Previous Next

導入

Zend_Acl は、軽量で柔軟なアクセス制御リスト (ACL) 機能と権限管理機能を提供します。アプリケーションでは一般に、 保護されたオブジェクトへのアクセスを制御するためにこれらの機能を使用します。

このドキュメントにおいて、

  • リソース (Resource) とは、アクセス制御の対象となるオブジェクトのことです。

  • ロール (Role) とは、リソースに対してのアクセスを要求するオブジェクトのことです。

簡単に言うと、ロールがリソースに対してのアクセスを要求する ということです。たとえば、ある人が自動車を利用したいと考えているとしましょう。 この場合、自動車を誰が利用できるのかが管理されているとすると 「ある人」がロールで「自動車」がリソースとなります。

アクセス制御リスト (ACL) での設定によって、アプリケーションは 要求してきたオブジェクト (ロール) が制限されたオブジェクト (リソース) へのアクセスを認められているかどうかを制御します。

リソースについて

Zend_Acl では、リソースを作成するのは簡単です。Zend_Acl の Zend_Acl_Resource_Interface に、 開発者がリソースを作成するの手助けする機能が含まれています。 リソースクラスは、単にこのインターフェイスを実装するだけで作成できます。 このインターフェイスに含まれるメソッドはひとつだけで、それは getResourceId() です。このメソッドにより、 Zend_Acl はそのオブジェクトがリソースであると判断します。さらに、 基本的なリソースの実装を含む Zend_Acl_Resource が Zend_Acl にインクルードされています。 開発者は、必要な部分だけを拡張することでリソースを作成できます。

Zend_Acl は、ツリー構造を提供しています。これを用いて複数のリソース ("アクセス制御されているエリア") を追加することができます。 リソースはこのようにツリー構造で管理されるので、全般的なもの (ルートに近いほう) から特殊なもの (末端に近いほう) までを扱うことができます。 特定のリソースに対して問い合わせを行うと、 リソースの階層をたどって自動的に上位階層への問い合わせも行われます。 これにより、規則を階層化して管理すること実現できます。 たとえば、ある都市のすべての建物に適用されるデフォルトの規則がある場合に、 それを各建物に適用する代わりに都市に対して適用することができるようになります。 中にはこの規則の例外となる建物もあるかもしれません。 Zend_Acl では、このような状況も簡単に処理できます。 例外的な規則を適用する建物については、建物に対して直接規則を定義すればいいのです。 リソースは、単一のリソースしか継承することができません。 そしてその継承元のリソースがまた別の親リソースを継承し…… といった具合になります。

Zend_Acl は、リソースに対する権限 ("create"、"read"、"update"、"delete" など) もサポートしており、すべての権限あるいは一部の権限に影響を及ぼす規則を、 リソースに対して割り当てることができます。

ロールについて

リソースと同様、ロールを作成するのも簡単です。Zend_Acl の Zend_Acl_Role_Interface に、 開発者がロールを作成するの手助けする機能が含まれています。 ロールクラスは、単にこのインターフェイスを実装するだけで作成できます。 このインターフェイスに含まれるメソッドはひとつだけで、それは getRoleId() です。このメソッドにより、 Zend_Acl はそのオブジェクトがロールであると判断します。さらに、 基本的なロールの実装を含む Zend_Acl_Role が Zend_Acl にインクルードされています。 開発者は、必要な部分だけを拡張することでリソースを作成できます。

Zend_Acl では、あるロールは他の複数のロールを継承することができます。 これは、それぞれのロールの規則を継承することをサポートするためのものです。 たとえば、"sally" のようなユーザロールは、"editor" かつ "administrator" のように複数の親ロールに属することもありえるでしょう。 この場合、開発者は "editor" および "administrator" にそれぞれ別に規則を定義します。 そして "sally" がその両方を継承することにします。 "sally" に規則を直接定義する必要はありません。

複数のロールからの継承は非常に便利ですが、 多重継承は複雑な問題を引き起こすこともあります。 次の例は、あいまいな条件になったときに Zend_Acl がそれをどう解決するかを示すものです。

Example #1 ロールの多重継承

以下のコードでは、基本となる三つのロール "guest"、"member" および "admin" を定義しています。他のロールはこれらを継承することになります。 次に、"someUser" というロールを作成してこれらの三つのロールを継承します。 これらのロールが配列 $parents にあらわれる順序が重要となります。 問い合わせ先のロール (ここでは "someUser" にアクセス規則が定義されていないが その継承元 (ここでは "guest"、"member" および "admin") には定義されているという場合、Zend_Acl はそちらを検索します。

addRole(new Zend_Acl_Role('guest'))
    ->addRole(new Zend_Acl_Role('member'))
    ->addRole(new Zend_Acl_Role('admin'));

