CakePHP的：檢查授權的意見

Question

我在我的項目使用CakePHP和我正在尋找一種合適的方式來檢查我的意見高級用戶權限。

我在其內容取決於你的權利多個頁面（您可以查看一些塊或沒有，編輯一些相關信息或沒有，等...）

我搜索，我發現的唯一辦法就是實施授權助手，但我認爲最好的辦法，以那就是實現我的「UserController的」方法（如canPerformAction（$行動，$控制器=「default_controller」）），是我錯了嗎？如果我是對的，如何正確調用這些方法？

謝謝。

編輯：更多精度

比如我有一個動作「editEventProducts」，用戶只能執行，如果他活動的所有者，如果事件狀態是< = 2

我檢查在我的控制器中「isAuthorized」功能，就像一個魅力。

但我有一個網頁叫做「eventDetails」，形式可以perfom幾個動作，如這個，我想表明的編輯按鈕，只要你能做到這一點。

如果其實我需要的是，你可以調用每個動作的「isAuthorized」功能的輸出，但我可以正確地從一個視圖得到它？

解決方案

我實現了一個授權助手誰做一些檢查，如這一個，這是最後一個白名單檢查，根據我的事件的狀態，希望這將有助於，代碼：

App::uses('AppHelper', 'View/Helper'); 

class AuthHelper extends AppHelper { 

var $helpers = array('Session'); 

private $_whitelist = array(
    'controller1' => array(
     'events' => array(
      'action1'  => array(1 => true, 2 => true), 
      'action2'  => array(1 => true, 2 => true), 
      'action3'  => array(3 => true), 
      'action4'  => array(6 => true) 
     ) 
    ), 
    'user' => array(
     'controller1' => array(
      'action1'  => array(1 => true, 2 => true), 
      'action2'  => array(1 => true, 2 => true) 
     ) 
    ) 
); 

public function canPerformAction ($action, $event_infos, $controller = 'events') { 
    return isset($this->_whitelist[$this->Session->read('Auth.User.role')][$controller][$action][$event_infos['Event']['state_id']]); 
} 
} 

Answer 1

你需要什麼叫授權，並授予/拒絕通常建立在一個認證一步，這將HTTP請求映射到邏輯用戶的頂部行動的過程。

的授權方案可以通過多種方式來實現，例如簡單的基於角色的規則，即用戶是否完全用於分組的分配權利的目的，或更復雜的ACL（訪問控制列表）。根據您的需求，兩者可以同時用於系統的不同部分。因爲不需要HTTP請求，所以您絕對需要在控制器操作開始時查詢它（如果適用，您可以在AppController中使用標準授權過濾器）。從以前發送的HTTP頁面，但可能是（可能）惡意的，手工製作的。另外，您可能需要在用戶權限後調整用戶界面。也許你會更好地與一幫if報表開始，然後工作了一些日子後，你就可以識別你的需求，建立自己的圖書館/助理/塊/無論以避免重複代碼，緩解讀模板。

Answer 2

可以使用

requestAction(string $url, array $options) 

從調用視圖控制器的功能，或者您也可以創建自定義幫助呃這會爲你做到這一點！

Answer 3

如果您具有預定義的用戶權限（如'admin'，'moderator'，'editor'，'publisher'...），則可以在控制器功能isAuthorized中讀取用戶角色和當前操作並將其設置爲對或錯。

如果您想要每個用戶的自定義權限，您可以將這些值存儲在數據庫中，在isAuthorized函數中讀取它們並根據邏輯確定是否允許他。

我的這個解決方案是一個單獨的表user_permissions這是這樣的：

user_id | action 

這裏的行動將是`控制器/動作」或‘任何你想保存有視圖/塊’或。

我會讀取控制器中當前用戶的所有值，並且如果在數組中找到當前控制器/操作，我會將isAuthorized設置爲true。你也可以將你的邏輯應用到塊中。

Answer 4

這聽起來像你只是想根據用戶的權限渲染視圖的某些部分。那麼，在這種情況下，我認爲幫手是正確的選擇。用戶應該已經擁有所有已加載的權限 - 除非它們非常細膩，並且您擁有數千個權限。

檢查這AuthHelper，它允許您檢查用戶是否登錄，對於角色或字段中的一組角色。或者實施您自己的解決方案，以匹配您的許可系統。

請注意，幫助程序依賴於將用戶數據傳遞給視圖變量中的視圖。它也可以配置爲直接從會話的auth部分讀取數據。

這裏是例子取自它的documentation：

if ($this->Auth->isLoggedIn()) { 
    echo __('Hello %s!', $this->Auth->user('username')); 
} 

if ($this->Auth->isMe($record['Record']['user_id']) { 
    // or your edit button here 
    echo '<h2>' . __('Your records') . '</h2>'; 
} 

if ($this->Auth->hasRole('admin') { 
    echo $this->Html->link(__('delete'), array('action' => 'delete')); 
}