CakePHP 存取控制清單：使用指南

如果您正在建立 CMS，您可能需要具有不同權限等級的不同使用者角色（超級使用者、管理員、使用者）。程式碼太複雜？輸入 CakePHP 的 ACL（存取控制清單）。透過正確的設置，您只需一行即可檢查使用者權限。

#簡介：什麼是存取控制清單？

ACL 可讓您建立具有各自角色的使用者層次結構。這是一個簡單的範例。

• 超級用戶
  • 用戶 #1
• 管理員
  • 用戶#2
  • 用戶#3
• 用戶
  • 用戶#4
  • 用戶#5
  • 用戶#6
  • ...

在本教學中，我們將為一個簡單的部落格設定 ACL。如果您尚未在 Nettuts 上查看 CakePHP 入門（和第 2 部分），請查看後返回，因為我們將理所當然地認為框架基礎知識。

透過這個層次結構，我們可以為每個角色指派多個權限：

• 超級用戶可以建立、閱讀、更新和刪除貼文和用戶。
• 管理員可以建立、閱讀、更新和刪除貼文。
• 用戶可以建立和閱讀貼文。
• 其他人都可以閱讀貼文。

每個權限都會授予群組，而不是使用者；因此，如果使用者 #6 晉升為管理員，系統將檢查他的群組權限—而不是他的權限。這些角色和子節點（使用者）稱為存取請求對象，或 ARO。

現在，在另一邊，我們有了存取控制物件（ACO）。這些都是要控制的物件。上面我提到了貼文和用戶。通常，這些物件與模型直接鏈接，因此如果我們有一個 Post 模型，我們將需要該模型的 ACO。

每個ACO都有四種基本權限：建立、讀取、更新和刪除。您可以使用關鍵字 CRUD 來記住它們。還有第五個權限，即星號，它是完全存取權限的捷徑。

在本教程中，我們將只使用兩個 ACO：Post 和 User，但您可以根據需要建立任意多個 ACO。

ACL 表

讓我們繼續建立資料庫表。您可以在應用程式的 config/sql 目錄中的 db_acl.sql 中找到此程式碼。

CREATE TABLE acos ( 
  id INTEGER(10) UNSIGNED NOT NULL AUTO_INCREMENT, 
  parent_id INTEGER(10) DEFAULT NULL, 
  model VARCHAR(255) DEFAULT '', 
  foreign_key INTEGER(10) UNSIGNED DEFAULT NULL, 
  alias VARCHAR(255) DEFAULT '', 
  lft INTEGER(10) DEFAULT NULL, 
  rght INTEGER(10) DEFAULT NULL, 
  PRIMARY KEY  (id) 
); 
 
CREATE TABLE aros_acos ( 
  id INTEGER(10) UNSIGNED NOT NULL AUTO_INCREMENT, 
  aro_id INTEGER(10) UNSIGNED NOT NULL, 
  aco_id INTEGER(10) UNSIGNED NOT NULL, 
  _create CHAR(2) NOT NULL DEFAULT 0, 
  _read CHAR(2) NOT NULL DEFAULT 0, 
  _update CHAR(2) NOT NULL DEFAULT 0, 
  _delete CHAR(2) NOT NULL DEFAULT 0, 
  PRIMARY KEY(id) 
); 
 
CREATE TABLE aros ( 
  id INTEGER(10) UNSIGNED NOT NULL AUTO_INCREMENT, 
  parent_id INTEGER(10) DEFAULT NULL, 
  model VARCHAR(255) DEFAULT '', 
  foreign_key INTEGER(10) UNSIGNED DEFAULT NULL, 
  alias VARCHAR(255) DEFAULT '', 
  lft INTEGER(10) DEFAULT NULL, 
  rght INTEGER(10) DEFAULT NULL, 
  PRIMARY KEY  (id) 
);

我們現在可以開始建立 ARO 和 ACO 節點，但嘿，我們沒有使用者！我們必須創建一個基本的身份驗證系統。

---

第 1 步：基本驗證系統

由於本教學是針對具有基本到中等框架知識的 CakePHP 開發人員，因此我將提供程式碼和簡要說明。但是，身份驗證系統不是本教學的目標。

MySQL 表：

CREATE TABLE users ( 
  id INTEGER(10) UNSIGNED AUTO_INCREMENT KEY, 
  username TEXT, 
  password TEXT 
);

