Previous Next

Einführung

Zend_Acl stellt eine Implementation von leichtgewichtigen und flexiblen Zugriffskontrolllisten (englisch "access control list", ACL) für die Rechteverwaltung bereit. Im Allgemeinen kann eine Anwendung derartige ACL's verwenden, um den Zugriff auf bestimmte, geschützte Objekte durch andere anfordernde Objekte zu kontrollieren.

In dieser Dokumentation

  • ist eine Ressource ein Objekt, auf das der Zugriff kontrolliert wird.

  • ist eine Rolle ein Objekt, dass den Zugriff auf eine Ressource anfordern kann.

Einfach ausgedrückt, fordern Rollen den Zugriff auf Ressourcen an. Wenn z.B. ein Parkplatzhalter den Zugriff auf ein Auto anfordert, ist der Parkplatzhalter die anfordernde Rolle und das Auto die Ressource, weil der Zugriff auf das Auto nicht jedem erlaubt ist.

Durch die Spezifikation und die Verwendung einer ACL kann eine Anwendung kontrollieren, wie Rollen den Zugriff auf Ressourcen eingeräumt bekommen.

Über Ressourcen

Das Erstellen einer Ressource ist in Zend_Acl sehr einfach. Zend_Acl stellt die Ressource Zend_Acl_Resource_Interface bereit, um das Erstellen von Ressourcen in Anwendungen zu ermöglichen. Eine Klasse muss nur dieses Interface implementieren, das nur aus einer einzelnen Methode, getResourceId(), besteht, damit Zend_Acl das Objekt als Ressource erkennen kann. Zusätzlich ist Zend_Acl_Resource in Zend_Acl als einfache Ressourcen Implementation enthalten, damit Entwickler sie wenn nötig erweitern können.

Zend_Acl stellt eine Baumstruktur bereit, in die mehrere Ressourcen aufgenommen werden können. Weil Ressourcen in solch einer Baumstruktur abgelegt werden, können sie vom Allgemeinen (von der Baumwurzel) bis zum Speziellen (zu den Baumblättern) organisiert werden. Abfragen auf einer bestimmten Ressource durchsuchen automatisch die Ressourcenhierarchie nach Regeln, die einer übergeordneten Ressource zugeordnet wurden, um die einfache Vererbung von Regeln zu ermöglichen. Wenn zum Beispiel eine Standardregel für jedes Gebäude einer Stadt gelten soll, würde man diese Regel einfach der Stadt zuordnen, anstatt die selbe Regel jedem Gebäude zuzuordnen. Einige Gebäude können dennoch Ausnahmen zu solch einer Regel erfordern, und dies kann in Zend_Acl einfach durch die Zuordnung solcher Ausnahmeregeln zo jedem der Gebäude erreicht werden, die eine Ausnahme erfordern. Eine Ressource kann nur von einer einziger übergeordneten Ressource erben, obwohl diese übergeordnete Ressource seine eigenen übergeordneten Ressourcen haben kann, und so weiter.

Zend_Acl unterstützt außerdem Rechte auf Ressourcen (z.B. "erstellen", "lesen", "aktualisieren", "löschen") damit der Entwickler Regeln zuordnen kann, die alle Rechte oder bestimmte Rechte von einer oder mehreren Ressourcen beeinflussen.

Über Rollen

Wie bei den Ressourcen, ist auch das Erstellen einer Rolle sehr einfach. Alle Rollen müssen Zend_Acl_Role_Interface implementieren. Dieses Interface besteht aus einer einzelnen Methode, getRoleId(), zusätzlich wird Zend_Acl_Role von Zend_Acl als einfache Rollen Implementation angeboten, damit Entwickler sie bei Bedarf erweitern können.