$parents = array('guest', 'member', 'admin');
$acl->addRole(new Zend_Acl_Role('someUser'), $parents);

require_once 'Zend/Acl/Resource.php';
$acl->add(new Zend_Acl_Resource('someResource'));

$acl->deny('guest', 'someResource');
$acl->allow('member', 'someResource');

echo $acl->isAllowed('someUser', 'someResource') ? 'allowed' : 'denied';

"someUser" ロールおよび "someResource" に対する規則は定義されていないので、 Zend_Acl は、その規則が "someUser" の継承元ロールで定義されているものとして検索します。 まず "admin" ロールを探しますが、ここではアクセス規則が定義されていません。 次に "member" ロールを探し、ここで Zend_Acl が規則を発見します。つまり "member" は "someResource" へのアクセスを許可されているということです。

しかし、仮に Zend_Acl がさらに別の親に対しても規則の検索を続けたとすると、 "guest" は "someResource" へのアクセスが拒否されていることに気づくことでしょう。 これは問題となります。というのも、"someUser" は "someResource" へのアクセスが許可されていると同時に拒否されているわけで、 それぞれ別の親ロールから取得した規則が衝突することになるからです。

Zend_Acl では、このような衝突の可能性を解決するために、 直近に継承されたロールの優先度が高くなるようにしています。 今回の場合は、"member" のほうが "guest" ロールより先に調べられ、例のコードの出力は "allowed" となります。

Note:

複数の親をロールに指定する場合は、承認クエリでの規則の検索順を覚えておきましょう。 最後に指定した親が最初に対象となります。

アクセス制御リスト (ACL) の作成

ACL を使用して、物理的あるいは仮想的なオブジェクトの組み合わせを お望みどおりに表現することができます。しかしここでは、説明用として、 基本的なコンテンツ管理システム (CMS) の ACL を考えます。 これは、さまざまな領域で複数階層のグループを管理するものです。 新しい ACL オブジェクトを作成するには、何もパラメータを指定せずに ACL のインスタンスを作成します。




        

Note:

開発者が "allow" 規則を指定しない限り、Zend_Acl はあらゆるロールのすべてのリソース上の権限からのアクセスも拒否します。

ロールの登録

コンテンツ管理システムでは、ほとんどすべての場面で権限階層の管理が必要となります。 これにより、ユーザの編集権限を決定します。たとえば 'Guest' グループに対してはデモ用に限定したアクセス権限のみを許可し、 'Staff' グループは通常の操作をする大半の CMS ユーザ用に作成し、 'Editor' グループにはコンテンツの公開やレビュー、保存や削除の権限を与え、 最後に 'Administrator' は、その他のすべてのグループの権限に加えて 機密情報の管理やユーザ管理、データのバックアップ/エクスポート機能を与えるといったようになります。 これらの権限を、ロールレジストリで表すことができます。 各グループの権限を '親の' グループから継承させ、 そのグループに固有の権限を追加で定義します。 これらの権限を整理すると、次のようになります。

サンプル CMS 用のアクセス制御
名前 権限 継承する権限の継承元
Guest View なし
Staff Edit, Submit, Revise Guest
Editor Publish, Archive, Delete Staff
Administrator (すべてのアクセスを許可) なし

この例では Zend_Acl_Role を用いていますが、 Zend_Acl_Role_Interface を実装しているオブジェクトなら何でも使用可能です。 これらのグループを、次のようにしてロールレジストリに追加します。

addRole($roleGuest);

// Staff は guest の権限を継承します
$acl->addRole(new Zend_Acl_Role('staff'), $roleGuest);

/* あるいは、上の内容は次のように書くこともできます
$acl->addRole(new Zend_Acl_Role('staff'), 'guest');
//*/

// Editor は staff の権限を継承します
$acl->addRole(new Zend_Acl_Role('editor'), 'staff');

// Administrator はアクセス制御を受け継ぎません
$acl->addRole(new Zend_Acl_Role('administrator'));

アクセス制御の定義

ACL に適切なロールが含まれた状態になりました。これで、リソースに対して ロールがどのようにアクセスするのかという規則を定義できる状態になりました。 この例では特定のリソースを定義していないことにお気づきかもしれません。 この場合、規則はすべてのリソースに対して適用されます。 Zend_Acl を使用すると、全般的なものであろうが特殊なものであろうが 規則を適用するだけで定義できるようになります。 リソースやロールは、その継承元で定義されている規則を引き継ぐからです。

Note:

一般に、Zend_Acl は指定された規則に従います。 ただし、より詳細な規則が別途適用されている場合は例外です。

そのため、複雑な規則の組み合わせを最小限のコードで定義できるようになります。 上で定義した基本的な権限を適用するには、次のようにします。

addRole($roleGuest);
$acl->addRole(new Zend_Acl_Role('staff'), $roleGuest);
$acl->addRole(new Zend_Acl_Role('editor'), 'staff');
$acl->addRole(new Zend_Acl_Role('administrator'));