使用者模型 (models/user.php)

<?php 
class User extends AppModel { 
    var $name = 'User'; 
} 
?>

使用者控制器 (controllers/users_controller.php)

<?php 
class UsersController extends AppController { 
    var $name = 'Users'; 
    var $components = array('Auth'); 
 
    function beforeFilter(){ 
        $this->Auth->userModel = 'User'; 
        $this->Auth->allow('*'); 
    } 
 
    function register(){ 
        if(!empty($this->data)){ 
            // Here you should validate the username (min length, max length, to not include special chars, not existing already, etc) 
            // As well as the password 
            if($this->User->validates()){ 
                $this->User->save($this->data); 
                // Let's read the data we just inserted 
                $data = $this->User->read(); 
                // Use it to authenticate the user 
                $this->Auth->login($data); 
                // Then redirect 
                $this->redirect('/'); 
            } 
        } 
    } 
 
    function login(){ 
        if(!empty($this->data)){ 
            // If the username/password match 
            if($this->Auth->login($this->data)){ 
                $this->redirect('/'); 
            } else { 
                $this->User->invalidate('username', 'Username and password combination is incorrect!'); 
            } 
        } 
    } 
 
    function logout(){ 
        $this->Auth->logout(); 
        $this->redirect('/'); 
    } 
} 
?>

既然我們有了新元素，讓我們回顧一下它們。首先，我們設定一個 $components 變數。此變數包括數組中的所有組件。我們將需要 Auth 元件，它是一個核心元件，就像 HTML 和表單助手一樣，但由於 Cake 預設不包含它，所以我們必須手動包含它。

Auth 元件處理一些基本的身份驗證機制：它幫助我們登入使用者並為我們處理經過驗證的使用者會話，以及處理訪客的登出和基本授權。此外，它還會自動對密碼進行雜湊處理。我將在下面的段落中解釋如何呼叫每個函數。

接下來，我們建立一個名為 beforeFilter 的函數。這是一個回調函數，它允許我們在處理所有控制器邏輯之前設定一些操作。 Auth 元件要求我們指定要使用的模型，在本例中為 User。然後，預設情況下，它將拒絕所有未登入使用者的存取。我們必須使用 allow() 覆寫此行為，該行為需要一個參數。此參數可以是星號，指定未經身份驗證的使用者可以存取所述控制器內的所有方法。或者，可以向它傳遞一個數組，其中包含未經身份驗證的使用者可以存取的函數。在本例中，由於我們只有三個函數，因此以下幾行是相同的內容。

$this->Auth->allow('*'); 
$this->Auth->allow(array('register', 'login', 'logout'));

對於 login() 函數，Auth 元件將為我們處理所有登入機制。我們只需為此函數提供一個包含兩個鍵的陣列：使用者名稱和密碼。這些鍵可以更改，但預設情況下， username 和 password 欄位都將與資料庫進行匹配，如果使用者已通過身份驗證，則傳回 true。

最後，控制器的登入功能將嘗試將使用者名稱/密碼組合與資料庫進行比對。

请注意，此代码非常基础。您需要验证用户名字符、用户名是否存在、密码的最小长度等等。

注册视图 (views/users/register.ctp)

<h2 id="Register-your-account">Register your account</h2> 
 
<form method="POST" action="<?=$this->here; ?>"> 
 
<p> 
    Username 
    <?=$form->text('User.username'); ?> 
</p> 
<p> 
    Password 
    <?=$form->password('User.password'); ?> 
</p> 
 
<?=$form->submit('Register'); ?> 
</form>

登录视图 (views/users/login.ctp)

<h2 id="Log-in-to-your-account">Log in to your account</h2> 
 
<form method="POST" action="<?=$this->here; ?>"> 
 
<?=$form->error('User.username'); ?> 
<p> 
    Username 
    <?=$form->text('User.username'); ?> 
</p> 
<p> 
    Password 
    <?=$form->password('User.password'); ?> 
 