In Zend_Acl kann eine Rolle von einer oder mehreren Rollen erben. Dies soll die Vererbung von Regeln zwischen den Rollen ermöglichen. Zum Beispiel kann eine Benutzerrolle, wie "Sally" zu einer oder mehreren übergeordneten Rollen gehören, wie "Editor" und "Administrator". Der Entwickler kann zu "Editor" und "Administrator" getrennt Regeln zuordnen und "Sally" würde diese Regeln von beiden erben, ohne dass "Sally" direkt Regeln zugeordnet werden müssen.

Auch wenn die Möglichkeit der Vererbung von verschiedenen Rollen sehr nützlich ist, führt die mehrfache Vererbung auch einen gewissen Grad an Komplexität ein. Das folgende Beispiel illustriert die mehrdeutigen Bedingungen und wie Zend_Acl sie auflöst.

Example #1 Mehrfache Vererbung zwischen Rollen

Der folgende Code definiert drei Basis Rollen - "guest", "member" und "admin" - von denen andere Rollen erben können. Dann wird eine Rolle "someUser" eingerichtet, die von den drei anderen Rollen erbt. Die Reihenfolge, in der diese Rollen im $parents Array erscheinen, ist wichtig. Wenn notwendig, sucht Zend_Acl nach Zugriffsregeln nicht nur für die abgefragte Rolle (hier "someUser"), sondern auch für die Rollen, von denen die abgefragte Rolle erbt (hier "guest", "member" und "admin"):

$acl = new Zend_Acl();

$acl->addRole(new Zend_Acl_Role('guest'))
    ->addRole(new Zend_Acl_Role('member'))
    ->addRole(new Zend_Acl_Role('admin'));

$parents = array('guest', 'member', 'admin');
$acl->addRole(new Zend_Acl_Role('someUser'), $parents);

$acl->add(new Zend_Acl_Resource('someResource'));

$acl->deny('guest', 'someResource');
$acl->allow('member', 'someResource');

echo $acl->isAllowed('guest', 'someResource') ? 'allowed' : 'denied';

Da keine Regel speziell für die Rolle "someUser" und "someResource" definiert wurde, muss Zend_Acl nach Regeln suchen, die für Rollen definiert wurden, von denen "someUser" erbt. Zuerst wird die "admin" Rolle besucht, aber dort ist keine Zugriffsregel definiert. Als nächste wird die "member" Rolle besucht und Zend_Acl findet hier eine Regel, die angibt, dass "member" der Zugriff auf "someResource" erlaubt ist.

Wenn Zend_Acl fortfahren würde, die für weitere übergeordnete Rollen definierten Regeln zu untersuchen, würde heraus gefunden werden, dass "guest" der Zugriff auf "someResource" verboten ist. Diese Tatsache führt eine Mehrdeutigkeit ein, weil nun "someUser" der Zugriff auf "someResource" sowohl verboten als auch erlaubt ist, aufgrund der vererbten Regeln von verschiedenen übergeordnete Rollen, die miteinander im Konflikt stehen.

Zend_Acl löst diese Mehrdeutigkeit dadurch auf, dass eine Abfrage beendet wird, wenn die erste Regel gefunden wird, die direkt auf die Abfrage passt. In diesem Fall würde der Beispiel Code "allowed" ausgeben, weil die "member" Rolle vor der "guest" Rolle untersucht wird.

Note:

Wenn man mehrere übergeordnete Rollen angibt, sollte man beachten, dass die zuletzt gelistete Rolle als erstes nach Regeln durchsucht wird, die auf die Autorisierungsabfrage passen.

Erstellen einer Zugriffskontrollliste (ACL)

Eine Zugriffskontrollliste (im weiteren Verlauf nur ACL genannt) kann jeden gewünschten Satz von körperlichen oder virtuellen Objekten repräsentieren. Zu Demonstrationszwecken werden wir eine grundlegende ACL für ein Redaktionssystem (CMS) erstellen, die mehrere Schichten von Gruppen über eine Vielzahl von Bereichen verwaltet soll. Um ein ACL Objekt zu erstellen, instanzieren wir die ACL ohne Parameter:

$acl = new Zend_Acl();

Note:

Standardmäßig ist Zend_Acl eine "whitelist" Implementation, was bedeutet, dass Zend_Acl den Zugriff auf jedes Recht einer Ressource für jede Rolle verweigert, solange dies nicht vom Entwickler anders angegeben wird.

