实现访问控制
在了解 ACL 的原理和机制后,我们现在来为 todo 应用加上访问控制功能。
为控制器指定访问规则
默认情况下,所有的访问控制规则都书写在 acl.config.php中,该文件的结构如下:
控制器名称: allow: 允许使用该控制器的角色
例如:
'tasks'=>array( 'allow'=> 'MEMBER', )
还记得我们在前面的章节里面做用户登录处理的时候的代码吗?
function actionLogin(){ if (request_is_post()){ $user=User::validateLogin(request('username'), request('password')); if ($user ===false){ exit('用户名或密码错误'); } // 将登录用户的信息存入 SESSION,以便应用程序记住用户的登录状态 $this->_app->changeCurrentUser($user->toArray(), 'MEMBER'); // 登录成功后,重定向浏览器 return $this->_redirect(url('default/index')); } }
注意:
$this->_app->changeCurrentUser($user->toArray(), 'MEMBER');
这里就是指定用户的角色“MEMBER”,如果用户具有多个角色,请用半角逗号分隔
表示只有具有 MEMBER 角色的用户才可以使用 tasks 控制器。依次类推,我们可以给每个要限制访问的控制器都指定规则。
'posts'=>array( # 多个角色用逗号分割就可以了 'allow'=> 'MEMBER, ADMIN' ), 'tasks'=>array( 'allow'=> 'MEMBER', ), 'comments'=>array( 'allow'=> 'MEMBER', )
但有时候系统中存在较多的角色,此时我们只希望禁止特定角色的用户,可以使用 deny 来指定禁止访问的角色:
'users'=>array( 'deny'=> 'ADMIN', )
表示具有 ADMIN 角色的用户不能够使用 users 控制器。
为动作指定访问规则
实际开发中,经常都会出现某个控制器的多个动作,有些允许这部分角色访问,某些又允许其他角色访问。例如 users 控制器的 changePasswd、logout 动作就只有登录后的用户访问,而 register 和 login 只有未登录的用户才可以访问。
我们可以这样指定 ACL:
'users'=>array( 'actions'=>array( 'changePasswd'=>array( 'allow'=>'MEMBER' ) ), 'logout'=>array( 'allow'=>'MEMBER' ) ), 'register'=>array( 'allow'=>'ACL_NO_ROLE' ) ), 'login'=>array( 'allow'=>'ACL_NO_ROLE' ) ), ),
ACL_NO_ROLE 是一个 QeePHP 预定义的值,表示不具备任何角色的用户。而未登录的用户是肯定没有角色的,因此就实现了只有未登录用户才可以使用 register 和 login 动作的目的。
但是上面的书写方法在控制器中有很多动作时就显得啰嗦了,我们可以简化为:
'users'=>array( 'allow'=>'ACL_NO_ROLE', 'actions'=>array( 'changePasswd'=>array( 'allow'=>'MEMBER' ) ), 'logout'=>array( 'allow'=>'MEMBER' ) ), ),
直接为控制器指定访问规则。该规则也会应用到 users 的所有动作上。但这个默认规则可以通过单独指定来覆盖,所以在访问 changePasswd 和 logout 动作时还是以我们指定的为准。
上面的规则也可以写成:
'users'=>array( 'allow'=>'MEMBER', 'actions'=>array( 'register'=>array( 'allow'=>'ACL_NO_ROLE' ) ), 'login'=>array( 'allow'=>'ACL_NO_ROLE' ) ), ),
两者的区别在于后者为 users 的所有动作默认指定了必须有 MEMBER 角色才能访问,而 register 和 login 两个动作例外。这种写法相对于前一种更安全。因为你在 users 控制器中新添加的动作如果是需要授权的,那么可能因为忘了单独指定规则而造成安全漏洞。
为 todo 应用加上访问规则
现在为 todo 应用加上访问规则。编辑 _config/acl.config.php:
'users'=>array( 'allow'=>'ACL_HAS_ROLE', 'actions'=>array( 'register'=>array( 'allow'=>'ACL_NO_ROLE' ) ), 'login'=>array( 'allow'=>'ACL_NO_ROLE' ) ), ),
这里又出现了一个新的 QeePHP 预定义值“ACL_HAS_ROLE”,用来表示任何角色。因此上面规则的意思就是只要具有角色的用户都可以访问 users 控制器的动作。而 register 和 login 动作只能由没有角色的用户访问。
现在我们来试验一下。在未登录状态下访问 http://localhost/app/index.php?controller=users&action=changepasswd,可以看到如下画面:
拒绝访问的错误信息
这说明我们的 ACL 已经起作用了。再访问 http://localhost/app/index.php?controller=users&action=register 则可以看到注册页面,说明对 register 和 login 动作指定的规则成功覆盖了 users 控制器的默认规则。
改进访问控制的错误处理
上面的错误提示信息显然不够友好,我们需要定制这些错误信息,以便更好的引导用户正确使用我们的应用程序。
打开 _code/myapp.php 文件,找到 _on_access_denied() 方法,修改内容为:
protected function _on_access_denied() { $roles = $this->currentUserRoles(); if (empty($roles)) { // 如果当前用户没有角色,则转到登录页面 return new QView_Redirect(url('users/login')); } .... }
这样在未登录用户访问不具备权限的页面时,将自动重定向到登录页面。而已经登录的用户则仍然显示错误信息页面。我们可以进一步修改 _code/view/403.php 来定制更有意义的错误信息显示。
指定全局默认规则
随着开发的进行,我们会添加更多的控制器,为了避免因为忘了添加规则导致出现安全漏洞,我们可以将所有控制器的默认规则指定为不允许任何人访问。
在 acl.config.php中增加:
'ALL_CONTROLLERS'=>array('deny'=>'ACL_EVERYONE')
ALL_CONTROLLERS 表示所有的控制器,而 ACL_EVERYONE 表示任何人(不管用户有没有角色)。修改以后,当新增了控制器,这个控制器默认是不允许访问,这样可以提醒我们记得为控制器指定必要的访问规则。
完善 todo 的访问控制规则
下面我们把 todo 应用的完整访问规则写出来:
'users'=>array( 'allow'=>'ACL_HAS_ROLE', 'actions'=>array( 'register'=>array( 'allow'=>'ACL_NO_ROLE' ) ), 'login'=>array( 'allow'=>'ACL_NO_ROLE' ) ), ), 'tasks'=>array( 'allow'=>'ACL_HAS_ROLE' ), 'default'=>array( 'allow'=>'ACL_EVERYONE' ), 'ALL_CONTROLLERS'=>array( 'allow'=>'ACL_EVERYONE' ),