repo_zf1/documentation/manual/ja/module_specs/Zend_Acl-Advanced.xml

<?xml version="1.0" encoding="UTF-8"?>
<!-- Reviewed: no -->
<!-- EN-Revision: 24249 -->
<sect1 id="zend.acl.advanced">

    <title>高度な使用法</title>

    <sect2 id="zend.acl.advanced.storing">

        <title>ACL データの保存による永続性の確保</title>

        <para>
        <classname>Zend_Acl</classname> は、特定のバックエンド技術 (たとえばデータベースやキャッシュサーバを使用した
        <acronym>ACL</acronym> データの保存など) に依存しないように作られています。
        すべて <acronym>PHP</acronym> のみで実装されているので、<classname>Zend_Acl</classname> 用の管理ツールを独自に作成して
        管理の手間を省くことも可能になっています。
        <acronym>ACL</acronym> の管理を対話的に行いたいという場面も数多く発生するでしょう。そのため
        <classname>Zend_Acl</classname> では、アプリケーションのアクセス制御を設定したり、
        それに対して問い合わせたりするためのメソッドを用意しています。
        </para>

        <para>
        データの使用法にはさまざまなものが考えられるので、
        <acronym>ACL</acronym> データの保存は、場面に応じて開発者側で考えることになります。
        <classname>Zend_Acl</classname> はシリアライズ可能なので、<acronym>ACL</acronym> オブジェクトを <acronym>PHP</acronym> の
        <ulink url="http://php.net/serialize"><methodname>serialize()</methodname></ulink>
        関数でシリアライズできます。シリアライズした結果を、
        ファイルやデータベースあるいはキャッシュなどのお好みの場所に保存できます。
        </para>

    </sect2>

    <sect2 id="zend.acl.advanced.assertions">

        <title>アサーションを使用した条件付き ACL 規則の作成</title>

        <para>
        あるリソースに対する特定のロールのアクセス権限が、
        固定ではなく条件に応じて変化することもあります。
        たとえば、アクセスを認めるのは午前 8 時から午後 5 時の間に限定するといった場合です。
        別の例としては、ブラックリストに載っている特定の
        IP アドレスからのアクセスのみを拒否するといったことがあります。
        <classname>Zend_Acl</classname> は、必要に応じた任意の条件にもとづく規則を組み込みでサポートしています。
        </para>

        <para>
        <classname>Zend_Acl</classname> は、条件付きの規則を <classname>Zend_Acl_Assert_Interface</classname>
        でサポートしています。規則のアサーション用インターフェイスを使用するには、
        これを実装したクラスで <methodname>assert()</methodname> メソッドを作成します。
        </para>

        <programlisting language="php"><![CDATA[
class CleanIPAssertion implements Zend_Acl_Assert_Interface
{
    public function assert(Zend_Acl $acl,
                           Zend_Acl_Role_Interface $role = null,
                           Zend_Acl_Resource_Interface $resource = null,
                           $privilege = null)
    {
        return $this->_isCleanIP($_SERVER['REMOTE_ADDR']);
    }

    protected function _isCleanIP($ip)
    {
        // ...
    }
}
]]></programlisting>

        <para>
        アサーションクラスを作成したら、条件付きの規則を定義を割り当てる際に
        このアサーションクラスのインスタンスを指定します。
        アサーションつきで作成された規則は、アサーションメソッドが
        <constant>TRUE</constant> を返す場合にのみ適用されます。
        </para>

        <programlisting language="php"><![CDATA[
$acl = new Zend_Acl();
$acl->allow(null, null, null, new CleanIPAssertion());
]]></programlisting>

        <para>
        上のコードが作成する条件付き規則は、
        誰からのアクセスであってもすべての権限を許可しますが、リクエスト元の
        IP アドレスが "ブラックリストに載っている" 場合にのみアクセスを拒否するというものです。
        リクエスト元の IP が "クリーン" ではないとみなされた場合は、
        アクセス許可規則が適用されません。この規則はすべてのロールおよびリソースの
        すべての権限に対して適用されるので、"クリーンではない"
        IP からのアクセスは拒否することになります。
        しかし、これは特殊なケースです。通常は (つまり特定のロールやリソース、
        権限を規則の対象とする場合)、アサーションに失敗して規則が適用されなかった場合には、
        別の規則を使用してアクセスの可否を判断させるべきです。
        </para>

        <para>
        アサーションオブジェクトの <methodname>assert()</methodname> メソッドは、認証問い合わせ
        (すなわち <methodname>isAllowed()</methodname>) が適用される <acronym>ACL</acronym>、ロール、リソース
        および権限に渡されます。これを用いて、必要な場所でアサーションクラスが
        条件を判断します。
        </para>

    </sect2>

</sect1>
<!--
vim:se ts=4 sw=4 et:
-->