Previous Next

導入

Zend_Acl は、軽量で柔軟なアクセス制御リスト (ACL) 機能と権限管理機能を提供します。アプリケーションでは一般に、 保護されたオブジェクトへのアクセスを制御するためにこれらの機能を使用します。

このドキュメントにおいて、

  • リソース (Resource) とは、アクセス制御の対象となるオブジェクトのことです。

  • ロール (Role) とは、リソースに対してのアクセスを要求するオブジェクトのことです。

簡単に言うと、ロールがリソースに対してのアクセスを要求する ということです。たとえば、ある人が自動車を利用したいと考えているとしましょう。 この場合、自動車を誰が利用できるのかが管理されているとすると 「ある人」がロールで「自動車」がリソースとなります。

アクセス制御リスト (ACL) での設定によって、アプリケーションは 要求してきたオブジェクト (ロール) が制限されたオブジェクト (リソース) へのアクセスを認められているかどうかを制御します。

リソース

Zend_Acl では、リソースを作成するのは簡単です。Zend_AclZend_Acl_Resource_Interface に、 開発者がリソースを作成するの手助けする機能が含まれています。 リソースクラスは、単にこのインターフェイスを実装するだけで作成できます。 このインターフェイスに含まれるメソッドはひとつだけで、それは getResourceId() です。このメソッドにより、 Zend_Acl はそのオブジェクトがリソースであると判断します。さらに、 基本的なリソースの実装を含む Zend_Acl_ResourceZend_Acl にインクルードされています。 開発者は、必要な部分だけを拡張することでリソースを作成できます。

Zend_Acl は、ツリー構造を提供しています。これを用いて複数のリソース ("アクセス制御されているエリア") を追加することができます。 リソースはこのようにツリー構造で管理されるので、全般的なもの (ルートに近いほう) から特殊なもの (末端に近いほう) までを扱うことができます。 特定のリソースに対して問い合わせを行うと、 リソースの階層をたどって自動的に上位階層への問い合わせも行われます。 これにより、規則を階層化して管理すること実現できます。 たとえば、ある都市のすべての建物に適用されるデフォルトの規則がある場合に、 それを各建物に適用する代わりに都市に対して適用することができるようになります。 中にはこの規則の例外となる建物もあるかもしれません。 Zend_Acl では、このような状況も簡単に処理できます。 例外的な規則を適用する建物については、建物に対して直接規則を定義すればいいのです。 リソースは、単一のリソースしか継承することができません。 そしてその継承元のリソースがまた別の親リソースを継承し…… といった具合になります。

Zend_Acl は、リソースに対する権限 ("create"、"read"、"update"、"delete" など) もサポートしており、すべての権限あるいは一部の権限に影響を及ぼす規則を、 リソースに対して割り当てることができます。

ロール

リソースと同様、ロールを作成するのも簡単です。Zend_Acl の Zend_Acl_Role_Interface に、 開発者がロールを作成するの手助けする機能が含まれています。 ロールクラスは、単にこのインターフェイスを実装するだけで作成できます。 このインターフェイスに含まれるメソッドはひとつだけで、それは getRoleId() です。このメソッドにより、 Zend_Acl はそのオブジェクトがロールであると判断します。さらに、 基本的なロールの実装を含む Zend_Acl_RoleZend_Acl にインクルードされています。 開発者は、必要な部分だけを拡張することでリソースを作成できます。

Zend_Acl では、あるロールは他の複数のロールを継承することができます。 これは、それぞれのロールの規則を継承することをサポートするためのものです。 たとえば、"sally" のようなユーザロールは、"editor" かつ "administrator" のように複数の親ロールに属することもありえるでしょう。 この場合、開発者は "editor" および "administrator" にそれぞれ別に規則を定義します。 そして "sally" がその両方を継承することにします。 "sally" に規則を直接定義する必要はありません。

複数のロールからの継承は非常に便利ですが、 多重継承は複雑な問題を引き起こすこともあります。 次の例は、あいまいな条件になったときに Zend_Acl がそれをどう解決するかを示すものです。

