Главная Обзор Помощь
Вход
boarspring
/
repo_zf1
зеркало из https://github.com/bluescreen/zf1-php7.2.git
2
0
Ответвить 1
Файлы Задачи 0 Вики
Ветка: master
Ветки Метки
repo_zf1
/
documentation
/
manual
/
zh
/
module_specs
/
Zend_Acl-Refining.xml

Zend_Acl-Refining.xml 5.8 KB
Постоянная ссылка История Исходник

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172 
  1. <sect1 id="zend.acl.refining">
    2. 

  2. 

  3.     <title>精细的访问控制</title>
    4. 

  4. 

  5.     <sect2 id="zend.acl.refining.precise">
    6. 

  6. 

  7.         <title>精细的访问控制</title>
    8. 

  8. 

  9.         <para>
    10. 

  10.             在<link linkend="zend.acl.introduction">前一章节</link>中定义的基本的 ACL 显示如何在整个 ACL (所有的 resources )允许各种各样的权限。然而在实践中,访问控制趋向于拥有例外和可变程度的复杂性。Zend_Acl 允许你直截了当并灵活地完成这些精细准确的控制。
    11. 

  11.         </para>
    12. 

  12. 

  13.         <para>
    14. 

  14.             对于CMS范例,'staff' 组覆盖了绝大多数用户的需求,同时,一个新的 'marketing' 组要求在CMS中访问时事通讯和最近的新闻。这个组相当地自给自足并有能力发布和归档时事通讯和最近的新闻。
    15. 

  15.         </para>
    16. 

  16. 

  17.         <para>
    18. 

  18.            另外,还要求 'staff' 组被允许浏览新闻故事但不能修订最近的新闻。最后,不可能让每一个人(包括系统管理员)去归档任何'announcement' 新闻故事,因为它们只有1-2天的生命周期。
    19. 

  19.         </para>
    20. 

  20. 

  21.         <para>
    22. 

  22.             首先我们修订 role 注册表来反映这些变化。我们已经确定 'marketing' 组和 'staff' 组有着同样的基本许可,所以我们用从 'staff' 组继承许可的方法来定义 'marketing' 组
    23. 

  23.         </para>
    24. 

  24. 

  25.         <programlisting role="php"><![CDATA[
    26. 

  26. // 新 marketing 组从 staff 组继承许可
    27. 

  27. $acl->addRole(new Zend_Acl_Role('marketing'), 'staff');
    28. 

  28. ]]>
    29. 

  29.         </programlisting>
    30. 

  30. 

  31.         <para>
    32. 

  32.            然后, 注意上面的访问控制涉及到特定的 resources ( 例如 "newsletter", "latest news", "announcement news"). 现在我们来添加这些 resources:
    33. 

  33.         </para>
    34. 

  34. 

  35.         <programlisting role="php"><![CDATA[
    36. 

  36. // Create Resources for the rules
    37. 

  37. 

  38. // newsletter
    39. 

  39. $acl->add(new Zend_Acl_Resource('newsletter'));
    40. 

  40. 

  41. // news
    42. 

  42. $acl->add(new Zend_Acl_Resource('news'));
    43. 

  43. 

  44. // latest news
    45. 

  45. $acl->add(new Zend_Acl_Resource('latest'), 'news');
    46. 

  46. 

  47. // announcement news
    48. 

  48. $acl->add(new Zend_Acl_Resource('announcement'), 'news');
    49. 

  49. ]]>
    50. 

  50.         </programlisting>
    51. 

  51. 

  52.         <para>
    53. 

  53.            接着,这个是在 ACL 的目标区域定义更特定的规则的概况:
    54. 

  54.         </para>
    55. 

  55. 

  56.         <programlisting role="php"><![CDATA[
    57. 

  57. // Marketing must be able to publish and archive newsletters and the
    58. 

  58. // latest news
    59. 

  59. $acl->allow('marketing',
    60. 

  60.             array('newsletter', 'latest'),
    61. 

  61.             array('publish', 'archive'));
    62. 

  62. 

  63. // Staff (和 marketing, 通过继承), 禁止修订 latest news
    64. 

  64. $acl->deny('staff', 'latest', 'revise');
    65. 

  65. 

  66. // Everyone (包括 administrators) 禁止归档 news announcements
    67. 

  67. $acl->deny(null, 'announcement', 'archive');
    68. 

  68. ]]>
    69. 

  69.         </programlisting>
    70. 

  70. 

  71.         <para>
    72. 

  72.            我们现在能够查询到 ACL 的最新变化:
    73. 

  73.         </para>
    74. 

  74. 

  75.         <programlisting role="php"><![CDATA[
    76. 

