzyć na przykład osobną klasę do obsługi DB osobną do autoryzacji użytkowników itp ... itd ...
Nie wiem czy na początek jest dobre MVC ale poczytaj o tym wzorcu wałkowane w kółko na forum.
Na forum działa też wyszukiwarka w połączeniu manuale znanych lubianych sprawdzonych frameworków powinny ci dać podstawową więdzę w oparci o którą można zadawać pytania na forum.

[spike20rz]

Zacznijmy od tego, że musisz sobie uświadomić, że kompletnie nie rozumiesz programowania obiektowego. Im szybciej to do Ciebie dotrze tym szybciej oczyścisz umysł i się tego nauczysz.

Byc moze, ale czytam ze zrozumieniem.

Costam sobie dlubie od niedawna przy OOP

Nigdzie nie napisalem ze chce je zabezpieczac public/private/protected - hermetyzacja jest dla mnie i zdaje sobie z tego sprawe.
Poradzilem sobie (w dosc prymitywny sposob - byc moze ze pseudoobiektowy) narazie tak:

[PHP] pobierz, plaintext 
<?php
//kod przykladowy
function API_usunPost($id,$session_token) {
  
   $del = new Post($session_token);
   if (!$del->get_login_status())
      return 'wrong_token';
   if($del->deletePost($id))
      return 'post_deleted';
      return $del->error;
}
?>
[PHP] pobierz, plaintext 

Taki sposob wystarczy przed dostepem z zewnatrz?

Powienieneś stworzyć na przykład osobną klasę do obsługi DB osobną do autoryzacji użytkowników itp ... itd ...

Tak tez mam zrobione - klasa App wszystko spina do kupy.

Ten post edytował spike20rz 6.01.2009, 22:21:54

[wlamywacz]

[PHP] pobierz, plaintext 
<?php
if($del->deletePost($id))
     return 'post_deleted';
     return $del->error;
?>
[PHP] pobierz, plaintext 

Funkcja nie może zwrócić dwa razy danych. Wrzuć jakąś funkcję auth w konstruktor klasy i wyłącz dostęp do całego modelu/kontrolera. Ewentualnie wrzucaj ten auth do poszczególnych funkcji w klasie.

[mike]

Taki sposob wystarczy przed dostepem z zewnatrz?

Nie. To jest ostatnia rzecz jakie można pisać w OOP. Funkcja usunPost ma usunąć post. Zawsze.
To czy tą funkcje wykonać masz sprawdzić zanim ją wykonasz.

[spike20rz]

Funkcja nie może zwrócić dwa razy danych. Wrzuć jakąś funkcję auth w konstruktor klasy i wyłącz dostęp do całego modelu/kontrolera. Ewentualnie wrzucaj ten auth do poszczególnych funkcji w klasie.

Nie zwraca dwa razy danych - pierwszy return jest po if - drugi jest jezeli ten if sie nie wykona, wiec po else, ktorego dla skrotow niepisalem.
Ale najwazniejsze - bo chyba o to od poczatku mi chodzi - jak wylaczyc wlasnie dostep do calego modulu, poki co po sprawdzeniu autoryzacji umiem co najwyzec dac die() gdy jej brak.

Nie. To jest ostatnia rzecz jakie można pisać w OOP. Funkcja usunPost ma usunąć post. Zawsze.
To czy tą funkcje wykonać masz sprawdzić zanim ją wykonasz.

To byl tylko przyklad, ale dziekuje - cenie Twoja wiedze i wypowiedzi na forum.

[wlamywacz]

No to zamiast die przekieruj do np. funkcji widoku z formularzem do logowania, a odciąć dostęp dla całej klasy to daj po prostu sprawdzanie warunku w konstruktorze.

[mike]

Nie zwraca dwa razy danych - pierwszy return jest po if - drugi jest jezeli ten if sie nie wykona, wiec po else, ktorego dla skrotow niepisalem.

Mały tip: standardy kodowania wymagają używania nawiasów klamrowych do objęcia bloków kodu. Powinny być nawet jeśli można je w danej sytuacji pominąć.

[wlamywacz]

A poza tym zwiększa to czytelność kodu, AMEN (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

[spike20rz]

No to zamiast die przekieruj do np. funkcji widoku z formularzem do logowania, a odciąć dostęp dla całej klasy to daj po prostu sprawdzanie warunku w konstruktorze.

Kilka postow wyzej napisalem ze dokladnie tak robie - wyswietla sie logowanie - tylko ze w przegladarce, chce jednak odcinac dostep dla hmm... kodu php z zewnatrz - czyli funkcji api ktore daja dostep do poszczegolnych metod klas, w sposob pokazany tez wyzej. Wiec mam dwa - prymitywne - pomysly ktore tu przedstawilem - sprawdzanie w kazdej metodzie pola odpowiedzialnego za status logowania, badz funkcje z zewnatrz laduja obiekt np z parametrem - $a->new Post($session_token), ktory w konstruktorze zablokuje wyswietlenie logowania (nie moge zwrocic html przez soap) - pytanie tylko jak zablokowac dostep do samych funkcji, zeby pozniej wywolanie $a->deletePost($id) bylo niemozliwe

[mike]

Kilka postow wyzej napisalem ze dokladnie tak robie - wyswietla sie logowanie - tylko ze w przegladarce, chce jednak odcinac dostep dla hmm... kodu php z zewnatrz - czyli funkcji api ktore daja dostep do poszczegolnych metod klas, w sposob pokazany tez wyzej.

Po co? Przecież to mija się z celem.
Jedyne co masz zrobić to zadbać o to by metoda nie została wykonana a nie odcinać dostęp do klas. Tak się nie robi.

[spike20rz]

No i o to chodzilo (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) thx mike (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[pinochet]

Byc moze, ale czytam ze zrozumieniem.

Nie odpowiedziałeś nadal na moje pytanie ... tam jest okolicznik miejsca a ty napisałeś ogólnie na czym polega dziedziczenie.

Tak tez mam zrobione - klasa App wszystko spina do kupy.

spina w ten sposób, że wszystkie inne klasy z niej dziedziczą ? ( patrz wyżej)

Ale najwazniejsze - bo chyba o to od poczatku mi chodzi - jak wylaczyc wlasnie dostep do calego modulu,

Dostałeś odpowiedź w pierwszym poście :] Napisałeś że upychanie sprawdzania do autoload jest bez sensu ale nikt tu nie upycha sprawdzania do autoload.
if(logged_in) = na przykład: if($instancja_app->UserLoggedIN)