Example #1 ロールの多重継承

以下のコードでは、基本となる三つのロール "guest"、"member" および "admin" を定義しています。他のロールはこれらを継承することになります。 次に、"someUser" というロールを作成してこれらの三つのロールを継承します。 これらのロールが配列 $parents にあらわれる順序が重要となります。 問い合わせ先のロール (ここでは "someUser" にアクセス規則が定義されていないが その継承元 (ここでは "guest"、"member" および "admin") には定義されているという場合、Zend_Acl はそちらを検索します。

$acl = new Zend_Acl();

$acl->addRole(new Zend_Acl_Role('guest'))
    ->addRole(new Zend_Acl_Role('member'))
    ->addRole(new Zend_Acl_Role('admin'));

$parents = array('guest', 'member', 'admin');
$acl->addRole(new Zend_Acl_Role('someUser'), $parents);

$acl->add(new Zend_Acl_Resource('someResource'));

$acl->deny('guest', 'someResource');
$acl->allow('member', 'someResource');

echo $acl->isAllowed('someUser', 'someResource') ? 'allowed' : 'denied';

"someUser" ロールおよび "someResource" に対する規則は定義されていないので、 Zend_Acl は、その規則が "someUser" の継承元ロールで定義されているものとして検索します。 まず "admin" ロールを探しますが、ここではアクセス規則が定義されていません。 次に "member" ロールを探し、ここで Zend_Acl が規則を発見します。つまり "member" は "someResource" へのアクセスを許可されているということです。

しかし、仮に Zend_Acl がさらに別の親に対しても規則の検索を続けたとすると、 "guest" は "someResource" へのアクセスが拒否されていることに気づくことでしょう。 これは問題となります。というのも、"someUser" は "someResource" へのアクセスが許可されていると同時に拒否されているわけで、 それぞれ別の親ロールから取得した規則が衝突することになるからです。

Zend_Acl では、このような衝突の可能性を解決するために、 直近に継承されたロールの優先度が高くなるようにしています。 今回の場合は、"member" のほうが "guest" ロールより先に調べられ、例のコードの出力は "allowed" となります。

Note:

複数の親をロールに指定する場合は、承認クエリでの規則の検索順を覚えておきましょう。 最後に指定した親が最初に対象となります。

アクセス制御リストの作成

アクセス制御リスト (ACL) を使用して、物理的あるいは仮想的なオブジェクトの組み合わせを お望みどおりに表現することができます。しかしここでは、説明用として、 基本的なコンテンツ管理システム (CMS) の ACL を考えます。 これは、さまざまな領域で複数階層のグループを管理するものです。 新しい ACL オブジェクトを作成するには、何もパラメータを指定せずに ACL のインスタンスを作成します。

$acl = new Zend_Acl();

Note:

開発者が "allow" 規則を指定しない限り、Zend_Acl はあらゆるロールのすべてのリソース上の権限からのアクセスも拒否します。

ロールの登録

コンテンツ管理システムでは、ほとんどすべての場面で権限階層の管理が必要となります。 これにより、ユーザの編集権限を決定します。たとえば 'Guest' グループに対してはデモ用に限定したアクセス権限のみを許可し、 'Staff' グループは通常の操作をする大半の CMS ユーザ用に作成し、 'Editor' グループにはコンテンツの公開やレビュー、保存や削除の権限を与え、 最後に 'Administrator' は、その他のすべてのグループの権限に加えて 機密情報の管理やユーザ管理、バックエンドの設定データ、 バックアップ、そしてエクスポート機能を与えるといったようになります。 これらの権限を、ロールレジストリで表すことができます。 各グループの権限を '親の' グループから継承させ、 そのグループに固有の権限を追加で定義します。 これらの権限を整理すると、次のようになります。

サンプル CMS 用のアクセス制御
名前 権限 継承する権限の継承元
Guest View なし
Staff Edit, Submit, Revise Guest
Editor Publish, Archive, Delete Staff
Administrator (すべてのアクセスを許可) なし

この例では Zend_Acl_Role を用いていますが、 Zend_Acl_Role_Interface を実装しているオブジェクトなら何でも使用可能です。 これらのグループを、次のようにしてロールレジストリに追加します。

$acl = new Zend_Acl();

// Zend_Acl_Role を使用して、グループをロールレジストリに追加します
// Guest はアクセス制御を受け継ぎません
$roleGuest = new Zend_Acl_Role('guest');
$acl->addRole($roleGuest);

// Staff は guest の権限を継承します
$acl->addRole(new Zend_Acl_Role('staff'), $roleGuest);