// Guest は、コンテンツを閲覧することのみが可能です
$acl->allow($roleGuest, null, 'view');

/* 上と同じ内容を、このように書くこともできます
$acl->allow('guest', null, 'view');
//*/

// Staff は guest の権限をすべて引き継いだうえで、さらに追加の権限を必要とします
$acl->allow('staff', null, array('edit', 'submit', 'revise'));

// Editor は、staff の権限 (view、edit、submit および revise)
// を引き継いだうえで、さらに追加の権限を必要とします
$acl->allow('editor', null, array('publish', 'archive', 'delete'));

// Administrator は何も引き継ぎませんが、すべての権限が認められています
$acl->allow('administrator');

上の allow() のコールにおける null は、 規則をすべてのリソースに対して適用することを意味します。

ACL への問い合わせ

これで、柔軟な ACL が作成できました。これにより、 ウェブアプリケーションの使用者が、 ある機能を使用するために必要な権限を持っているかを調べられるようになりました。 問い合わせを行うのは簡単で、単に isAllowed() メソッドを使用するだけです。

isAllowed('guest', null, 'view') ?
     "allowed" : "denied"; // allowed となります

echo $acl->isAllowed('staff', null, 'publish') ?
     "allowed" : "denied"; // denied となります

echo $acl->isAllowed('staff', null, 'revise') ?
     "allowed" : "denied"; // allowed となります

echo $acl->isAllowed('editor', null, 'view') ?
     "allowed" : "denied"; // guest から引き継いでいるので allowed となります

echo $acl->isAllowed('editor', null, 'update') ?
     "allowed" : "denied"; // 'update' 用の規則がないので denied となります

echo $acl->isAllowed('administrator', null, 'view') ?
     "allowed" : "denied"; // administrator はすべての権限が許可されているので allowed となります

echo $acl->isAllowed('administrator') ?
     "allowed" : "denied"; // administrator はすべての権限が許可されているので allowed となります

