ZF Zend Framework

Behind the Site

Programmer's Reference Guide

Introduction
Zend_Acl
Guide de référence du programmeur

Affiner les Contrôles d'Accès

Mieux définir les Contrôles d'Accès

L'ACL basique définie dans le chapitre précédentmontre comment plusieurs privilèges peuvent être alloués pour l'ensemble de l'ACL (toutes les ressources). En pratique, toutefois, les contrôles d'accès ont souvent des exceptions et des degrés de complexité variables. Zend_Acl permet d'atteindre ce degré de finesse d'une manière directe et flexible.

Pour l'exemple du CMS, nous avons déterminé que bien que le groupe "Staff" couvre les besoins de la plupart des utilisateurs, un groupe "Marketing" est nécessaire. Ce groupe doit avoir accès à la newsletter et aux dernières news dans le CMS. Le groupe va recevoir la possibilité de publier et d'archiver à la fois des newsletters et des news.

De plus, il a été demandé que le groupe "Staff" puisse voir les nouveaux textes, mais pas les nouvelles news. Enfin, il devrait être impossible pour tout le monde (y compris les administrateurs) d'archiver un contenu qui n'aurait une durée de vie que de 1 ou 2 jours.

En premier lieu, nous modifions le registre des rôles pour refléter ces changements. Nous avons dit que le groupe "Marketing" a les même permissions de base que "Staff". Donc nous créons "marketing" pour qu'il hérite des permissions de "staff".

  1. // Le nouveau groupe Marketing hérite des permissions de Staff
  2. $acl->addRole(new Zend_Acl_Role('marketing'), 'staff');

Ensuite, notez que les contrôles d'accès plus haut font référence à des ressources (ex. "newsletters", "dernières news", "annonces"). Maintenant, nous ajoutons ces Ressources :

  1. // Créer les Ressources pour les règles
  2.  
  3. // newsletter
  4. $acl->addResource(new Zend_Acl_Resource('newsletter'));
  5.  
  6. // news
  7. $acl->addResource(new Zend_Acl_Resource('news'));
  8.  
  9. // dernières news
  10. $acl->addResource(new Zend_Acl_Resource('latest'), 'news');
  11.  
  12. // annonces
  13. $acl->addResource(new Zend_Acl_Resource('announcement'), 'news');

Ensuite c'est simplement une manière de définir ces règles spécifiques sur les parties cibles de l'ACL :

  1. // Le Marketing doit être capable de publier
  2. // et d'archiver les newsletters et les dernières news
  3. $acl->allow('marketing',
  4.             array('newsletter', 'latest'),
  5.             array('publish', 'archive'));
  6.  
  7. // Staff (et marketing, par héritage),
  8. // n'ont pas la permission de relire les dernières news
  9. $acl->deny('staff', 'latest', 'relire');
  10.  
  11. // Personne (y compris les administrateurs)
  12. // n'a la permission d'archiver des annonces
  13. $acl->deny(null, 'annonce', 'archive');

On peut maintenant interroger les ACL sur base des dernières modifications :

  1. echo $acl->isAllowed('staff', 'newsletter', 'publish') ?
  2.      "autorisé" : "refusé"; // refusé
  3.  
  4. echo $acl->isAllowed('marketing', 'newsletter', 'publish') ?
  5.      "autorisé" : "refusé"; // autorisé
  6.  
  7. echo $acl->isAllowed('staff', 'latest', 'publish') ?
  8.      "autorisé" : "refusé"; // refusé
  9.  
  10. echo $acl->isAllowed('marketing', 'latest', 'publish') ?
  11.      "autorisé" : "refusé"; // autorisé
  12.  
  13. echo $acl->isAllowed('marketing', 'latest', 'archive') ?
  14.      "autorisé" : "refusé"; // autorisé
  15.  
  16. echo $acl->isAllowed('marketing', 'latest', 'revise') ?
  17.      "autorisé" : "refusé"; // refusé
  18.  
  19. echo $acl->isAllowed('editor', 'announcement', 'archive') ?
  20.      "autorisé" : "refusé"; // refusé
  21.  
  22. echo $acl->isAllowed('administrator', 'announcement', 'archive') ?
  23.      "autorisé" : "refusé"; // refusé

Retirer les Contrôles d'Accès

Pour retirer une ou plusieurs règles des ACL, utilisez simplement la méthode removeAllow() ou removeDeny(). Comme pour allow() et deny(), vous pouvez utiliser une valeur NULL pour indiquer que la méthode s'applique à tous les rôles, ressources et / ou privilèges.

