Previous Next

Introduction

Zend_Acl fournit une implémentation légère et flexible de listes de contrôle d'accès (ACL) pour la gestion de privilèges. En général, une application peut utiliser ces ACL pour contrôler l'accès à certains objets par d'autres objets demandeurs.

Dans le cadre de cette documentation :

  • une ressource est un objet dont l'accès est contrôlé,

  • un rôle est un objet qui peut demander l'accès à une ressource.

Dit simplement, les rôles demandent l'accès à des ressources. Par exemple, si une personne demande l'accès à une voiture, alors la personne est le rôle demandeur et la voiture est la ressource, puisque l'accès à la voiture est soumis à un contrôle.

Grâce à la définition et à la mise en oeuvre d'une ACL, une application peut contrôler comment les objets demandeurs (rôles) reçoivent l'accès (ou non) à des objets protégés (ressources).

A propos des ressources

Avec Zend_Acl, créer une ressource est très simple. Zend_Acl fournit Zend_Acl_Resource_Interface pour faciliter la tâche aux développeurs. Une classe a simplement besoin d'implémenter cette interface, qui consiste en une seule méthode, getResourceId(), pour que Zend_Acl reconnaît l'objet comme étant une ressource. Par ailleurs, Zend_Acl_Resource est fourni par Zend_Acl comme une implémentation basique de ressource que les développeurs peuvent étendre si besoin.

Zend_Acl fournit une structure en arbre à laquelle plusieurs ressources (ou "zone sous contrôle d'accès") peuvent être ajoutées. Puisque les ressources sont sauvées dans cet arbre, elles peuvent être organisées du général (via la racine de l'arbre) jusqu'au particulier (via les feuilles de l'arbre). Les requêtes envers une ressource spécifique vont automatiquement entraîner la recherche de règles sur ses parents au sein de la structure hiérarchique des ressources, ce qui permet un héritage simple des règles. Par exemple, si une règle par défaut doit être appliquée à tous les bâtiments d'une ville, on pourra simplement assigner la règle à la ville elle-même, au lieu de la répéter à tous les bâtiments. Mais certains bâtiments peuvent nécessiter des règles spécifiques, et ceci peut se faire aisément avec Zend_Acl en assignant les règles nécessaires à chaque bâtiment de la ville qui nécessite une exception. Une ressource peut hériter d'un seul parent ressource, qui hérite lui même de son propre parent, et ainsi de suite.

Zend_Acl supporte aussi des privilèges pour chaque ressource (par exemple : "créer", "lire", "modifier", "supprimer"), et le développeur peut assigner des règles qui affectent tous les privilèges ou seuls certains privilèges d'une ressource.

A propos des rôles

Comme pour les ressources, créer un rôle est très simple. Tout rôle doit implémenter Zend_Acl_Role_Interface qui consiste en une seule méthode getRoleId(). De plus, Zend_Acl_Role est inclus dans Zend_Acl comme une implémentation basique de rôle que les développeurs peuvent étendre si besoin.

Dans Zend_Acl, un rôle peut hériter de un ou plusieurs rôles. Ceci permet de supporter l'héritage de règles à travers plusieurs rôles. Par exemple, un rôle utilisateur, comme "Éric", peut appartenir à un ou plusieurs rôles d'action, tels que "éditeur" ou "administrateur". Le développeur peut créer des règles pour "éditeur" et "administrateur" séparément, et "Éric" va hériter des règles des deux sans avoir à définir des règles directement pour "Éric".

Bien que la possibilité d'hériter de plusieurs rôles soit très utile, l'héritage multiple introduit aussi un certain degré de complexité. L'exemple ci-dessous illustre l'ambiguïté et la manière dont Zend_Acl la résout.

Example #1 Héritages multiples entre rôles

Le code ci-dessous définit trois rôles de base - "guest", "member", et "admin" - desquels d'autres rôles peuvent hériter. Ensuite, un rôle identifié par "someUser" est créé et hérite des trois autres rôles. L'ordre selon lequel ces rôles apparaissent dans le tableau $parents est important. Lorsque cela est nécessaire Zend_Acl recherche les règles d'accès définies non seulement pour le rôle demandé (ici "someUser"), mais aussi pour les autres rôles desquels le rôle recherché hérite (ici "guest", "member", et "admin") :

$acl = new Zend_Acl();

$acl->addRole(new Zend_Acl_Role('guest'))
    ->addRole(new Zend_Acl_Role('member'))
    ->addRole(new Zend_Acl_Role('admin'));

$parents = array('guest', 'member', 'admin');
$acl->addRole(new Zend_Acl_Role('someUser'), $parents);

