boarspring
/
repo_zf1
mirror of https://github.com/bluescreen/zf1-php7.2.git


			
				
					
						
						
							123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199
							<?xml version="1.0" encoding="UTF-8"?>
<!-- EN-Revision: 15029 -->
<!-- Reviewed: no -->
<sect1 id="zend.acl.refining">

    <title>Verfeinern der Zugriffskontrolle</title>

    <sect2 id="zend.acl.refining.precise">

        <title>Präzise Zugangsbeschränkung</title>

        <para>
            Die grundlegende ACL, wie sie im <link linkend="zend.acl.introduction">vorherigen
            Kapitel</link> definiert ist, zeigt wie verschiedene Rechte für die gesamte ACL (alle
            Ressourcen) vergeben werden können. In der Praxis tendieren Zugangsbeschränkungen jedoch
            eher dahin, Ausnahmen und verschiedene Stufen von Komplexität zu haben. <classname>Zend_Acl</classname>
            erlaubt einem, diese Verfeinerungen auf einfache und flexible Weise zu bewerkstelligen.
        </para>

        <para>
            Für das Beispiel CMS wurde ermittelt, dass, während die 'staff' Gruppe die Bedürfnisse
            der überwiegenden Mehrheit der Benutzer abdeckt, es den Bedarf für eine neue 'marketing'
            Gruppe gibt, die Zugriff auf den Newsletter und die neuesten Nachrichten im CMS
            benötigen. Die Gruppe ist ziemlich unabhängig und wird die Möglichkeit haben, sowohl
            Newsletter als auch die neuesten Nachrichten zu veröffentlichen und zu archivieren.
        </para>

        <para>
            Zusätzlich wurde angefordert, dass es der 'staff' Gruppe erlaubt sein soll, die Nachrichten
            ansehen, aber nicht die neuesten Nachrichen überarbeiten zu können. Zuguterletzt soll
            es für jeden (Administratoren eingeschlossen) unmöglich sein, irgend eine
            Bekanntmachung zu archivieren, da diese sowieso nur eine Lebensdauer von 1 bis 2
            Tagen haben.
        </para>

        <para>
            Zuerst überarbeiten wir die Rollenregistrierung, um die Änderungen wider zu spiegeln.
            Wir haben ermittelt, dass die 'marketing' Gruppe die selben grundlegenden Rechte wie
            'staff' hat, also definieren wir 'marketing' so, dass die Genehmigungen von 'staff'
            geerbt werden:
        </para>

        <programlisting role="php"><![CDATA[
// Die neue Marketing Gruppe erbt Genehmigungen der Mitarbeiter
$acl->addRole(new Zend_Acl_Role('marketing'), 'staff');
]]>
        </programlisting>

        <para>
            Als nächstes ist zu beachten, dass sich die obige Zugangsbeschränkung auf bestimmte
            Ressourcen bezieht (z.B. "newsletter", "lastest news", "announcement news"). Nun fügen
            wir die Ressourcen hinzu:
        </para>

        <programlisting role="php"><![CDATA[
// Ressourcen für die Regeln erstellen

// Newsletter
$acl->add(new Zend_Acl_Resource('newsletter'));

// Nachrichten
$acl->add(new Zend_Acl_Resource('news'));

// Neueste Nachrichten
$acl->add(new Zend_Acl_Resource('latest'), 'news');

// Bekanntmachungen
$acl->add(new Zend_Acl_Resource('announcement'), 'news');
]]>
        </programlisting>

        <para>
            Nun ist es nur eine Frage der Definition für diese spezifischeren Regeln auf die
            Zielbereiche der ACL:
        </para>

        <programlisting role="php"><![CDATA[
// Marketing muss Newsletter und die neuesten Nachrichten veröffentlichen
// und archivieren können
$acl->allow('marketing',
            array('newsletter', 'latest'),
            array('publish', 'archive'));

// Staff (und Marketing durch die Vererbung), wird die Erlaubnis verweigert,
// die neuesten Nachrichten überarbeiten zu können
$acl->deny('staff', 'latest', 'revise');

// Jedem (inklusive der Administratoren) wird die Erlaubnis verweigert,
// Bekanntmachungsnachricht zu archivieren
$acl->deny(null, 'announcement', 'archive');
]]>
        </programlisting>

        <para>
            Wir können nun die ACL abfragen hinsichtlich der letzten Änderungen
        </para>

        <programlisting role="php"><![CDATA[
echo $acl->isAllowed('staff', 'newsletter', 'publish') ?
     "allowed" : "denied";
// verweigert

echo $acl->isAllowed('marketing', 'newsletter', 'publish') ?
     "allowed" : "denied";
// erlaubt

echo $acl->isAllowed('staff', 'latest', 'publish') ?
     "allowed" : "denied";
// verweigert

echo $acl->isAllowed('marketing', 'latest', 'publish') ?
     "allowed" : "denied";
// erlaubt

echo $acl->isAllowed('marketing', 'latest', 'archive') ?
     "allowed" : "denied";
// erlaubt

echo $acl->isAllowed('marketing', 'latest', 'revise') ?
     "allowed" : "denied";
// verweigert

echo $acl->isAllowed('editor', 'announcement', 'archive') ?
     "allowed" : "denied";
// verweigert

echo $acl->isAllowed('administrator', 'announcement', 'archive') ?
     "allowed" : "denied";
// verweigert
]]>
        </programlisting>

    </sect2>

    <sect2 id="zend.acl.refining.removing">

        <title>Zugangsbeschränkungen entfernen</title>

        <para>
            Um eine oder mehrere Zugangsregel von der ACL zu entfernen, verwendet man einfach die
            vorhandenen <code>removeAllow()</code> oder <code>removeDeny()</code> Methoden. Wie bei
            <code>allow()</code> und <code>deny()</code> kann man den <code>null</code> Wert
            übergeben, um die Anwendung auf alle Rollen, Ressourcen und / oder Rechte anzuzeigen:
        </para>

        <programlisting role="php"><![CDATA[
// Entferne die Verweigerung, die letzten Nachrichten zu überarbeiten für
// die Mitarbeiter (und Marketing durch die Vererbung)
$acl->removeDeny('staff', 'latest', 'revise');

echo $acl->isAllowed('marketing', 'latest', 'revise') ?
     "allowed" : "denied";
// erlaubt

// Entferne die Erlaubnis für das Marketing, Newsletter veröffentlichen und
// archivieren zu können
$acl->removeAllow('marketing',
                  'newsletter',
                  array('publish', 'archive'));

echo $acl->isAllowed('marketing', 'newsletter', 'publish') ?
     "allowed" : "denied";
// verweigert

echo $acl->isAllowed('marketing', 'newsletter', 'archive') ?
     "allowed" : "denied";
// verweigert
]]>
        </programlisting>

        <para>
            Rechte können schrittweise wie oben angezeigt verändert werden, aber ein
            <code>null</code> Wert für die Rechte überschreibt solche schrittweisen Änderungen:
        </para>

        <programlisting role="php"><![CDATA[
// Erlaube dem Marketing alle Rechte für die neuesten Nachrichten
$acl->allow('marketing', 'latest');

echo $acl->isAllowed('marketing', 'latest', 'publish') ?
     "allowed" : "denied";
// erlaubt

echo $acl->isAllowed('marketing', 'latest', 'archive') ?
     "allowed" : "denied";
// erlaubt

echo $acl->isAllowed('marketing', 'latest', 'anything') ?
     "allowed" : "denied";
// erlaubt
]]>
        </programlisting>

    </sect2>

</sect1>
<!--
vim:se ts=4 sw=4 et:
-->