/*
あるいは、上の内容は次のように書くこともできます
$acl->addRole(new Zend_Acl_Role('staff'), 'guest');
*/

// Editor は staff の権限を継承します
$acl->addRole(new Zend_Acl_Role('editor'), 'staff');

// Administrator はアクセス制御を受け継ぎません
$acl->addRole(new Zend_Acl_Role('administrator'));

アクセス制御の定義

ACL に適切なロールが含まれた状態になりました。これで、リソースに対して ロールがどのようにアクセスするのかという規則を定義できる状態になりました。 この例では特定のリソースを定義していないことにお気づきかもしれません。 この場合、規則はすべてのリソースに対して適用されます。 Zend_Acl を使用すると、全般的なものであろうが特殊なものであろうが 規則を適用するだけで定義できるようになります。 リソースやロールは、その継承元で定義されている規則を引き継ぐからです。

Note:

一般に、Zend_Acl は指定された規則に従います。 ただし、より詳細な規則が別途適用されている場合は例外です。

そのため、複雑な規則の組み合わせを最小限のコードで定義できるようになります。 上で定義した基本的な権限を適用するには、次のようにします。

$acl = new Zend_Acl();

$roleGuest = new Zend_Acl_Role('guest');
$acl->addRole($roleGuest);
$acl->addRole(new Zend_Acl_Role('staff'), $roleGuest);
$acl->addRole(new Zend_Acl_Role('editor'), 'staff');
$acl->addRole(new Zend_Acl_Role('administrator'));

// Guest は、コンテンツを閲覧することのみが可能です
$acl->allow($roleGuest, null, 'view');

/*
上と同じ内容を、このように書くこともできます
$acl->allow('guest', null, 'view');
//*/

// Staff は guest の権限をすべて引き継いだうえで、さらに追加の権限を必要とします
$acl->allow('staff', null, array('edit', 'submit', 'revise'));

// Editor は、staff の権限 (view、edit、submit および revise)
// を引き継いだうえで、さらに追加の権限を必要とします
$acl->allow('editor', null, array('publish', 'archive', 'delete'));

// Administrator は何も引き継ぎませんが、すべての権限が認められています
$acl->allow('administrator');

上の allow() のコールにおける NULL は、 規則をすべてのリソースに対して適用することを意味します。

ACL への問い合わせ

これで、柔軟な ACL が作成できました。これにより、 ウェブアプリケーションの使用者が、 ある機能を使用するために必要な権限を持っているかを調べられるようになりました。 問い合わせを行うのは簡単で、単に isAllowed() メソッドを使用するだけです。

echo $acl->isAllowed('guest', null, 'view') ?
     "allowed" : "denied";
// allowed となります

echo $acl->isAllowed('staff', null, 'publish') ?
     "allowed" : "denied";
// denied となります

echo $acl->isAllowed('staff', null, 'revise') ?
     "allowed" : "denied";
// allowed となります

echo $acl->isAllowed('editor', null, 'view') ?
     "allowed" : "denied";
// guest から引き継いでいるので allowed となります

echo $acl->isAllowed('editor', null, 'update') ?
     "allowed" : "denied";
// 'update' 用の規則がないので denied となります

echo $acl->isAllowed('administrator', null, 'view') ?
     "allowed" : "denied";
// administrator はすべての権限が許可されているので allowed となります

echo $acl->isAllowed('administrator') ?
     "allowed" : "denied";
// administrator はすべての権限が許可されているので allowed となります