$acl->add(new Zend_Acl_Resource('someResource'));

$acl->deny('invite', 'someResource');
$acl->allow('membre', 'someResource');

echo $acl->isAllowed('unUtilisateur', 'someResource') ? 'autorisé' : 'refusé';

Puisqu'il n'y a pas de règle spécifiquement définie pour le rôle "unUtilisateur" et "uneRessource", Zend_Acl doit rechercher des règles qui pourraient être définies pour des rôles dont "someUser" hérite. Premièrement, le rôle "admin" est contrôlé, et il n'y a pas de règle d'accès définie pour lui. Ensuite, le rôle "membre" est visité, et Zend_Acl trouve qu'il y a une règle qui spécifie que "member" a un accès autorisé à "someResource".

Si Zend_Acl continuait à examiner toutes les règles de tous les rôles parents, il trouverait que "someResource" est interdit d'accès à "someResource". Ceci introduit une ambiguïté puisque maintenant "someUser" est à la fois autorisé et interdit d'accès à "someResource", puisqu'il hérite de règles opposées de ses différents parents.

Zend_Acl résout cette ambiguïté en arrêtant la recherche de règles d'accès dès qu'une première règle est découverte. Dans notre exemple, puisque le rôle "member" est examiné avant le rôle "invite", le résultat devrait afficher "autorisé".

Note:

Lorsque vous spécifiez plusieurs parents pour un rôle, conservez à l'esprit que le dernier parent listé est le premier dans lequel une règle utilisable sera recherchée.

Créer la Liste de Contrôle d'Accès

Une ACL peut représenter n'importe quel ensemble d'objets physiques ou virtuels que vous souhaitez. Pour les besoins de la démonstration, nous allons créer un système basique d'ACL pour une Gestion de Contenus (CMS) qui comporte plusieurs niveaux de groupes au sein d'une grande variété de zones. Pour créer un nouvel objet ACL, nous créons une nouvelle instance d'ACL sans paramètres :

$acl = new Zend_Acl();

Note:

Jusqu'à ce que le développeur spécifie une règle "allow", Zend_Acl refuse l'accès pour tous les privilèges sur chaque ressource pour chaque rôle.

Registre des rôles

Les systèmes de gestion de contenu (ou CMS) vont pratiquement toujours nécessiter une hiérarchie de permissions afin de déterminer les droits de rédaction de ses utilisateurs. Il pourrait y avoir un groupe "Invités" qui donne accès aux démonstrations, un groupe "Staff" pour la majorité des utilisateurs du CMS qui réalisent la plupart du travail quotidien, un groupe "Éditeur" pour ceux qui sont responsables de la publication, l'archivage, la relecture et la suppression, et enfin un groupe "Administrateur" dont les tâches incluent toutes les tâches des autres groupes plus des tâches de maintenance, de gestion des utilisateurs, configuration et backup ou export. Cet ensemble de permissions peut être représenté dans un registre de rôles, permettant à chaque groupe d'hériter des privilèges des groupes "parents". Les permissions peuvent être rendues de la manière suivante :

Contrôles d'Accès pour un exemple de CMS
Nom Permissions Permissions héritées de
Invité Voir N/A
Staff Modifier, Soumettre, Relire Invité
Éditeur Publier, Archiver, Supprimer Staff
Administrateur (Reçoit tous les accès) N/A

Pour cet exemple, Zend_Acl_Role est utilisé, mais n'importe quel objet qui implémente Zend_Acl_Role_Interface est acceptable. Ces groupes peuvent être ajoutés au registre des rôles comme suit :

$acl = new Zend_Acl();

// Ajoute des groupes au registre des rôles en utilisant Zend_Acl_Role

// Invité n'hérite d'aucun accès
$roleinvite = new Zend_Acl_Role('invite');
$acl->addRole($roleinvite);

// Staff hérite de Invité
$acl->addRole(new Zend_Acl_Role('staff'), $roleinvite);

// Ce que précède pourrait aussi être écrit:
// $acl->addRole(new Zend_Acl_Role('staff'), 'invite');

// Editeur hérite de staff
$acl->addRole(new Zend_Acl_Role('editeur'), 'staff');

// Administrateur n'hérite pas d'accès
$acl->addRole(new Zend_Acl_Role('administrateur'));

Définir les Contrôles d'Accès

Maintenant que l'ACL contient les rôles nécessaires, on peut établir des règles qui définissent comment les ressources accèdent aux rôles. Vous avez sans doute noté que nous n'avons défini aucune ressource particulière pour cet exemple, ce qui est plus simple pour illustrer comment les règles s'appliquent à toutes les ressources. Zend_Acl fournit une implémentation dans laquelle les règles doivent simplement être assignées du général au particulier, ce qui réduit le nombre de règles spécifiques à ajouter. Ceci grâce à l'héritage.

