Actief Topic: Webprojects ACL ?

Ik zit al een tijdje te denken om een ACL (Access Control List) in Webprojects te integreren (samen met Koen). Nu heb ik een heel ruwe basis gemaakt: [code=php] <?php include('acl.class.php'); // Een nieuwe instantie van de ACL klasse maken $acl = new acl; // De resources (acties die een user mag doen) instellen $acl->add(new acl_resource('edit')) ->add(new acl_resource('delete')) ->add(new acl_resource('post')); // En de gebruikersrollen instellen. $acl->add(new acl_role('lid')) ->add(new acl_role('moderator')) ->add(new acl_role('administrator')); // Een lid mag posten $acl->allow('lid', 'post') // Een moderator mag alles wat een lid ook mag ->extend('moderator', 'lid') // Maar een moderator mag ook editen ->allow('moderator', 'edit') // En de administrator mag ook wat een moderator kan ->extend('administrator', 'moderator') // En de admin mag ook dingen wissen ->allow('administrator', 'delete'); ?> [/code] En mijn ACL: [code=php] <?php /* * @author Sebastiaan Franken <sebastiaan@sebastiaanfranken.nl> * @version 2.1 */ class acl { protected $roles = array(); protected $resources = array(); protected $rules = array(); public function add($instance) { if($instance instanceof acl_role) { return $this->addRole($instance); } elseif($instance instanceof acl_resource) { return $this->addResource($instance); } throw new Exception('Dit is geen geldige instantie om aan acl toe te voegen'); } public function addRole(acl_role $role) { $this->roles[(string)$role] = $role; return $this; } public function addResource(acl_resource $resource) { $this->resources[(string)$resource] = $resource; return $this; } private function isInstance($item, $instance) { if($instance === 'acl_role') { if($item instanceof acl_role) { return $item; } } elseif($instance === 'acl_resource') { if($item instanceof acl_resource) { return $item; } } else { throw new Exception('Er is iets fout gegaan in isInstance'); } } protected function getRole($role) { /* if($role instanceof acl_role) { return $role; } */ $this->isInstance($role, 'acl_role'); if(isset($this->roles[(string)$role])) { $role = $this->roles[(string)$role]; /* if($role instanceof acl_role) { return $role; } */ $this->isInstance($role, 'acl_role'); } throw new Exception('Deze rol ('.$role.') bestaat niet'); } protected function getResource($resource) { /* if($resource instanceof acl_resource) { return $resource; } */ $this->isInstance($resource, 'acl_resource'); if(isset($this->resources[(string)$resource])) { $resource = $this->resources[(string)$resource]; /* if($resource instanceof acl_resource) { return $resource; } */ $this->isInstance($resource, 'acl_resource'); } throw new Exception('Deze resource ('.$resource.') bestaat niet'); } protected function getRule(acl_role $role) { $roleName = (string)$role; if(isset($this->rules[$roleName])) { return $this->rules[$roleName]; } return 0; } protected function setRule(acl_role $role, $value) { $roleName = (string)$role; $this->rules[$roleName] = $value; } public function allow($role, $resource) { $role = $this->getRole($role); $resource = $this->getResource($resource); $this->setRule($role, $this->getRule($role) | $resource->getBit()); return $this; } public function extend($role, $extendRole) { $role = $this->getRole($role); $extendRole = $this->getRole($extendRole): $this->setRule($role, $this->getRule($role) | $this->getRule($extendRole)); return $this; } public function deny($role, $resource) { $role = $this->getRole($role); $resource = $this->getResource($resource); if(!$this->getRule($role) === 0) { return $this; } $allow = decbin($this->getRule($role)); $length = strlen($allow); $resBits = decbin($resource->getBit()); $resLength = strlen($resBits); for($i=1;$i<=$length;$i++) { if(isset($resBits{$resLength-$i}) and $allow{$length-$i} == $resBits{$resLength-$i}) { $allow{$length-$i} = 0; } } $this->setRule($role, bindec($allow)); return $this; } public function isAllowed($role, $resource) { $resource = $this->getResource($resource); return (bool)($resource->getBit() & $this->getRule($this->getRole($role))); } } class acl_role { protected $name; public function __construct($name) { $this->name = $name; } public function __toString() { return (string)$this->name; } } class acl_resource { protected $name; protected $bit; static public $exp = 0; public function __construct($name) { $this->bit = pow(2, self::$exp++); $this->name = $name; } public function getBit() { return (int)$this->bit; } public function __toString() { return (string)$this->name; } } ?> [/code] Ik heb (helaas) nog niet zoveel verstand van ACL. Kan iemand me wat verder helpen en/of tips geven hoe dit het best in Webprojects in te bakken is?

Ik heb hier ook nog niet veel ervaring mee. Zowieo wil ik dit systeem eerst los testen en uitwerken zodat ik niet 100 keer alles hoef aan te passen.

[quote=vlerknozem]Zowieo wil ik dit systeem eerst los testen en uitwerken zodat ik niet 100 keer alles hoef aan te passen. [/quote] Verstandig. Maar je bent het wel met mee eens dat dit een makkelijkere manier van rechten geven is dan dat er nu in WP zit?

Ik denk van wel :)

Oke ik heb even zitten denken en het lijkt me slim om per module een ACL klasse te maken. Hierdoor krijg je niet dat je in module A de rechten van module B overschrijft (dat zou ten koste gaan van de veiligheid). In de constructor van een module wil ik dan de roles toevoegen en met $this->acl kan je de klasse dan benaderen. De roles wil ik toevoegen vanuit een role bestand per module. Met de module pAdmin zou het mogelijk moeten worden om deze role-bestandjes te wijzigen op een simpele en goede manier (hoe precies weet ik nog niet). Zodra dit systeem is ingebakken moet het paralel werken ten opzichte van het oude rechten systeem. Hierdoor zal alles nog normaal werken. Vervolgens met een test module kijken of alles naar behoren werkt. Als we tevreden zijn dan kunnen we een voor een elke module en plugin aanpassen op dit systeem en zodra alles geupdate is kan het oude systeem eruit worden gebouwd. --- Wat denk van dit voorstel sebas?

Een wijs idee, op een ding na. Ik zou een basis ACL permissie file maken (waar je de basis inzet) en als het nodig is per module een aanpassing. Dus niet voor elke module een ACL instantie, maar meer een uitbreiding op een bestaande ACL.

Ja oke daar zit wat in :) Heb alleen nog even geen idee hoe dat het beste uitgewerkt kan worden.

Zoals ik zei: elke module/plugin de standaard ACL file (waar alle allow's, deny's enzo inzitten) laten includen en als een mod/plugin iets anders vereist dat zo instellen (dus dan [b]niet[/b] de standaard acl file includen)