echo $acl->isAllowed('administrator', null, 'update') ?
     "allowed" : "denied"; // administrator はすべての権限が許可されているので allowed となります
Previous Next
Introduction to Zend Framework
概要
インストール
Zend_Acl
導入
アクセス制御の洗練
高度な使用法
Zend_Auth
導入
データベースのテーブルでの認証
ダイジェスト認証
HTTP 認証アダプタ
LDAP 認証
Open ID 認証
Zend_Cache
導入
キャッシュの仕組み
Zend_Cache のフロントエンド
Zend_Cache のバックエンド
Zend_Captcha
Introduction
Captcha Operation
Captcha Adapters
Zend_Config
導入
動作原理
Zend_Config_Ini
Zend_Config_Xml
Zend_Console_Getopt
Getopt について
Getopt の規則の宣言
オプションおよび引数の取得
Zend_Console_Getopt の設定
Zend_Controller
Zend_Controller クイックスタート
Zend_Controller の基本
フロントコントローラ
リクエストオブジェクト
標準のルータ: Zend_Controller_Router_Rewrite
ディスパッチャ
アクションコントローラ
アクションヘルパー
レスポンスオブジェクト
プラグイン
モジュラーディレクトリ構造の規約の使用
MVC での例外
以前のバージョンからの移行
Zend_Currency
Zend_Currency について
通貨の操作方法
以前のバージョンからの移行
Zend_Date
導入
動作原理
基本メソッド
Zend_Date API の概要
日付の作成
日付関数全般用の定数
動作例
Zend_Db
Zend_Db_Adapter
Zend_Db_Statement
Zend_Db_Profiler
Zend_Db_Select
Zend_Db_Table
Zend_Db_Table_Row
Zend_Db_Table_Rowset
導入
Zend_Debug
変数の出力
Zend_Dojo
Introduction
Zend_Dojo_Data: dojo.data Envelopes
Dojo View Helpers
Dojo Form Elements and Decorators
Zend_Dom
導入
Zend_Dom_Query
Zend_Exception
例外の使用法
Zend_Feed
導入
フィードの読み込み
ウェブページからのフィードの取得
RSS フィードの使用
Atom フィードの使用
単一の Atom エントリの処理
フィードおよびエントリの構造の変更
独自のフィードクラスおよびエントリクラス
Zend_File
Zend_File_Transfer
Validators for Zend_File_Transfer
Zend_Filter
導入
標準のフィルタクラス群
フィルタチェイン
フィルタの書き方
Zend_Filter_Input
Zend_Filter_Inflector
Zend_Form
Zend_Form
Zend_Form クイックスタート
Zend_Form_Element を用いたフォーム要素の作成
Zend_Form によるフォームの作成
Zend_Form_Decorator による独自のフォームマークアップの作成
Zend Framework に同梱されている標準のフォーム要素
Zend Framework に同梱されている標準のデコレータ
Zend_Form の国際化
Zend_Form の高度な使用法
Zend_Gdata
Gdata について
AuthSub による認証
ClientLogin による認証
Google Calendar の使用法
Google Documents List Data API の使用法
Google Spreadsheets の使用法
Google Apps Provisioning の使用法
Google Base の使用法
YouTube Data API の使用法
Picasa Web Albums の使用法
Gdata の例外処理
Zend_Http
Zend_Http_Client - 導入
Zend_Http_Client - 高度な使用法
Zend_Http_Client - 接続アダプタ
Zend_Http_Cookie および Zend_Http_CookieJar
Zend_Http_Response
Zend_InfoCard
導入
Zend_Json
導入
基本的な使用法
JSON オブジェクト
XML から JSON への変換
Zend_Json_Server - JSON-RPC server
Zend_Layout
導入
Zend_Layout クイックスタート
Zend_Layout の設定オプション
Zend_Layout の高度な使用法
Zend_Ldap
導入
Zend_Loader
ファイルやクラスの動的な読み込み
プラグインのロード
Zend_Locale
導入
Zend_Locale の使用法
正規化および地域化
日付および時刻の扱い
ロケールがサポートする言語
ロケールがサポートする地域
Zend_Log
概要
ライター
フォーマッタ
フィルタ
Zend_Mail
導入
SMTP 経由での送信
SMTP 接続による複数のメールの送信
異なる転送手段の使用
HTML メール
ファイルの添付
受信者の追加
MIME バウンダリの制御
追加のヘッダ
文字セット
エンコーディング
SMTP 認証
セキュアな SMTP トランスポート
メールメッセージの読み込み
Zend_Measure
導入
計測値の作成
計測値の出力
計測値の操作
計測値の型
Zend_Memory
概要
メモリマネージャ
メモリオブジェクト
Zend_Mime
Zend_Mime
Zend_Mime_Message
Zend_Mime_Part
Zend_OpenId
導入
Zend_OpenId_Consumer の基本
Zend_OpenId_Provider
Zend_Paginator
Introduction
Usage
Configuration
Advanced usage
Zend_Pdf
導入
PDF ドキュメントの作成および読み込み
PDF ドキュメントへの変更内容の保存
ドキュメントのページ
描画
ドキュメントの情報およびメタデータ
Zend_Pdf モジュールの使用例
Zend_Registry
レジストリの使用法
Zend_Rest
導入
Zend_Rest_Client
Zend_Rest_Server
Zend_Search_Lucene
概要
インデックスの構築
インデックスの検索
クエリ言語
クエリ作成用の API
文字セット
拡張性
Java Lucene との相互運用
応用
ベストプラクティス
Zend_Server
導入
Zend_Server_Reflection
Zend_Service
導入
Zend_Service_Akismet
Zend_Service_Amazon
Zend_Service_Audioscrobbler
Zend_Service_Delicious
Zend_Service_Flickr
Zend_Service_Nirvanix
Zend_Service_ReCaptcha
Zend_Service_Simpy
導入
Zend_Service_StrikeIron
Zend_Service_StrikeIron: バンドルされているサービス
Zend_Service_StrikeIron: 応用編
Zend_Service_Technorati
Zend_Service_Yahoo
Zend_Session
導入
基本的な使用法
高度な使用法
グローバルセッションの管理
Zend_Session_SaveHandler_DbTable
Zend_Soap
Zend_Soap_Server
Zend_Soap_Client
WSDL Accessor
AutoDiscovery. Introduction
Class autodiscovering.
Functions autodiscovering.
Autodiscovering. Datatypes.
Zend_Test
Introduction
Zend_Test_PHPUnit
Zend_Text
Zend_Text_Figlet
Zend_TimeSync
導入
Zend_TimeSync の動作
Zend_Translate
導入
Zend_Translate のアダプタ
翻訳アダプタの使用法
Zend_Uri
Zend_Uri
Zend_Validate
導入
標準のバリデーションクラス群
バリデータチェイン
バリデータの書き方
Zend_Version
Zend Framework のバージョンの取得
Zend_View
導入
コントローラスクリプト
ビュースクリプト
ビューヘルパー
Zend_View_Abstract
Zend_Wildfire
Zend_Wildfire
Zend_XmlRpc
導入
Zend_XmlRpc_Client
Zend_XmlRpc_Server
Zend Framework のシステム要件
PHP のバージョン
PHP の拡張モジュール
Zend Framework のコンポーネント
Zend Framework の依存性
Zend Framework PHP 標準コーディング規約
概要
PHP ファイルの書式
命名規約
コーディングスタイル
著作権に関する情報