qeephp 修改acl.yaml文件实现访问控制
2013-11-23 14:29
246 查看
在了解 ACL 的原理和机制后,我们现在来为 todo 应用加上访问控制功能。
为控制器指定访问规则
默认情况下,所有的访问控制规则都书写在 acl.yaml 中,该文件的结构如下:
控制器名称:
allow: 允许使用该控制器的角色
例如:
tasks:
allow: 'MEMBER'
表示只有具有 MEMBER 角色的用户才可以使用 tasks 控制器。依次类推,我们可以给每个要限制访问的控制器都指定规则。
posts:
# 多个角色用逗号分割就可以了
allow: 'MEMBER, ADMIN'
tasks:
allow: 'MEMBER'
comments:
allow: 'MEMBER'
但有时候系统中存在较多的角色,此时我们只希望禁止特定角色的用户,可以使用 deny 来指定禁止访问的角色:
users:
deny: 'ADMIN'
表示具有 ADMIN 角色的用户不能够使用 users 控制器。
为动作指定访问规则
实际开发中,经常都会出现某个控制器的多个动作,有些允许这部分角色访问,某些又允许其他角色访问。例如 users 控制器的 changePasswd、logout 动作就只有登录后的用户访问,而 register 和 login 只有未登录的用户才可以访问。
我们可以这样指定 ACL:
users:
actions:
changePasswd:
allow: 'MEMBER'
logout:
allow: 'MEMBER'
register:
allow: ACL_NO_ROLE
login:
allow: ACL_NO_ROLE
ACL_NO_ROLE 是一个 QeePHP 预定义的值,表示不具备任何角色的用户。而未登录的用户是肯定没有角色的,因此就实现了只有未登录用户才可以使用 register 和 login 动作的目的。
但是上面的书写方法在控制器中有很多动作时就显得啰嗦了,我们可以简化为:
users:
allow: ACL_NO_ROLE
actions:
changePasswd:
allow: 'MEMBER'
logout:
allow: 'MEMBER'
直接为控制器指定访问规则。该规则也会应用到 users 的所有动作上。但这个默认规则可以通过单独指定来覆盖,所以在访问 changePasswd 和 logout 动作时还是以我们指定的为准。
上面的规则也可以写成:
users:
allow: 'MEMBER'
actions:
register:
allow: ACL_NO_ROLE
login:
allow: ACL_NO_ROLE
两者的区别在于后者为 users 的所有动作默认指定了必须有 MEMBER 角色才能访问,而 register 和 login 两个动作例外。这种写法相对于前一种更安全。因为你在 users 控制器中新添加的动作如果是需要授权的,那么可能因为忘了单独指定规则而造成安全漏洞。
为 todo 应用加上访问规则
现在为 todo 应用加上访问规则。编辑 configs/acl.yaml:
users:
allow: ACL_HAS_ROLE
actions:
register:
allow: ACL_NO_ROLE
login:
allow: ACL_NO_ROLE
这里又出现了一个新的 QeePHP 预定义值“ACL_HAS_ROLE”,用来表示任何角色。因此上面规则的意思就是只要具有角色的用户都可以访问 users 控制器的动作。而 register 和 login 动作只能由没有角色的用户访问。
现在我们来试验一下。在未登录状态下访问 http://localhost/todo/public/index.php?controller=users&action=changepasswd,可以看到如下画面:
拒绝访问的错误信息
这说明我们的 ACL 已经起作用了。再访问 http://localhost/todo/public/index.php?controller=users&action=register 则可以看到注册页面,说明对 register 和 login 动作指定的规则成功覆盖了 users 控制器的默认规则。
改进访问控制的错误处理
上面的错误提示信息显然不够友好,我们需要定制这些错误信息,以便更好的引导用户正确使用我们的应用程序。
打开 app/myapp.php 文件,找到 _on_access_denied() 方法,修改内容为:
protected function _on_access_denied()
{
$roles = $this->currentUserRoles();
if (empty($roles))
{
// 如果当前用户没有角色,则转到登录页面
return new QView_Redirect(url('users/login'));
}
....