Note:

Généralement Zend_Acl se conforme à une règle donnée si et seulement si une règle plus spécifique ne s'applique pas.

En conséquence, on peut définir un nombre assez complexe de règles avec un nombre minimal de code. Pour définir les permissions comme définies ci-dessus :

$acl = new Zend_Acl();

$roleinvite = new Zend_Acl_Role('invité');
$acl->addRole($roleinvite);
$acl->addRole(new Zend_Acl_Role('staff'), $roleinvite);
$acl->addRole(new Zend_Acl_Role('editeur'), 'staff');
$acl->addRole(new Zend_Acl_Role('administrateur'));

// Invité peut uniquement voir le contenu
$acl->allow($roleinvite, null, 'voir');

/*
ce qui précède peut aussi être écrit :
$acl->allow('invité', null, 'voir');
*/

// Staff hérite des privilèges de Invité, mais a aussi ses propres
// privilèges
$acl->allow('staff', null, array('edit', 'submit', 'relire'));

// Editeur hérite les privilèges voir, modifier, soumettre,
// et relire de Staff, mais a aussi besoin de certains privilèges
$acl->allow('editeur', null, array('publier', 'archiver', 'supprimer'));

// Administrateur hérite de rien, mais reçoit tous les privilèges
$acl->allow('administrateur');

Les valeurs NULL dans les appels allow() ci-dessus sont utilisées pour indiquer que les règles s'appliquent à toutes les ressources.

Interroger les ACL

Nous avons maintenant une ACL flexible, qui peut être utilisée pour déterminer si l'objet appelant a les permissions pour réaliser les fonctions au sein de l'application web. Interroger cette liste est assez simple en utilisant la méthode isAllowed() :

echo $acl->isAllowed('invité', null, 'voir') ?
     "autorisé" : "refusé";
// autorisé

echo $acl->isAllowed('staff', null, 'publier') ?
     "autorisé" : "refusé";
// refusé

echo $acl->isAllowed('staff', null, 'relire') ?
     "autorisé" : "refusé";
// autorisé

echo $acl->isAllowed('editeur', null, 'voir') ?
     "autorisé" : "refusé";
// autorisé parce que hérité de Invité

echo $acl->isAllowed('editeur', null, 'modifier') ?
     "autorisé" : "refusé";
// refusé parce qu'il n'y a pas de règle pour 'modifier'

echo $acl->isAllowed('administrateur', null, 'voir') ?
     "autorisé" : "refusé";
// autorisé car administrateur est autorisé pour tout

echo $acl->isAllowed('administrateur') ?
     "autorisé" : "refusé";
// autorisé car administrateur est autorisé pour tout

