Zend и контроль доступа

Основы контроля доступа в приложениях на зенде разжёваны в интернетах вдоль и поперёк, поэтому подробно рассматривать эту тему я смысла не вижу.
Если вкратце:

1. Создали ACL (статически или динамически)
2. Определили роль юзера (как правило используются сессии)
3. Проверили наличие привилегии к ресурсу
4. Разрешили или отказали (способов отказа как правило несколько, от редиректа до исключения)

Если в Вашем приложении эти четыре пункта часто повторяются, рекомендую завернуть их в некоторую абстракцию. Свой вариант этой обёртки в виде action helper-а я и приведу.

Собственно сам ACL (простой и меняется крайне редко, поэтому жёстко захардкожен)

Copy Source | Copy HTML

1. /*
    * Access control list 
    */


2. class MyAcl extends Zend_Acl


3. {


4.     public function __construct()


5.     {


6.         //roles


7.         $this->addRole(new Zend_Acl_Role('guest'));


8.         $this->addRole(new Zend_Acl_Role('user'), 'guest');


9.         $this->addRole(new Zend_Acl_Role('demo'), 'user');


10.         $this->addRole(new Zend_Acl_Role('moder'), 'user');


11.         //resourses


12.         $this->add(new Zend_Acl_Resource('profile')); //всё что связанно с профилем юзера


13.         $this->add(new Zend_Acl_Resource('autosearch')); //весь автопоиск юзера


14.         $this->add(new Zend_Acl_Resource('logs')); //логи скриптов


15.         $this->add(new Zend_Acl_Resource('others')); //другие фишки для залогиненых


16.         //юзеры


17.         $this->allow( 'user', 'profile', array('view', 'edit') );


18.         $this->allow( 'user', 'autosearch', array('view', 'add', 'del'));


19.         //$this->allow( 'user', 'monitoring' );


20.         $this->allow( 'user', 'others', array('searchLimitX2'));


21.         //модеры


22.         $this->allow( 'moder', 'logs', array('view'));


23.     }


24. }

Action хелпер для проверки прав

Copy Source | Copy HTML

1. /*
    * хелпер для проверки прав пользователя
    *
    * инстанцирует наш ACL
    * учитывает незалогиненых юзеров как гостей
    * 
    */


2. class My_Action_Helper_CheckAccess extends Zend_Controller_Action_Helper_Abstract


3. {


4.     private $_hasIdentity;


5.     private $_role;


6.     private $_acl;


7.     public function init()


8.     {


9.         $auth = Zend_Auth::getInstance();


10.         $this->_hasIdentity = $auth->hasIdentity();


11.         $this->_role = ( $this->_hasIdentity ) ? $auth->getStorage()->read()->role : 'guest';


12.         $this->_acl = new MyAcl();


13.     }


14.     /*
         * @param string $mode (redirect | return | excep )
         */


15.     public function check($resourse, $privileges, $mode)


16.     {


17.         $cntr = $this->getActionController();


18.         $result = $this->_acl->isAllowed( $this->_role, $resourse, $privileges );


19.         switch ($mode)


20.         {


21.             case 'redirect':


22.                 if( !$result )


23.                 {


24.                     $url = $cntr->getHelper('url')->url(array(),'staticLogin',true);


25.                     if( $this->_hasIdentity )


26.                     {


27.                         $message = 'Попробуйте перезайти под другим пользователем.';


28.                     }else{


29.                         $message = 'Войдите в систему';


30.                         $returnUrl = $this->getRequest()->getServer('REQUEST_URI', $cntr->getHelper('url')->url(array(),'userProfile',true) );


31.                         $url .= "?return={$returnUrl}";


32.                     }


33.                     $cntr->getHelper('flashMessenger')->addMessage( array( 'error' => "У вас недостаточно прав для просмотра данной страницы. {$message}.") );


34.                     $cntr->getHelper('redirector')->gotoUrlAndExit( $url );


35.                 }


36.                 break;


37.             case 'excep':


38.                 if( !$result )


39.                     throw new Exception("Access denied");


40.                 break;


41.             case 'return':


42.                 return $result;


43.                 break;


44.             default:


45.                 throw new Exception('Undefined mode (helper access)');


46.                 break;


47.         }


48.     }


49.     public function direct($resourse = null, $privileges = null, $mode = 'return')


50.     {


51.         return $this->check($resourse, $privileges, $mode );


52.     }


53. }

Использование (внутри действия)

редирект на форму входа, если нет привелегии view к ресурсу profile

$this->_helper->checkAccess('profile','view','redirect');

исключение, если нет прав на весь ресурс profile

$this->_helper->checkAccess('profile',null,'excep');

возврат результата проверки наличия привилегии add к ресурсу autosearch

$this->_helper->checkAccess('autosearch','add')




Несколько пояснений:

• Хук с init() используется не по своему прямому назначению и может быть заменён на __construct()
• Параметр $mode определяет реакцию на отсутствие доступа (редирект на форму входа, исключение или возврат результата)
• В случае редиректа на страницу входа авторизованные пользователи и гости увидят разные сообщения
• Также в случае редиректа отправляется параметр return, для возврата пользователя обратно на запрошенную страницу.
• Метод direct() риализует паттерн стратегия (или я чтото напутал?) и нужен только для удобства использования

ПыСы: если планируется использовать данный хелпер не только через брокер помощников, но и напрямую (например через Zend_Controller_Action_HelperBroker::getStaticHelper('CheckAccess'); ), то необходимо заменить init() на __construct(). Иначе есть риск пропустить этап инита =)