Gdzie acl->check()

Cześć,

Można np. zapisać dane logowania do zmiennej przechowywanej sesji po zalogowaniu, a potem w app_controller.php, w akcji beforeFilter() /* metoda wywoływana dla każdej akcji w każdym kontrolerze*/ sprawdzać istnienie tej zmiennej przez if($this->Session->check('logged_user')){...}. Dla niektórych akcji sprawdzanie tej zmiennej może spowodować zapętlenie się apache'a, więc trzeba zadbać o to, żeby część z metod mogła być wywoływana przez niezalogowanego user'a (m. in. metoda logowania , i wylogowania oraz index dla niezalogowanego user'a). Wyjaśnię to może na przykładzie (niestety nie będzie to przykład stricte ACL, bo nie jestem przy swoim komputerze i muszę pisać z głowy ).

Załóżmy, że masz 3 kontrolery, users_controller, app_controller oraz pages_controller.

w app_controller masz tylko funkcję wyglądającą mniej więcej tak:

function beforeFilter(){
        if($this->Session->check('user') == false)
            {
                //co zrobic z niezaqlogowanym  userem
               //np, przekierować go na index
                 $this->redirect('/pages/index')
            }else{
                   $user=$this->Session->read('user');
                        //co zrobić z zalogowanym userem
            }
    }

Wszystko ok, tylko jeśli komuś wygaśnie sesja, to cake będzie go próbował przekierować na stronę główną, na której sprawdzane jest jeszcze raz czy jest zalogowany (metoda beforeFilter w app_controller nadal działa) i mamy pętlę gotową. Jak temu zapobiec? Bardzo prosto

Trzeba w kontrolerze pages_controller.php przedeklarować metodę beforeFilter (Cake najpierw wykonuje metodę w kontrolerze niższego rzędu, po czym, jeśli jej tam nie znajdzie przechodzi wyżej. A więc, w kontrolerze pages_controller dodajemy metodę:

function beforeFilter(){
                if(in_array($this->action,$allowed_actions)){
                       //nie jest sprawdzane czy user jest zalogowany
                }else{
                      //wywołujemy akcję beforeFilter z kontrolera nadrzędnego (sprawdzamy czy user jest zalogowany)
              parent::beforeFilter();
                }
    }

No dobrze, ale skąd wziąć zmienną $allowed_actions? Trzeba ją zdefiniować jako tablicę stringów oznaczających akcje dla których nie trzeba być zalogowanym.
W wypadku pages controller będzie to:

var $allowed_actions = array('index');

W users controller pewnie coś w stylu:

var $allowed_actions = array('login','logout','register');

To chyba wystarczy aby sprawdzanie credentials działało szybko i przejrzyscie, bez konieczności zbędnego mieszania w kodzie w wypadku ewentualnych poprawek.

Mam nadzieje że napisałem w miarę jasno. Kod może zawierać błędy, bo piszę z głowy.

Pzdr,

Ostatnio edytowany przez darek_dobron (2008-12-12 23:36:25)

Da się jakos sprawdzic prawa w modelu? Cos na styl:

Model:
function saveData() {
if($this->acl->check(%$^$%^%^%^))
   $this->save();
}

A szkoda bo jest cos takiego jak beforeSave ;]

w sumie to malem pomysl tylko z uzyciem tego w modelu w wypadku save() i delete() zeby przed kazdym wywolaniem sprawdzac czy osoba ktora to robi ma do tego prawo ;]

PS: a tak na marginesie jak to robicie w praktyce bo ja to chodze po omacku niestety i mam cos takiego:

przykladowy kontroler:

    function beforeFilter() {
        $this->checkSession();
        $this->aroAlias = 'User::'.$this->Session->read('User.id');
        $this->acoAlias = $this->Project->name;   
    }

    function show($id = false) {
        if($id && is_numeric($id)) {
            $tempAro = $this->aroAlias;
            $tempAco = $this->acoAlias.'::'.$id;
            if($this->Acl->check($tempAro, $tempAco, 'read')) {
                $this->data = $this->Project->findById($id);
            } else {
                $this->redirect('user/login');
                exit();
            }
            $this->data = $this->Project->findById($id);           
        }
    }
   
:koniec

Troche sie pozmienialo i juz nie aktualne (w tym watku jest bardziej aktualne pytanie o kontroler w ACL ) wiec sie tylko uczepie odpowiedzi

Jezeli blednie nadam komus prawa to i tak dupa czyz nie? Bo jezeli blednie nadalem tutaj to i na 99% blednie jest wszedzie indziej wiec jak dupa to dupa. W twoim przypadku to raczej chodzi o dodatkowe zabezpieczenie hiper admina zeby jezeli juz sie cos takiego wydarzy to zeby bylo jakies dodatkowe zabezpieczenie -> tutaj wchodzi ACL i dodatkowe sposoby uwiezytelniania (PHP_AUTH_USER czy cos).

PS: co sadzisz o przykladowym kontrolerze z nowszego pytania z gory ??:D

Wracajac do pytania:  to jak sprawdzic uprawnienia w modelu (np w beforeSave) ??:D

Nie chce sie klocic tak tylko teoretyzuje ;]
Twoje rozwiazanie (nie trzymania w sesji uprawnien) ma faktycznie zalety - pytanie czy warto obciazac aplikację jezeli przyczny (uprawnienia hiper usera) i tak sie nie da usunac, a w przypadku odkrycia bledu (czy tak czy siak odkryjemy to w tym samym czasie) zabijamy mu sesje i zmieniamy prawa (to moze wydajniej bylo by zrobic funkcje zabijajaca sesje konkretnemu userowi niz wpychac wszedzie na sile sprawdzanie praw ?? ).

Ostatnio edytowany przez duke_piotr (2009-03-24 16:36:48)