echo $acl->isAllowed('administrateur', null, 'modifier') ?
     "autorisé" : "refusé";
// autorisé car administrateur est autorisé pour tout
Previous Next
Introduction to Zend Framework
Présentation
Installation
Zend_Acl
Introduction
Affiner les Contrôles d'Accès
Utilisation avancée
Zend_Amf
Introduction
Zend_Amf_Server
Zend_Application
Introduction
Zend_Application Quick Start
Théorie générale
Exemples
Fonctionnalités principales
Plugins de ressources disponibles
Zend_Auth
Introduction
Authentification avec une table de base de données
Authentification "Digest"
Adaptateur d'authentification HTTP
LDAP Authentication
Authentification OpenID
Zend_Cache
Introduction
Aspect théorique
Les frontends Zend_Cache
Les backends Zend_Cache
Zend_Captcha
Introduction
Opération Captcha
Adaptateurs CAPTCHA
Zend_CodeGenerator
Introduction
Exemples Zend_CodeGenerator
Zend_CodeGenerator Réference
Zend_Config
Introduction
Aspect théorique
Zend_Config_Ini
Zend_Config_Xml
Zend_Config_Writer
Zend_Config_Writer
Zend_Console_Getopt
Introduction
Déclarer les règles Getopt
Extraire les options et les arguments
Configurer Zend_Console_Getopt
Zend_Controller
Zend_Controller - Démarrage rapide
Fondations de Zend_Controller
Le contrôleur frontal (Front Controller)
L'objet Requête
Routeur Standard
Le distributeur
Contrôleurs d'action
Aides d'action (Helper)
Objet de réponse
Plugins
Utilisation de conventions de dossiers modulaires
Exceptions avec MVC
Migrer depuis des versions précédentes
Zend_Currency
Introduction à Zend_Currency
How to Work with Currencies
Migrer depuis des versions antérieures
Zend_Date
Introduction
Aspect théorique
Méthodes de base
Zend_Date API Overview
Créer des dates
Constants for General Date Functions
Exemples concrets
Zend_Db
Zend_Db_Adapter
Zend_Db_Statement
Zend_Db_Profiler
Zend_Db_Select
Zend_Db_Table
Zend_Db_Table_Row
Zend_Db_Table_Rowset
Relations Zend_Db_Table
Zend_Db_Table_Definition
Zend_Debug
Afficher des informations
Zend_Dojo
Introduction
Zend_Dojo_Data: dojo.data Envelopes
Les aides de vues Dojo
Les éléments de formulaire et les décorateurs Dojo
Zend_Dojo build layer support
Zend_Dom
Introduction
Zend_Dom_Query
Zend_Exception
Utiliser les exceptions
Zend_Feed
Introduction
Importer des flux
Obtenir des flux à partir de pages Web
Consommer un flux RSS
Consommer un flux Atom
Consommer une entrée Atom particulière
Modifier la structure du flux ou des entrées
Classes personnalisées pour les flux et entrées
Zend_Feed_Reader
Zend_File
Zend_File_Transfer
Validateurs pour Zend_File_Transfer
Filtres pour Zend_File_Transfer
Migrer à partir des versions précédentes
Zend_Filter
Introduction
Classes de filtre standards
Chaînes de filtrage
Écriture de filtres
Zend_Filter_Input
Zend_Filter_Inflector
Migrating from Previous Versions
Zend_Form
Zend_Form
Zend_Form démarrage rapide
Creating Form Elements Using Zend_Form_Element
Creating Forms Using Zend_Form
Créer un visuel personnalisé en utilisant Zend_Form_Decorator
Standard Form Elements Shipped With Zend Framework
Décorateurs standards fournis avec Zend Framework
Internationaliser un formulaire Zend_Form
Advanced Zend_Form Usage
Zend_Gdata
Introduction
Authentification par procédé AuthSub
Using the Book Search Data API
Authentification avec ClientLogin
Using Google Calendar
Using Google Documents List Data API
Using Google Health
Using Google Spreadsheets
Using Google Apps Provisioning
Using Google Base
Utilisation des albums Web Picasa
Using the YouTube Data API
Attraper les exceptions Gdata
Zend_Http
Introduction
Zend_Http_Client - Utilisation avancée
Zend_Http_Client - Adaptateurs de connexion
Migrer depuis les versions précédentes
Zend_Http_Cookie and Zend_Http_CookieJar
Zend_Http_Response
Zend_InfoCard
Introduction
Zend_Json
Introduction
Utilisation de base
Utilisation avancée de Zend_Json
XML to JSON conversion
Zend_Json_Server - JSON-RPC server
Zend_Layout
Introduction
Zend_Layout - Démarrage rapide
Zend_Layout options de configuration
Zend_Layout, utilisation avancée
Zend_Ldap
Introduction
API overview
Usage Scenarios
Tools
Object oriented access to the LDAP tree using Zend_Ldap_Node
Getting information from the LDAP server
Serializing LDAP data to and from LDIF
Zend_Loader
Charger les fichiers et les classes dynamiquement
L'autoloader
Autoloaders de ressources
Chargeur de Plugins
Zend_Locale
Introduction
Using Zend_Locale
Normalization and Localization
Working with Dates and Times
Supported locales
Migrer à partir des versions précédentes