}
这样在未登录用户访问不具备权限的页面时,将自动重定向到登录页面。而已经登录的用户则仍然显示错误信息页面。我们可以进一步修改 app/view/403.php 来定制更有意义的错误信息显示。
指定全局默认规则
随着开发的进行,我们会添加更多的控制器,为了避免因为忘了添加规则导致出现安全漏洞,我们可以将所有控制器的默认规则指定为不允许任何人访问。
在 acl.yaml 中增加:
ALL_CONTROLLERS:
deny: ACL_EVERYONE
ALL_CONTROLLERS 表示所有的控制器,而 ACL_EVERYONE 表示任何人(不管用户有没有角色)。修改以后,当新增了控制器,这个控制器默认是不允许访问,这样可以提醒我们记得为控制器指定必要的访问规则。
完善 todo 的访问控制规则
下面我们把 todo 应用的完整访问规则写出来:
users:
allow: ACL_HAS_ROLE
actions:
register:
allow: ACL_NO_ROLE
login:
allow: ACL_NO_ROLE
tasks:
allow: ACL_HAS_ROLE
default:
allow: ACL_EVERYONE
ALL_CONTROLLERS:
deny: ACL_EVERYONE
为控制器指定访问规则
默认情况下,所有的访问控制规则都书写在 acl.yaml 中,该文件的结构如下:
控制器名称:
allow: 允许使用该控制器的角色
例如:
tasks:
allow: 'MEMBER'
表示只有具有 MEMBER 角色的用户才可以使用 tasks 控制器。依次类推,我们可以给每个要限制访问的控制器都指定规则。
posts:
# 多个角色用逗号分割就可以了
allow: 'MEMBER, ADMIN'
tasks:
allow: 'MEMBER'
comments:
allow: 'MEMBER'
但有时候系统中存在较多的角色,此时我们只希望禁止特定角色的用户,可以使用 deny 来指定禁止访问的角色:
users:
deny: 'ADMIN'
表示具有 ADMIN 角色的用户不能够使用 users 控制器。
为动作指定访问规则
实际开发中,经常都会出现某个控制器的多个动作,有些允许这部分角色访问,某些又允许其他角色访问。例如 users 控制器的 changePasswd、logout 动作就只有登录后的用户访问,而 register 和 login 只有未登录的用户才可以访问。
我们可以这样指定 ACL:
users:
actions:
changePasswd:
allow: 'MEMBER'
logout:
allow: 'MEMBER'
register:
allow: ACL_NO_ROLE
login:
allow: ACL_NO_ROLE
ACL_NO_ROLE 是一个 QeePHP 预定义的值,表示不具备任何角色的用户。而未登录的用户是肯定没有角色的,因此就实现了只有未登录用户才可以使用 register 和 login 动作的目的。
但是上面的书写方法在控制器中有很多动作时就显得啰嗦了,我们可以简化为:
users:
allow: ACL_NO_ROLE
actions:
changePasswd:
allow: 'MEMBER'
logout:
allow: 'MEMBER'
直接为控制器指定访问规则。该规则也会应用到 users 的所有动作上。但这个默认规则可以通过单独指定来覆盖,所以在访问 changePasswd 和 logout 动作时还是以我们指定的为准。
上面的规则也可以写成:
users:
allow: 'MEMBER'
actions:
register:
allow: ACL_NO_ROLE
login:
allow: ACL_NO_ROLE
两者的区别在于后者为 users 的所有动作默认指定了必须有 MEMBER 角色才能访问,而 register 和 login 两个动作例外。这种写法相对于前一种更安全。因为你在 users 控制器中新添加的动作如果是需要授权的,那么可能因为忘了单独指定规则而造成安全漏洞。
为 todo 应用加上访问规则
现在为 todo 应用加上访问规则。编辑 configs/acl.yaml:
users:
allow: ACL_HAS_ROLE
actions:
register:
allow: ACL_NO_ROLE
login:
allow: ACL_NO_ROLE
这里又出现了一个新的 QeePHP 预定义值“ACL_HAS_ROLE”,用来表示任何角色。因此上面规则的意思就是只要具有角色的用户都可以访问 users 控制器的动作。而 register 和 login 动作只能由没有角色的用户访问。
现在我们来试验一下。在未登录状态下访问 http://localhost/todo/public/index.php?controller=users&action=changepasswd,可以看到如下画面:
拒绝访问的错误信息
这说明我们的 ACL 已经起作用了。再访问 http://localhost/todo/public/index.php?controller=users&action=register 则可以看到注册页面,说明对 register 和 login 动作指定的规则成功覆盖了 users 控制器的默认规则。
改进访问控制的错误处理
上面的错误提示信息显然不够友好,我们需要定制这些错误信息,以便更好的引导用户正确使用我们的应用程序。
打开 app/myapp.php 文件,找到 _on_access_denied() 方法,修改内容为:
protected function _on_access_denied()
{
$roles = $this->currentUserRoles();
if (empty($roles))
{
// 如果当前用户没有角色,则转到登录页面
return new QView_Redirect(url('users/login'));
}
....
}
这样在未登录用户访问不具备权限的页面时,将自动重定向到登录页面。而已经登录的用户则仍然显示错误信息页面。我们可以进一步修改 app/view/403.php 来定制更有意义的错误信息显示。
指定全局默认规则
随着开发的进行,我们会添加更多的控制器,为了避免因为忘了添加规则导致出现安全漏洞,我们可以将所有控制器的默认规则指定为不允许任何人访问。
在 acl.yaml 中增加:
ALL_CONTROLLERS:
deny: ACL_EVERYONE
ALL_CONTROLLERS 表示所有的控制器,而 ACL_EVERYONE 表示任何人(不管用户有没有角色)。修改以后,当新增了控制器,这个控制器默认是不允许访问,这样可以提醒我们记得为控制器指定必要的访问规则。
完善 todo 的访问控制规则
下面我们把 todo 应用的完整访问规则写出来:
users:
allow: ACL_HAS_ROLE
actions:
register:
allow: ACL_NO_ROLE
login:
allow: ACL_NO_ROLE
tasks:
allow: ACL_HAS_ROLE
default:
allow: ACL_EVERYONE
ALL_CONTROLLERS:
deny: ACL_EVERYONE
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- qeephp 修改acl.yaml文件实现访问控制
- 用Cacls修改文件访问控制权限 VB实现
- cacls显示或者修改文件的访问控制表(ACL)
- linux系统对访问控制(ACL)权限的实现
- [WMI实例]实现文件系统管理功能封装。提供共享文件和文件系统访问权限控制能力
- Linux之文件的访问控制(acl列表)
- 命令行下修改文件访问控制权限
- 用Cacls修改文件访问控制权限
- 在Linux系统中使用ACL控制文件访问
- 命令行下修改文件访问控制权限
- 用Cacls命令修改文件访问控制权限
- 修改底层文件,实现修改Android设备屏幕亮度和控制led灯
- linux系统对访问控制(ACL)权限和chattr,lsattr命令的实现
- 救急时必需 命令行下修改文件访问控制权限
- 使用IP ACL实现单向访问控制
- Linux下使用ACL命令实现控制用户的目录访问权限
- 用定制标签库和配置文件实现对JSP页面元素的访问控制
- 巧用Squid的ACL和访问列表实现高效访问控制
- getfacl,setfacl命令--ACL文件访问控制