phpGACL汉语手册（九）扩展权限对象

phpGACL中文手册（九）扩展权限对象

扩展权限对象

在 phpGACL 中可以通过配置扩展权限对象（ AXO 对象）为第三方添加权限。我们已经知道了 phpGACL 是如何将 ARO 对象和 ACO 对象组成一个访问控制策略指令的，这主要用于简单的权限要求如：

Luke （ ARO 对象）要求访问"武器室"（ ACO 对象）的权限

如果这是你所需要的，那么 AXO 对象就完全是可选的了！

但是由于所有的 ACO 对象都是相同的，因此如果它们存在很多的话那管理起来将是困难的。如果是这样情况的话，我们可以通过改变思考权限对象方式来使其管理起来更加容易。

AXO 对象在许多方面同 ARO 对象是一样的。这有一个 AXO 树（是从 ARO 树中分离出来的）有着自己的组和 AXO 对象。在处理 AXO 对象时，以看待 ACO 对象的方式来看待 AXO 对象（即"需要权限控制的事物"），而改变看待 ACO 对象的方式，从"需要权限控制的事物"变成"被要求的运作"。

看待只有 ARO 和 ACO 对象的方式：

• ARO 对象：要求权限的事物
• ACO 对象：需要权限控制的事物

看待 ARO 、 ACO 和 AXO 对象的方式：

• ARO 对象：要求权限的事物
• ACO 对象：被要求的动作
• AXO 对象：需要权限控制的事物

例如：

一个网站管理员想要管理访问该网站中项目的权限。一个由所有用户组成的 ARO 树如下所示： Website （网站）
├─Administrators （管理者）
│ ├─Alice
│ └─Carol
└─Users （用户）
├─Bob
└─Alan

在 AXO 树中通过操作系统分类项目被组织成： Projects （项目）
├─Linux
│ ├─SpamFilter2
│ └─AutoLinusWorshipper
└─Windows
├─PaperclipKiller
└─PopupStopper

对于每个项目而言，动作是"观看"和"编辑"。这些是 ACO 对象。

现在我们想要 Bob 对所有的 Linux 项目有"观看"的权限，因此可以添加一个 ADP 将 Bob 的 ARO 对象与观看的 ACO 对象和 Linux 的 AXO 对象连接在一起。于是我们可以问一个问题：

Bob （ ARO 对象）要求对一个叫 Linux 的项目（ AXO 对象）有"观看"（ ACO 对象）的权限

记住 AXO 是可选的，如果你在调用 acl_check() 函数时没有指明 AXO 对象或匹配到一个没有 AXO 对象的 ADP ，这是允许的。然而如果只有 AXO 对象的 APD 而你却调用没有 AXO 对象的 acl_check() 函数，那么系统将失败。

所以一旦你在调用 acl_check() 函数时指定了 AXO 对象的话， acl_check() 函数就只搜索含有 AXO 对象的 ACL 列表。如果 AXO 对象没有被指定，那么只有不含有 AXO 对象的列表才会被搜索。基于上述理论也使系统在性能上有所提升。