  1. // Retire l'interdiction de relire les dernières news au Staff
  2. // (et au marketing, par héritage)
  3. $acl->removeDeny('staff', 'latest', 'relire');
  4.  
  5. echo $acl->isAllowed('marketing', 'latest', 'relire') ?
  6.      "autorisé" : "refusé"; // autorisé
  7.  
  8. // Retire l'autorisation de publier
  9. // et archiver les newsletters au Marketing
  10. $acl->removeAllow('marketing',
  11.                   'newsletter',
  12.                   array('publish', 'archive'));
  13.  
  14. echo $acl->isAllowed('marketing', 'newsletter', 'publish') ?
  15.      "autorisé" : "refusé"; // refusé
  16.  
  17. echo $acl->isAllowed('marketing', 'newsletter', 'archive') ?
  18.      "autorisé" : "refusé"; // refusé

Les privilèges peuvent être modifiés de manière incrémentielle comme indiqué au dessus, mais une valeur NULL pour les privilèges écrase ces modifications incrémentielles.

  1. // donne au groupe Marketing toutes les permissions
  2. // sur les dernières nouvelles
  3. $acl->allow('marketing', 'latest');
  4.  
  5. echo $acl->isAllowed('marketing', 'latest', 'publish') ?
  6.      "autorisé" : "refusé"; // autorisé
  7.  
  8. echo $acl->isAllowed('marketing', 'latest', 'archive') ?
  9.      "autorisé" : "refusé"; // autorisé
  10.  
  11. echo $acl->isAllowed('marketing', 'latest', 'anything') ?
  12.      "autorisé" : "refusé"; // autorisé
Introduction
Zend_Acl
Guide de référence du programmeur

Comments

Posted by: Shah Mubashir Hussain on: 2010-08-31 09:14:57
1.
$acl->allow('marketing',

array('newsletter', 'latest'),
array('publish', 'archive'));
Can the above statement be rewritten as
2.
$acl->allow('marketing','newsletter',array('publish', 'archive'));
$acl->allow('marketing','latest',array('publish', 'archive'));

I tested it. It didn't give any error but i'm asking this because does 2. will allocate more memory space then 1.?

Regards,
Shah Mubashir Hussain.
Posted by: Shah Mubashir Hussain on: 2010-08-31 09:15:32
1.
$acl->allow('marketing',

array('newsletter', 'latest'),
array('publish', 'archive'));
Can the above statement be rewritten as
2.
$acl->allow('marketing','newsletter',array('publish', 'archive'));
$acl->allow('marketing','latest',array('publish', 'archive'));

I tested it. It didn't give any error but i'm asking this because does 2. will allocate more memory space then 1.?

Regards,
Shah Mubashir Hussain.
Posted by: roger on: 2011-03-15 21:51:19
any suggestins on how to implement acl in a multitenant system where the roleid is unique within the scope of the tenant. the acl is complaining about the role already being added. i could think of appending the tenantid to the roleid before adding the role to the acl.
Posted by: Ruffin Scott on: 2011-06-21 12:45:30
I wrote a simple two part tutorial on implementing Zend_Auth and Zend_ACL. Check it out at <a href="http://blog.intervestcorp.com/?p=12">blog.intervestcorp.com</a>.

+ Add A Comment

Please do not report issues via comments; use the ZF Issue Tracker.

If you have a JIRA/Crowd account, we suggest you login first before commenting.

  • BBCode is allowed in the comment markup

    • Select a Version

    Languages Available

    Components

    Search the Manual

    • Navigation