Rollen registrieren

CMS brauchen fast immer eine Hierarchie von Genehmigungen, um die Autorenfähigkeiten seiner Benutzer festzulegen. Es kann eine 'Guest' Gruppe geben, um beschränkten Zugriff zur Demonstration zu ermöglichen, eine 'Staff' Gruppe für die Mehrheit der CMS Nutzer, welche die meisten der alltäglichen Aufgaben erledigen, eine 'Editor' Gruppe für diejenigen, die für das Veröffentlichen, Überprüfen, Archivieren und Löschen von Inhalten zuständig sind, sowie eine 'Administrator' Gruppe, dessen Aufgabenbereiche alle der anderen Gruppen sowie die Pflege sensibler Informationen, der Benutzerverwaltung, der Back-End Konfigurationsdaten und die Datensicherung sowie der Export beinhalten. Diese Genehmigungen können durch eine Rollenregistrierung repräsentiert werden, die es jeder Gruppe erlaubt, die Rechte von 'übergeordneten' Gruppen zu erben sowie eindeutige Rechte nur für deren Gruppe bereit zu stellen. Diese Genehmigungen können wir folgt ausgedrückt werden:

Zugangsbeschränkung für ein Beispiel-CMS
Name Eindeutige Genehmigung Erbe Genehmigungen von
Guest View N/A
Staff Edit, Submit, Revise Guest
Editor Publish, Archive, Delete Staff
Administrator (bekommt kompletten Zugriff gewährt) N/A

Für dieses Beispiel wird Zend_Acl_Role verwendet, aber jedes Objekt wird akzeptiert, das Zend_Acl_Role_Interface implementiert. Diese Gruppen können zur Rollenregistrierung wie folgt hinzugefügt werden:

$acl = new Zend_Acl();

// Fügt Gruppen zur Rollenregistrierung hinzu unter Verwendung von Zend_Acl_Role
// Gast erbt keine Zugriffsrechte
$roleGuest = new Zend_Acl_Role('guest');
$acl->addRole($roleGuest);

// Mitarbeiter erbt von Gast
$acl->addRole(new Zend_Acl_Role('staff'), $roleGuest);

/*
Alternativ kann das obige wie folgt geschrieben werden:
$acl->addRole(new Zend_Acl_Role('staff'), 'guest');
*/

// Redakteur erbt von Mitarbeiter
$acl->addRole(new Zend_Acl_Role('editor'), 'staff');

// Administrator erbt keine Zugriffsrechte
$acl->addRole(new Zend_Acl_Role('administrator'));

Zugangsbeschränkung definieren

Nun, da die ACL die relevanten Rollen enthält, können Regeln eingerichtet werden, die definieren, wie auf Ressourcen durch Rollen zugegriffen werden darf. Es ist zu beachten, dass wir keine bestimmten Ressourcen in diesem Beispiel definiert haben, das vereinfacht wurde, um zu illustrieren, dass die Regeln für alle Ressourcen gelten. Zend_Acl stellt eine Implementation bereit, bei der Regeln nur vom Allgemeinen zum Speziellen definiert werden müssen, um die Anzahl der benötigten Regeln zu minimieren, weil Ressourcen und Rollen die Regeln erben, die in ihren Vorfahren definiert worden sind.

Note:

Generell, wendet Zend_Acl eine angegebene Regel dann und nur dann an, wenn eine speziellere Regel nicht passt.