Zend_Log
Présentation
Rédacteurs (Writers)
Formateurs (mise en forme)
Filtres
Zend_Mail
Introduction
Envoyer des émail en utilisant SMTP
Envoyer plusieurs émail par connexion SMTP
Utiliser différents transports
Émail HTML
Fichiers joints
Ajouter des destinataires
Contrôler les limites MIME
En-têtes additionnels
Jeux de caractères
Encodage
Authentification SMTP
Sécuriser les transports SMTP
Lire des émail
Zend_Measure
Introduction
Création d'une mesure
Récupérer des mesures
Manipuler des mesures
Types de mesures
Zend_Memory
Présentation
Manager de mémoire
Objet mémoire
Zend_Mime
Zend_Mime
Zend_Mime_Message
Zend_Mime_Part
Zend_Navigation
Introduction
Pages
Containers
Migrating from Previous Versions
Zend_OpenId
Introduction
Zend_OpenId_Consumer Basics
Zend_OpenId_Provider
Zend_Paginator
Introduction
Utilisation
Configuration
Utilisation avancée
Zend_Pdf
Introduction
Créer et charger des documents PDF
Sauvegarder les changement dans un document PDF
Les pages d'un document
Dessiner
Interactive Features
Informations du document et métadonnées
Exemple d'utilisation du module Zend_Pdf
Zend_ProgressBar
Zend_ProgressBar
Zend_Queue
Introduction
Example usage
Framework
Adapters
Customizing Zend_Queue
Stomp
Zend_Reflection
Introduction
Zend_Reflection Exemples
Réference de Zend_Reflection
Zend_Registry
Utiliser le registre
Zend_Rest
Introduction
Zend_Rest_Client
Zend_Rest_Server
Zend_Search_Lucene
Vue d'ensemble
Créer des index
Searching an Index
Query Language
Query Construction API
Jeu de caractères
Extensibility
Agir avec Lucene Java
Avancé
Bonnes pratiques
Zend_Server
Introduction
Zend_Server_Reflection
Zend_Service
Introduction
Zend_Service_Akismet
Zend_Service_Amazon
Zend_Service_Amazon_Ec2
Zend_Service_Amazon_Ec2: Instances
Zend_Service_Amazon_Ec2: Windows Instances
Zend_Service_Amazon_Ec2: Reserved Instances
Zend_Service_Amazon_Ec2: CloudWatch Monitoring
Zend_Service_Amazon_Ec2: Amazon Machine Images (AMI)
Zend_Service_Amazon_Ec2: Elastic Block Stroage (EBS)
Zend_Service_Amazon_Ec2: Elastic IP Addresses
Zend_Service_Amazon_Ec2: Keypairs
Zend_Service_Amazon_Ec2: Regions and Availability Zones
Zend_Service_Amazon_Ec2: Security Groups
Zend_Service_Amazon_S3
Zend_Service_Amazon_Sqs
Zend_Service_Audioscrobbler
Zend_Service_Delicious
Zend_Service_Flickr
Zend_Service_Nirvanix
Zend_Service_ReCaptcha
Zend_Service_Simpy
Introduction
Zend_Service_StrikeIron
Zend_Service_StrikeIron: Bundled Services
Zend_Service_StrikeIron: Advanced Uses
Zend_Service_Technorati
Zend_Service_Twitter
Zend_Service_Yahoo
Zend_Session
Introduction
Usage basique
Utilisation avancée
Gestion générale de la session
Zend_Session_SaveHandler_DbTable
Zend_Soap
Zend_Soap_Server
Zend_Soap_Client
WSDL
Auto découverte
Zend_Tag
Introduction
Zend_Tag_Cloud
Zend_Test
Introduction
Zend_Test_PHPUnit
Zend_Test_PHPUnit_Db
Zend_Text
Zend_Text_Figlet
Zend_Text_Table
Zend_TimeSync
Introduction
Utiliser Zend_TimeSync
Zend_Tool_Framework
Introduction
Using the CLI Tool
Architecture
Creating Providers to use with Zend_Tool_Framework
Shipped System Providers
Extending and Configuring Zend_Tool_Framework
Zend_Tool_Project
Introduction
Create A Project
Zend Tool Project Providers
Zend_Translate
Introduction
Adaptateurs pour Zend_Translate
Utiliser les adaptateurs de traduction
Creating source files
Additional features for translation
Plural notations for Translation
Migrer à partir des versions précédentes
Zend_Uri
Zend_Uri
Zend_Validate
Introduction
Classes de validation standard
Chaînes de validation
Écrire des validateurs
Validation Messages
Zend_Version
Lire la version de Zend Framework
Zend_View
Introduction
Scripts de contrôleur
Scripts de vue
Aides de vue
Zend_View_Abstract
Migration depuis les versions précédentes
Zend_Wildfire
Zend_Wildfire
Zend_XmlRpc
Introduction
Zend_XmlRpc_Client
Zend_XmlRpc_Server
Configuration système requise par Zend Framework
Introduction
Convention de codage PHP de Zend Framework
Vue d'ensemble
Formatage des fichiers PHP
Conventions de nommage
Style de codage
Zend Framework Documentation Standard
Overview
Documentation File Formatting
Recommendations
Recommended Project Structure for Zend Framework MVC Applications
Overview
Recommended Project Directory Structure
Module Structure
Rewrite Configuration Guide
Zend Framework Performance Guide
Introduction
Chargement des classes
Zend_Db Performance
Internationalisation (i18n) and Localisation (l10n)
View Rendering
Informations de copyright