</p> 
<?=$form->submit('Log in'); ?> 
</form>

在网络浏览器中打开 /users/register 并注册一个新帐户。我建议 admin 作为用户名，123 作为密码，如果您的会话过期，只需转到 /users/login 并输入您刚刚创建的正确用户名/密码组合。

---

第 2 步：拒绝未经身份验证的用户访问

我们甚至没有使用 ACL，但我们已经可以拒绝发布、编辑和删除帖子。打开您的 Posts 控制器并添加 Auth 组件。

var $components = array('Auth');

现在在您的网络浏览器中访问 /posts。如果您已登录，您应该会看到这些帖子，但如果您没有登录，您将被重定向到 /users/login。通过简单地包含身份验证组件，默认情况下，所有操作都会拒绝来宾。我们需要拒绝未经授权的用户的三种操作：创建、编辑和删除。换句话说，我们必须允许索引和视图。

function beforeFilter(){ 
    $this->Auth->userModel = 'User'; 
    $this->Auth->allow(array('index', 'view')); 
}

去编辑或创建帖子；如果您尚未登录，您应该被重定向到 /users/login。一切似乎都进展顺利，但是视图呢？编辑和删除链接正在向所有人显示。我们应该提出一个条件。

但在讨论之前，让我们看看 Auth 的 user() 函数是如何工作的。将这些行复制并粘贴到索引函数中。

$user = $this->Auth->user(); 
pr($user);

在浏览器中打开 /posts，如果登录，则 pr() 将抛出类似这样的内容。

Array 
( 
    [User] => Array 
        ( 
            [id] => 1 
            [username] => admin 
        ) 
)

user() 函数返回一个数组，就像模型一样。如果我们有超过三个字段（不包括密码），它们将显示在数组中。如果您没有登录，该数组将为空，因此如果 Auth 的 user() 数组不为空，您就可以知道用户已登录。

现在，Auth 是一个组件，旨在在控制器中使用。我们需要从视图中了解用户是否已登录，最好是通过帮助程序。我们如何在助手中使用组件？ CakePHP 是如此出色和灵活，以至于这是可能的。

<? 
class AccessHelper extends Helper{ 
    var $helpers = array("Session"); 
 
    function isLoggedin(){ 
        App::import('Component', 'Auth'); 
        $auth = new AuthComponent(); 
        $auth->Session = $this->Session; 
        $user = $auth->user(); 
        return !empty($user); 
    } 
?>

将此代码段保存在 views/helpers 中，命名为 access.php。现在让我们逐行查看代码。首先，我们设置一个 $helpers 变量。帮助程序可以包含其他帮助程序，就像 $components 一样。 Auth 组件需要 Session 组件，但我们无法在助手中访问该组件。幸运的是，我们有一个会话助手，它将帮助我们。

接下来，我们创建一个函数并使用 App::import ，这将让我们导入一个通常我们无法访问的元素。下一行在 $auth 变量中创建 Auth 组件，现在是一个有点肮脏的黑客；由于 Auth 组件读取会话来了解我们是否已登录，因此它需要 Session 组件，但当我们从不应该属于它的位置导入它时，我们必须给它一个新的 Session 对象。最后，我们使用 user() 并将其设置为 $user ，如果变量不为空则返回 true，否则返回 false。

让我们回到帖子控制器并继续添加助手。

var $helpers = array('Access');

现在可以从视图访问访问助手。在 views/posts 中打开 index.ctp 并替换此行。

<small><a href="/posts/edit/<? echo $post['Post']['id'] ?>">edit</a> | <? echo $html->link('delete', '/posts/delete/'.$post['Post']['id'], NULL, 'Are you sure?'); ?></small>

有了这个。

<? if($access->isLoggedin()): ?><small><a href="/posts/edit/<? echo $post['Post']['id'] ?>">edit</a> | <? echo $html->link('delete', '/posts/delete/'.$post['Post']['id'], NULL, 'Are you sure?'); ?></small><? endif; ?>