Folglich können wir einen einigermaßen komplexen Regelsatz mit sehr wenig Code definieren. Um die grundlegenden Genehmigungen von oben anzugeben:

$acl = new Zend_Acl();

$roleGuest = new Zend_Acl_Role('guest');
$acl->addRole($roleGuest);
$acl->addRole(new Zend_Acl_Role('staff'), $roleGuest);
$acl->addRole(new Zend_Acl_Role('editor'), 'staff');
$acl->addRole(new Zend_Acl_Role('administrator'));

// Gäste dürfen Inhalte nur sehen
$acl->allow($roleGuest, null, 'view');

/*
Alternativ kann das obige wie folgt geschrieben werden:
$acl->allow('guest', null, 'view');
*/

// Mitarbeiter erbt 'ansehen' Rechte von Gast, benötigt aber zusätzliche Rechte
$acl->allow('staff', null, array('edit', 'submit', 'revise'));

// Redakteuer erbt 'ansehen', 'bearbeiten', 'absenden' und 'revidieren' Rechte von Mitarbeiter,
// benötigt aber zusätzliche Rechte
$acl->allow('editor', null, array('publish', 'archive', 'delete'));

// Administrator erbt gar nichts, aber erhält alle Rechte
$acl->allow('administrator');

Die null Werte im obigen allow() Aufrufen werden verwendet, um anzugeben, dass diese Regeln für alle Ressourcen gelten.

Die ACL abfragen

Wir haben nun eine flexible ACL, die in der gesamten Anwendung verwendet werden kann, um zu ermitteln, ob Anfragende die Genehmigung haben, Funktionen auszuführen. Abfragen durchzuführen ist recht einfach mit Hilfe der isAllowed() Methode:

echo $acl->isAllowed('guest', null, 'view') ?
     "allowed" : "denied";
// erlaubt

echo $acl->isAllowed('staff', null, 'publish') ?
     "allowed" : "denied";
// verweigert

echo $acl->isAllowed('staff', null, 'revise') ?
     "allowed" : "denied";
// erlaubt

echo $acl->isAllowed('editor', null, 'view') ?
     "allowed" : "denied";
// erlaubt wegen der Vererbung von Gast

echo $acl->isAllowed('editor', null, 'update') ?
     "allowed" : "denied";
// verweigert, weil es keine erlaubte Regel für 'update' gibt

echo $acl->isAllowed('administrator', null, 'view') ?
     "allowed" : "denied";
// erlaubt, weil Administrator alle Rechte haben

echo $acl->isAllowed('administrator') ?
     "allowed" : "denied";
// erlaubt, weil Administrator alle Rechte haben

