研究 CakePHP 時對於其內建的 ACL(Access Control Lists) component 很好奇,同時因為最近的專案可能會利用到,因此提前做了一番習作和研究。
CakePHP ACL 提供的功能其實很單純,只是將 ACO(Access Control Object) 和 ARO(Access Request Object) 兩個樹狀結構進行權屬優先判斷。譬如說一個 A 部門裡面有 A1, A2 兩個人,針對一個物件對象 B1,若設定 A 部門為 allow,但 A2 為 deny,則 A1 可以操作而 A2 則否。進一步若針對 B1 的上層 B 設定 allow/deny,則將會依照「預設拒絕」以及「特定優先」的原則,來判定操作的 true/false。
至於這個 ARO 要怎麼套用到一般的 user 或 group,CakePHP ACL 倒沒有太過干涉,只是提供了int 和 varchar 兩個欄位作為參考索引。同樣的 ACO 怎麼套用到資料物件或網頁操作,也是隻有 int 和 varchar 兩個欄位作為索引。
我在 Takor 習作時,是將 ARO 的 id 對應到 users.id,並讓 ACO 採取 ':controller/:action' 的文字欄位作為索引,如此要判斷某某人可不可以在某個 controller 下進行某個 action 動作,就可以很方便地交給 ACL 來幫忙判斷。
另外,一邊在習作一邊在觀察 ARO/ACO 兩個 table 裡面究竟資料結構長得什麼樣子,發現其實不難理解,只是如果想要手動修改樹狀結構,恐怕會有點麻煩,最好還是寫程式來完成較好。譬如說,父層 A=>{lft=>1, rght=>6},子層 A1=>{lft=>2, rght=>3}, A2=>{lft=>4, rght=>5},這時候若要插入第三個子層 A3,則得要先將 A 改為 {lft=>1, rght=>8},然後設定 A3=>{lft=>6, rght=>7},如此樹狀結構才會把 A3 納入到 A 的範圍以內。同時若要把 A2 底下加入一個孫層 A2a,則不僅 A2 要把 rght 往後挪動以容納 A2a,而且 A3 也會被牽動更改左右鍵值。
目前還沒很用力地去尋找一個視覺化管理 ACL 的範本,但我相信一定有人跟我一樣被這 ACO/ARO 搞得迷迷糊糊的,然後想要寫個簡易的程式管理。
CakePHP ACL 提供的功能其實很單純,只是將 ACO(Access Control Object) 和 ARO(Access Request Object) 兩個樹狀結構進行權屬優先判斷。譬如說一個 A 部門裡面有 A1, A2 兩個人,針對一個物件對象 B1,若設定 A 部門為 allow,但 A2 為 deny,則 A1 可以操作而 A2 則否。進一步若針對 B1 的上層 B 設定 allow/deny,則將會依照「預設拒絕」以及「特定優先」的原則,來判定操作的 true/false。
至於這個 ARO 要怎麼套用到一般的 user 或 group,CakePHP ACL 倒沒有太過干涉,只是提供了int 和 varchar 兩個欄位作為參考索引。同樣的 ACO 怎麼套用到資料物件或網頁操作,也是隻有 int 和 varchar 兩個欄位作為索引。
我在 Takor 習作時,是將 ARO 的 id 對應到 users.id,並讓 ACO 採取 ':controller/:action' 的文字欄位作為索引,如此要判斷某某人可不可以在某個 controller 下進行某個 action 動作,就可以很方便地交給 ACL 來幫忙判斷。
另外,一邊在習作一邊在觀察 ARO/ACO 兩個 table 裡面究竟資料結構長得什麼樣子,發現其實不難理解,只是如果想要手動修改樹狀結構,恐怕會有點麻煩,最好還是寫程式來完成較好。譬如說,父層 A=>{lft=>1, rght=>6},子層 A1=>{lft=>2, rght=>3}, A2=>{lft=>4, rght=>5},這時候若要插入第三個子層 A3,則得要先將 A 改為 {lft=>1, rght=>8},然後設定 A3=>{lft=>6, rght=>7},如此樹狀結構才會把 A3 納入到 A 的範圍以內。同時若要把 A2 底下加入一個孫層 A2a,則不僅 A2 要把 rght 往後挪動以容納 A2a,而且 A3 也會被牽動更改左右鍵值。
目前還沒很用力地去尋找一個視覺化管理 ACL 的範本,但我相信一定有人跟我一樣被這 ACO/ARO 搞得迷迷糊糊的,然後想要寫個簡易的程式管理。