返回网络浏览器，重新加载索引页，如果您已登录，您将看到每个帖子的编辑和删除链接。否则，您将看不到任何内容。

虽然如果您的应用程序只有一两个用户，这就足够了，但如果您开放注册，这还不够。

---

第 3 步：安装 ACL

打开用户控制器并添加 ACL 组件。

var $components = array('Auth', 'Acl');

接下来，让我们创建一个函数来安装 ACO 和 ARO 节点。

function install(){     
    if($this->Acl->Aro->findByAlias("Admin")){ 
        $this->redirect('/'); 
    } 
    $aro = new aro(); 
 
    $aro->create(); 
    $aro->save(array( 
        'model' => 'User', 
        'foreign_key' => null, 
        'parent_id' => null, 
        'alias' => 'Super' 
    )); 
 
    $aro->create(); 
    $aro->save(array( 
        'model' => 'User', 
        'foreign_key' => null, 
        'parent_id' => null, 
        'alias' => 'Admin' 
    )); 
 
    $aro->create(); 
    $aro->save(array( 
        'model' => 'User', 
        'foreign_key' => null, 
        'parent_id' => null, 
        'alias' => 'User' 
    )); 
 
    $aro->create(); 
    $aro->save(array( 
        'model' => 'User', 
        'foreign_key' => null, 
        'parent_id' => null, 
        'alias' => 'Suspended' 
    )); 
 
    $aco = new Aco(); 
    $aco->create(); 
    $aco->save(array( 
        'model' => 'User', 
        'foreign_key' => null, 
        'parent_id' => null, 
        'alias' => 'User' 
    )); 
 
    $aco->create(); 
    $aco->save(array( 
       'model' => 'Post', 
       'foreign_key' => null, 
       'parent_id' => null, 
       'alias' => 'Post' 
    )); 
 
    $this->Acl->allow('Super', 'Post', '*'); 
    $this->Acl->allow('Super', 'User', '*'); 
    $this->Acl->allow('Admin', 'Post', '*'); 
    $this->Acl->allow('User', 'Post', array('create')); 
}

通过导入ACL组件，我们可以访问ACO和ARO模型。我们首先创建一个 ARO，它是对象的请求者；换句话说，谁将访问这些对象。这就是用户（因此是模型中的用户字符串）。我们正在创造不同的角色；超级、管理员、用户和暂停。

接下来，我们对 ACO 执行相同的操作，因为我们只有两个对象要管理（帖子和用户），所以我们将创建两个对象，每个对象一个。

现在，快速说明一下。我们为 ACO 和 ARO 保存的数组有四个字段：模型名称、外键（如果您想授予对一个 ARO 的访问权限，例如他创建的帖子，则该字段很有用）、父 ID（稍后将使用）和 是基本的父子节点关系；我们将在这些角色下创建用户）和别名（这是查找对象的快速形式）。

最后，我们使用 ACL 的 allow() 函数。第一个参数是ACO别名；第二，ARO 别名，第三，授予所述 ARO 的权限。超级用户可以完全访问帖子和用户模型，管理员可以完全访问帖子模型，用户只能创建帖子。

在函数的开头，我声明了一个条件来检查 ACO 中是否存在管理员角色。您不想多次安装相同的东西，对吗？这会严重扰乱数据库。

在 Web 浏览器中打开 /users/install，由于我们没有视图，CakePHP 会抛出错误，但只需检查 MySQL 转储即可。所有关系都已成功创建，是时候处理子节点了。

将用户设置为角色

让我们清理 users 表。打开 phpMyAdmin，选择您的数据库，users 表，然后单击清空。我们将回到用户控制器上的 register() 函数。就在这一行下方：

 $this->Auth->login($data);

粘贴此代码：

// Set the user roles 
$aro = new Aro(); 
$parent = $aro->findByAlias($this->User->find('count') > 1 ? 'User' : 'Super'); 
 
$aro->create(); 
$aro->save(array( 
     'model'        => 'User', 
     'foreign_key'    => $this->User->id, 
     'parent_id'    => $parent['Aro']['id'], 
     'alias'        => 'User::'.$this->User->id 
));