echo $acl->isAllowed('administrator', null, 'update') ?
     "allowed" : "denied";
// administrator はすべての権限が許可されているので allowed となります
Previous Next
Introduction to Zend Framework
概要
インストール
Zend_Acl
導入
アクセス制御の洗練
高度な使用法
Zend_Amf
導入
Zend_Amf_Server
Zend_Application
導入
Zend_Application Quick Start
Theory of Operation
Examples
コア機能
利用できるリソースプラグイン
Zend_Auth
導入
データベースのテーブルでの認証
ダイジェスト認証
HTTP 認証アダプタ
LDAP 認証
Open ID 認証
Zend_Cache
導入
キャッシュの仕組み
Zend_Cache のフロントエンド
Zend_Cache のバックエンド
Zend_Captcha
導入
Captcha の方法
CAPTCHA アダプタ
Zend_CodeGenerator
導入
Zend_CodeGeneratorサンプル
Zend_CodeGeneratorリファレンス
Zend_Config
導入
動作原理
Zend_Config_Ini
Zend_Config_Xml
Zend_Config_Writer
Zend_Config_Writer
Zend_Console_Getopt
導入
Getopt の規則の宣言
オプションおよび引数の取得
Zend_Console_Getopt の設定
Zend_Controller
Zend_Controller クイックスタート
Zend_Controller の基本
フロントコントローラ
リクエストオブジェクト
標準のルータ
ディスパッチャ
アクションコントローラ
アクションヘルパー
レスポンスオブジェクト
プラグイン
モジュラーディレクトリ構造の規約の使用
MVC での例外
以前のバージョンからの移行
Zend_Currency
Zend_Currency について
通貨の操作方法
以前のバージョンからの移行
Zend_Date
導入
動作原理
基本メソッド
Zend_Date API の概要
日付の作成
日付関数全般用の定数
動作例
Zend_Db
Zend_Db_Adapter
Zend_Db_Statement
Zend_Db_Profiler
Zend_Db_Select
Zend_Db_Table
Zend_Db_Table_Row
Zend_Db_Table_Rowset
導入
Zend_Debug
変数の出力
Zend_Dojo
導入
Zend_Dojo_Data: dojo.data エンベロープ
Dojo ビューヘルパー
Dojoフォーム要素とデコレーター
Zend_Dom
導入
Zend_Dom_Query
Zend_Exception
例外の使用法
Zend_Feed
導入
フィードの読み込み
ウェブページからのフィードの取得
RSS フィードの使用
Atom フィードの使用
単一の Atom エントリの処理
フィードおよびエントリの構造の変更
独自のフィードクラスおよびエントリクラス
Zend_File
Zend_File_Transfer
Zend_File_Transfer 用のバリデータ
Filters for Zend_File_Transfer
以前のバージョンからの移行
Zend_Filter
導入
標準のフィルタクラス群
フィルタチェイン
フィルタの書き方
Zend_Filter_Input
Zend_Filter_Inflector
Zend_Form
Zend_Form
Zend_Form クイックスタート
Zend_Form_Element を用いたフォーム要素の作成
Zend_Form によるフォームの作成
Zend_Form_Decorator による独自のフォームマークアップの作成
Zend Framework に同梱されている標準のフォーム要素
Zend Framework に同梱されている標準のデコレータ
Zend_Form の国際化
Zend_Form の高度な使用法
Zend_Gdata
導入
AuthSub による認証
Using the Book Search Data API
ClientLogin による認証
Google Calendar の使用法
Google Documents List Data API の使用法
Using Google Health
Google Spreadsheets の使用法
Google Apps Provisioning の使用法
Google Base の使用法
Picasa Web Albums の使用法
YouTube Data API の使用法
Gdata の例外処理
Zend_Http
導入
Zend_Http_Client - 高度な使用法
Zend_Http_Client - 接続アダプタ
Zend_Http_Cookie および Zend_Http_CookieJar
Zend_Http_Response
Zend_InfoCard
導入
Zend_Json
導入
基本的な使用法
Zend_Json の高度な使用法
XML から JSON への変換
Zend_Json_Server - JSON-RPCサーバー
Zend_Layout
導入
Zend_Layout クイックスタート
Zend_Layout の設定オプション
Zend_Layout の高度な使用法
Zend_Ldap
導入
Zend_Loader
ファイルやクラスの動的な読み込み
The Autoloader
Resource Autoloaders
プラグインのロード
Zend_Locale
導入
Zend_Locale の使用法
正規化および地域化
日付および時刻の扱い
サポートするロケール
以前のバージョンからの移行
Zend_Log
概要
ライター
フォーマッタ
フィルタ
Zend_Mail
導入
SMTP 経由での送信