echo $acl->isAllowed('administrator', null, 'update') ?
     "allowed" : "denied";
// erlaubt, weil Administrator alle Rechte haben
Previous Next
Introduction to Zend Framework
Übersicht
Installation
Zend_Acl
Einführung
Verfeinern der Zugriffskontrolle
Fortgeschrittene Verwendung
Zend_Amf
Einführung
Zend_Amf_Server
Zend_Auth
Einführung
Datenbanktabellen Authentifizierung
Digest Authentication
HTTP Authentication Adapter
LDAP Authentifizierung
Open ID Authentifikation
Zend_Cache
Einführung
Die Theorie des Cachens
Zend_Cache Frontends
Zend_Cache Backends
Zend_Captcha
Einführung
Captcha Anwendung
Captcha Adapter
Zend_Config
Einleitung
Theory of Operation
Zend_Config_Ini
Zend_Config_Xml
Zend_Config_Writer
Zend_Config_Writer
Zend_Console_Getopt
Einführung in Getopt
Definieren von Getopt Regeln
Holen von Optionen und Argumenten
Konfigurieren von Zend_Console_Getopt
Zend_Controller
Zend_Controller Schnellstart
Zend_Controller Grundlagen
Der Front Controller
Das Request Objekt
Der Standard Router
Der Dispatcher
Action Kontroller
Action Helfer
Das Response Objekt
Plugins
Eine konventionelle modulare Verzeichnis Struktur verwenden
MVC Ausnahmen
Migration von vorhergehenden Versionen
Zend_Currency
Einführung in Zend_Currency
Arbeiten mit Währungen
Migration von vorhergehenden Versionen
Zend_Date
Einführung
Theorie der Arbeitsweise
Basis Methoden
Zend_Date API Übersicht
Erstellen von Datumswerten
Konstanten für generelle Datums Funktionen
Funktionierende Beispiele
Zend_Db
Zend_Db_Adapter
Zend_Db_Statement
Zend_Db_Profiler
Zend_Db_Select
Zend_Db_Table
Zend_Db_Table_Row
Zend_Db_Table_Rowset
Zend_Db_Table Relationships
Zend_Debug
Variablen ausgeben
Zend_Dojo
Einführung
Zend_Dojo_Data: dojo.data Envelopes
Dojo View Helfer
Dojo Form Elemente und Dekoratore
Zend_Dom
Einführung
Zend_Dom_Query
Zend_Exception
Verwenden von Ausnahmen
Zend_Feed
Einführung
Feeds importieren
Feeds von Websites abrufen
Einen RSS Feed konsumieren
Einen Atom Feed konsumieren
Einen einzelnen Atom Eintrag konsumieren
Verändern der Feed- und Eintragsstruktur
Eigene Klassen für Feeds und Einträge
Zend_File
Zend_File_Transfer
Prüfungen für Zend_File_Transfer
Filter für Zend_File_Transfer
Migration von vorhergehenden Versionen
Zend_Filter
Einführung
Standard Filter Klassen
Filter Ketten
Filter schreiben
Zend_Filter_Input
Zend_Filter_Inflector
Zend_Form
Zend_Form
Schnellstart mit Zend_Form
Erstellen von Form Elementen mit Hilfe von Zend_Form_Element
Erstellen von Form durch Verwendung von Zend_Form
Erstellen von eigenem Form Markup durch Zend_Form_Decorator
Standard Form Elemente die mit dem With Zend Framework ausgeliefert werden
Standard Form Dekoratore die mit dem Zend Framework ausgeliefert werden
Internationalisierung von Zend_Form
Fortgeschrittene Verwendung von Zend_Form
Zend_Gdata
Einführung zu Gdata
Authentifizierung mit AuthSub
Die Buchsuche Daten API verwenden
Authentifizieren mit ClientLogin
Google Kalender verwenden
Verwenden der Google Dokumente Listen Daten API
Using Google Health
Google Tabellenkalkulation verwenden
Google Apps Provisionierung verwenden
Google Base verwenden
Picasa Web Alben verwenden
Verwenden der YouTube Daten API
Gdata Ausnahmen auffangen
Zend_Http
Zend_Http_Client - Einführung
Zend_Http_Client - Fortgeschrittende Nutzung
Zend_Http_Client - Verbindungsadapter
Zend_Http_Cookie und Zend_Http_CookieJar
Zend_Http_Response
Zend_InfoCard
Einführung
Zend_Json
Einführung