在第一行中，我们创建一个新的 ARO 对象。然后我们将获取将在其中创建用户的父节点。如果数据库中有记录，我们将其设置为用户 ARO，否则，第一个用户应该是 Super。

然后我们保存一个新的ARO；该模型是我们当前正在开发的模型，User，foreign_key 是我们刚刚创建的最后一条记录的 id。 parent_id 是我们开始的节点；我们只传递 id 和最后的别名。最好将其命名为 Model_name，然后是分隔符 ::，然后是标识符。找到它会容易得多。

现在我们完成了。创建四个用户：超级用户、管理员用户、普通用户和暂停用户。我建议使用相同的用户名和密码进行测试。不要忘记，到目前为止，只有超级用户具有 Super 角色；剩下的都是用户！

---

第4步：阅读权限

由于 ACL 是一个组件，因此只能在控制器内访问它。稍后，它也会出现在视野中；但首先要紧的事情。将 ACL 组件包含在 Posts 控制器中，就像我们在 Users 控制器中所做的那样。现在您可以开始检查权限。让我们进入编辑功能并进行快速测试。在该方法的第一行添加此内容。

$user = $this->Auth->user(); 
if(!$this->Acl->check('User::'.$user['User']['id'], 'Post', 'update')) die('you are not authorized');

ACL 的 check() 函数需要三个参数：ARO、ACO 和操作。去编辑帖子，如果您没有以超级用户身份登录，脚本就会死掉。转到 /users/login 并以超级用户身份访问并返回编辑。您应该能够编辑该帖子。检查下面的 MySQL 转储，看看它的神奇之处。四个数据库查询：这肯定是不可扩展的。

我们有两个问题。首先，两行用于权限检查。其次，ACL 没有被缓存。并且不要忘记所有登录用户都可以看到编辑链接，即使只有超级用户可以使用它。

让我们创建一个新组件。我们称之为 Access。

<?php 
class AccessComponent extends Object{ 
    var $components = array('Acl', 'Auth'); 
    var $user; 
 
    function startup(){ 
        $this->user = $this->Auth->user(); 
    } 
} 
?>

将其保存在controllers/components中，命名为access.php。该类的 $user var 将在组件加载时启动，而 startup() 是一个回调函数，因此现在在该类中设置。现在让我们创建 check() 函数。

function check($aco, $action='*'){ 
    if(!empty($this->user) && $this->Acl->check('User::'.$this->user['User']['id'], $aco, $action)){ 
        return true; 
    } else { 
        return false; 
    } 
}

我们的 check() 方法只需要两个参数：ACO 和操作（可选）。 ARO 将是每个会话的当前用户。操作参数默认为 *，这是 ARO 的完全访问权限。该函数首先检查 $this->user 是否不为空（这实际上告诉我们用户是否已登录），然后转到 ACL。我们已经介绍过这一点。

我们现在可以将 Access 组件包含在我们的 Posts 控制器中，并只需一行即可检查权限。

if(!$this->Access->check('Post', 'update')) die('you are not authorized');

用更少的代码可以达到相同的结果，但错误消息很难看。您最好将 die() 替换为 CakePHP 错误处理程序：

$this->cakeError('error404');

视图中的权限

这可能很难看，但它确实有效。我们必须创建一个帮助程序，使用自定义方法加载组件以供在帮助程序中使用。

在Access组件（controllers/components/access.php）中添加此函数。

function checkHelper($aro, $aco, $action = "*"){ 
    App::import('Component', 'Acl'); 
    $acl = new AclComponent(); 
    return $acl->check($aro, $aco, $action); 
}

现在，让我们重写访问助手（views/helpers/access.php）。

<?php 
class AccessHelper extends Helper{ 
    var $helpers = array("Session"); 
    var $Access; 
    var $Auth; 
    var $user; 
 
    function beforeRender(){ 
        App::import('Component', 'Access'); 
        $this->Access = new AccessComponent(); 
 
        App::import('Component', 'Auth'); 
        $this->Auth = new AuthComponent(); 
        $this->Auth->Session = $this->Session; 
 