SMTP 接続による複数のメールの送信
異なる転送手段の使用
HTML メール
ファイルの添付
受信者の追加
MIME バウンダリの制御
追加のヘッダ
文字セット
エンコーディング
SMTP 認証
セキュアな SMTP トランスポート
メールメッセージの読み込み
Zend_Measure
導入
計測値の作成
計測値の出力
計測値の操作
計測値の型
Zend_Memory
概要
メモリマネージャ
メモリオブジェクト
Zend_Mime
Zend_Mime
Zend_Mime_Message
Zend_Mime_Part
Zend_Navigation
Introduction
画面
Containers
Zend_OpenId
導入
Zend_OpenId_Consumer の基本
Zend_OpenId_Provider
Zend_Paginator
導入
使用法
設定
高度な使用法
Zend_Pdf
導入
PDF ドキュメントの作成および読み込み
PDF ドキュメントへの変更内容の保存
ページの操作
描画
ドキュメントの情報およびメタデータ
Zend_Pdf モジュールの使用例
Zend_ProgressBar
Zend_ProgressBar
Zend_Reflection
導入
Zend_Reflectionサンプル
Zend_Reflectionリファレンス
Zend_Registry
レジストリの使用法
Zend_Rest
導入
Zend_Rest_Client
Zend_Rest_Server
Zend_Search_Lucene
概要
インデックスの構築
インデックスの検索
クエリ言語
クエリ作成用の API
文字セット
拡張性
Java Lucene との相互運用
応用
ベストプラクティス
Zend_Server
導入
Zend_Server_Reflection
Zend_Service
導入
Zend_Service_Akismet
Zend_Service_Amazon
Zend_Service_Amazon_Ec2
Zend_Service_Amazon_Ec2: Instances
Zend_Service_Amazon_Ec2: Windows Instances
Zend_Service_Amazon_Ec2: Reserved Instances
Zend_Service_Amazon_Ec2: CloudWatch Monitoring
Zend_Service_Amazon_Ec2: Amazon Machine Images (AMI)
Zend_Service_Amazon_Ec2: Elastic Block Stroage (EBS)
Zend_Service_Amazon_Ec2: Elastic IP Addresses
Zend_Service_Amazon_Ec2: Keypairs
Zend_Service_Amazon_Ec2: Regions and Availability Zones
Zend_Service_Amazon_Ec2: Security Groups
Zend_Service_Amazon_S3
Zend_Service_Audioscrobbler
Zend_Service_Delicious
Zend_Service_Flickr
Zend_Service_Nirvanix
Zend_Service_ReCaptcha
Zend_Service_Simpy
導入
Zend_Service_StrikeIron
Zend_Service_StrikeIron: バンドルされているサービス
Zend_Service_StrikeIron: 応用編
Zend_Service_Technorati
Zend_Service_Twitter
Zend_Service_Yahoo
Zend_Session
導入
基本的な使用法
高度な使用法
グローバルセッションの管理
Zend_Session_SaveHandler_DbTable
Zend_Soap
Zend_Soap_Server
Zend_Soap_Client
WSDLアクセッサ
自動検出
Zend_Tag
Introduction
Zend_Tag_Cloud
Zend_Test
導入
Zend_Test_PHPUnit
Zend_Text
Zend_Text_Figlet
Zend_Text_Table
Zend_TimeSync
導入
Zend_TimeSync の動作
Zend_Tool_Framework
Introduction
Using the CLI Tool
Architecture
Creating Providers to use with Zend_Tool_Framework
Shipped System Providers
Zend_Tool_Project
Zend_Tool_Project導入
Create A Project
Zend Tool Project Providers
Zend_Translate
導入
Zend_Translate のアダプタ
翻訳アダプタの使用法
以前のバージョンからの移行
Zend_Uri
Zend_Uri
Zend_Validate
導入
標準のバリデーションクラス群
バリデータチェイン
バリデータの書き方
検証メッセージ
Zend_Version
Zend Framework のバージョンの取得
Zend_View
導入
コントローラスクリプト
ビュースクリプト
ビューヘルパー
Zend_View_Abstract
以前のバージョンからの移行
Zend_Wildfire
Zend_Wildfire
Zend_XmlRpc
導入
Zend_XmlRpc_Client
Zend_XmlRpc_Server
Zend Framework のシステム要件
導入
Zend Framework PHP 標準コーディング規約
概要
PHP ファイルの書式
命名規約
コーディングスタイル
Zend Framework Performance Guide
導入
クラスの読み込み
Zend_Dbパフォーマンス
国際化(i18n)とローカライズ(l10n)
ビューのレンダリング
著作権に関する情報