Grundlegende Verwendung
JSON Objects
XML zu JSON Konvertierung
Zend_Json_Server - JSON-RPC server
Zend_Layout
Einführung
Zend_Layout Schnellstart
Zend_Layout Konfigurations Optionen
Erweiterte Verwendung von Zend_Layout
Zend_Ldap
Einleitung
Zend_Loader
Dynamisches Laden von Dateien und Klassen
Plugins laden
Zend_Locale
Einführung
Zend_Locale verwenden
Normalisierung und Lokalisierung
Arbeiten mit Daten und Zeiten
Unterstützte Gebietsschemata
Migrieren von vorhergehenden Versionen
Zend_Log
Übersicht
Writer
Formatter
Filter
Zend_Mail
Einführung
Versand über SMTP
Versand von mehreren E-Mails über eine SMTP Verbindung
Verwendung von unterschiedlichen Versandwegen
HTML E-Mail
Anhänge
Empfänger hinzufügen
Die MIME Abgrenzung kontrollieren
Zusätzliche Kopfzeilen
Zeichensätze
Kodierung
SMTP Authentifizierung
SMTP Übertragungen sichern
Lesen von Mail Nachrichten
Zend_Measure
Einführung
Erstellung einer Maßeinheit
Ausgabe von Maßeinheiten
Manipulation von Maßeinheiten
Arten von Maßeinheiten
Zend_Memory
Übersicht
Memory Manager
Memory Objekte
Zend_Mime
Zend_Mime
Zend_Mime_Message
Zend_Mime_Part
Zend_OpenId
Einführung
Zend_OpenId_Consumer Grundlagen
Zend_OpenId_Provider
Zend_Paginator
Einführung
Verwendung
Konfiguration
Advanced usage
Zend_Pdf
Einführung
Erstellen und Laden von PDF Dokumenten
Änderungen von PDF Dokumenten speichern
Dokument Seiten
Zeichnen
Dokument Informationen und Metadaten
Anwendungsbeispiel für die Zend_Pdf Komponente
Zend_ProgressBar
Zend_ProgressBar
Zend_Registry
Die Registry verwenden
Zend_Rest
Einführung
Zend_Rest_Client
Zend_Rest_Server
Zend_Search_Lucene
Überblick
Indexerstellung
Einen Index durchsuchen
Abfragesprache
Abfrage Erzeugungs API
Zeichensätze
Erweiterbarkeit
Zusammenarbeit Mit Java Lucene
Erweitert
Die besten Anwendungen
Zend_Server
Einführung
Zend_Server_Reflection
Zend_Service
Einführung
Zend_Service_Akismet
Zend_Service_Amazon
Zend_Service_Audioscrobbler
Zend_Service_Delicious
Zend_Service_Flickr
Zend_Service_Nirvanix
Zend_Service_ReCaptcha
Zend_Service_Simpy
Einführung
Zend_Service_StrikeIron
Zend_Service_StrikeIron: Mitgelieferte Services
Zend_Service_StrikeIron: Erweiterte Verwendung
Zend_Service_Technorati
Zend_Service_Twitter
Zend_Service_Yahoo
Zend_Session
Einführung
Grundsätzliche Verwendung
Fortgeschrittene Benutzung
Globales Session Management
Zend_Session_SaveHandler_DbTable
Zend_Soap
Zend_Soap_Server
Zend_Soap_Client
WSDL Zugriffsmethoden
AutoDiscovery
Zend_Test
Einführung
Zend_Test_PHPUnit
Zend_Text
Zend_Text_Figlet
Zend_Text_Table
Zend_TimeSync
Einführung
Arbeiten mit Zend_TimeSync
Zend_Translate
Einführung
Adapter für Zend_Translate
Benutzen von Übersetzungs Adaptoren
Migration von vorhergehenden Versionen
Zend_Uri
Zend_Uri
Zend_Validate
Einführung
Standard Prüfklassen
Kettenprüfungen
Schreiben von Prüfern
Zend_Version
Auslesen der Version des Zend Frameworks
Zend_View
Einführung
Controller Skripte
View Scripte
View Helfer
Zend_View_Abstract
Zend_Wildfire
Zend_Wildfire
Zend_XmlRpc
Einführung
Zend_XmlRpc_Client
Zend_XmlRpc_Server
Zend Framework Voraussetzungen
PHP Version
PHP Erweiterungen
Zend Framework Komponenten
Zend Framework Abhängigkeiten
Zend Framework Coding Standard für PHP
Übersicht
PHP Dateiformatierung
Namens Konventionen
Code Stil
Zend Framework Performance Guide
Einführung
Laden von Klassen
Internationalisierung (I18n) und Lokalisierung (L10n)
Darstellen der View
Urheberrecht Informationen