        $this->user = $this->Auth->user(); 
    } 
 
    function check($aco, $action='*'){ 
        if(empty($this->user)) return false; 
        return $this->Access->checkHelper('User::'.$this->user['User']['id'], $aco, $action); 
    } 
 
    function isLoggedin(){ 
        return !empty($this->user); 
    } 
} 
?>

beforeRender()方法是一个回调，类似于组件的startup()。我们正在加载两个组件，由于它们将在大多数函数中使用，因此最好一次启动所有组件，而不是每次调用方法时手动启动它们。

现在，在 views/posts 中的 index.ctp 视图中，您可以替换此行。

<small><a href="/posts/edit/<? echo $post['Post']['id'] ?>">edit</a> | <? echo $html->link('delete', '/posts/delete/'.$post['Post']['id'], NULL, 'Are you sure?'); ?></small>

有了这个。

<? if($access->check('Post')): ?><small><a href="/posts/edit/<? echo $post['Post']['id'] ?>">edit</a> | <? echo $html->link('delete', '/posts/delete/'.$post['Post']['id'], NULL, 'Are you sure?'); ?></small><? endif; ?>

只是不要忘记检查视图和控制器中的权限！

用户数据

您可以使用 Auth 组件中的 user() 方法访问已登录用户的用户数据。然后您可以访问该数组并获取您想要的信息。但一定有更好的方法。让我们在 Access 组件中添加以下函数。

function getmy($what){ 
    return !empty($this->user) && isset($this->user['User'][$what]) ? $this->user['User'][$what] : false; 
}

当您需要保存具有 user_id 关系的帖子时，这非常有用。

$this->data['Post']['user_id'] = $this->Access->getmy('id');

在视图中，我们可以使用助手做类似的事情。

function getmy($what){ 
    return !empty($this->user) && isset($this->user['User'][$what]) ? $this->user['User'][$what] : false; 
}

在模板文件中，您可以执行如下操作，通过用户名向用户打招呼。

Welcome <?=$access->isLoggedIn() ? $access->getmy('username') : 'Guest'; ?>

---

第5步：修改权限

假设我们需要为用户 #4 切换角色：他需要成为超级用户。因此，User 的 id 是 4，Aro 的 id 是 1。

$user_id = 4; 
$user_new_group = 1;

现在我们需要找到用户的 Aro 以便修改其父 Aro。

$aro_user =  $this->Acl->Aro->find('first', 
    array( 
        'conditions' => array( 
            'Aro.parent_id !=' => NULL, 
            'Aro.model' => 'User', 
            'Aro.foreign_key' => $user_id 
        ) 
    ) 
);

最后，如果 $aro_user 变量不为空，让我们更新 Aro.parent_id 字段。

if(!empty($aro_user)){ 
    $data['id'] = $aro_user['Aro']['id']; 
    $data['parent_id'] = $user_new_group; 
    $this->Acl->Aro->save($data); 
}

请注意，您必须验证用户的 ID 和新 aro 的 ID。如果其中之一不存在，则会在您的 ACL 表中造成混乱。

---

第 6 步：优化

虽然我们刚刚创建的组件既简单又有用，但每次检查都会查询数据库。目前尚未准备好投入生产。首先，应尽可能少地查询数据库。为了优化这一点，我们应该利用 CakePHP 的缓存。

使用缓存会大大减少负载，但如果我们有十个帖子出现在索引中，并且对于每个帖子，我们都会检查用户是否具有帖子 Aco 的更新权限，框架将读取并解析一个文件返回相同的结果...每个页面加载十次。

这是第二点：类内的变量和一些条件将使工作更轻松，以便重复的请求将仅检查 Cache 一次。

这两个更改都反映在 access_cache.php 中，位于 controllers/components 目录中。因此，请确保下载源代码！

---

结论

访问控制列表是大多数应用程序需要的基本功能。 CakePHP 有一个很好的实现，但缺乏良好的文档和示例。我希望通过本教程能够解决这两个问题。感谢您的阅读！

以上是CakePHP 存取控制清單：使用指南的詳細內容。更多資訊請關注PHP中文網其他相關文章！