  76. echo $acl->isAllowed('staff', 'newsletter', 'publish') ?
    77. 

  77.      "allowed" : "denied";
    78. 

  78. // denied
    79. 

  79. 

  80. echo $acl->isAllowed('marketing', 'newsletter', 'publish') ?
    81. 

  81.      "allowed" : "denied";
    82. 

  82. // allowed
    83. 

  83. 

  84. echo $acl->isAllowed('staff', 'latest', 'publish') ?
    85. 

  85.      "allowed" : "denied";
    86. 

  86. // denied
    87. 

  87. 

  88. echo $acl->isAllowed('marketing', 'latest', 'publish') ?
    89. 

  89.      "allowed" : "denied";
    90. 

  90. // allowed
    91. 

  91. 

  92. echo $acl->isAllowed('marketing', 'latest', 'archive') ?
    93. 

  93.      "allowed" : "denied";
    94. 

  94. // allowed
    95. 

  95. 

  96. echo $acl->isAllowed('marketing', 'latest', 'revise') ?
    97. 

  97.      "allowed" : "denied";
    98. 

  98. // denied
    99. 

  99. 

  100. echo $acl->isAllowed('editor', 'announcement', 'archive') ?
    101. 

  101.      "allowed" : "denied";
    102. 

  102. // denied
    103. 

  103. 

  104. echo $acl->isAllowed('administrator', 'announcement', 'archive') ?
    105. 

  105.      "allowed" : "denied";
    106. 

  106. // denied
    107. 

  107. ]]>
    108. 

  108.         </programlisting>
    109. 

  109. 

  110.     </sect2>
    111. 

  111. 

  112.     <sect2 id="zend.acl.refining.removing">
    113. 

  113. 

  114.         <title>除去访问控制</title>
    115. 

  115. 

  116.         <para>
    117. 

  117.             要从 ACL 中除去一个或多个访问规则,只要简单地用 <code>removeAllow()</code> 或 <code>removeDeny()</code> 方法即可。如果提供一个<code>null</code>参数值给 <code>allow()</code> 和 <code>deny()</code> 方法,则访问规则将应用到所有的角色,资源和/或权限上。
    118. 

  118.         </para>
    119. 

  119. 

  120.         <programlisting role="php"><![CDATA[
    121. 

  121. // 除去 “禁止 staff 修订最近的新闻”(和marketing, 由于继承的原因)
    122. 

  122. //(等于允许staff修订最近的新闻 Jason注)
    123. 

  123. $acl->removeDeny('staff', 'latest', 'revise');
    124. 

  124. 

  125. echo $acl->isAllowed('marketing', 'latest', 'revise') ?
    126. 

  126.      "allowed" : "denied";
    127. 

  127. // allowed
    128. 

  128. 

  129. // Remove the allowance of publishing and archiving newsletters to
    130. 

  130. // marketing
    131. 

  131. $acl->removeAllow('marketing',
    132. 

  132.                   'newsletter',
    133. 

  133.                   array('publish', 'archive'));
    134. 

  134. 

  135. echo $acl->isAllowed('marketing', 'newsletter', 'publish') ?
    136. 

  136.      "allowed" : "denied";
    137. 

  137. // denied
    138. 

  138. 

  139. echo $acl->isAllowed('marketing', 'newsletter', 'archive') ?
    140. 

  140.      "allowed" : "denied";
    141. 

  141. // denied
    142. 

  142. ]]>
    143. 

  143.         </programlisting>
    144. 

  144. 

  145.         <para>
    146. 

  146.           如上所示,对于权限的修改可能是增量的,但使用 <code>null</code> 值(未指定权限项的参数值)超越了对权限的增量修改。(所谓的增量修改是指可以对 Resources 一个一个地添加权限或禁止,而如果未指定权限参数值,即使用 <code>null</code> 值,可以使得这些步骤简化,一次性地对某个Resource的所有权限进行允许或禁止。Jason注,Haohappy补)
    147. 

  147.         </para>
    148. 

  148. 

  149.         <programlisting role="php"><![CDATA[
    150. 

  150. // 允许 marketing 对 latest news 有所有的许可
    151. 

  151. $acl->allow('marketing', 'latest');
    152. 

  152. 

  153. echo $acl->isAllowed('marketing', 'latest', 'publish') ?
    154. 

  154.      "allowed" : "denied";
    155. 

  155. // allowed
    156. 

  156. 

  157. echo $acl->isAllowed('marketing', 'latest', 'archive') ?
    158. 

  158.      "allowed" : "denied";
    159. 

  159. // allowed
    160. 

  160. 

  161. echo $acl->isAllowed('marketing', 'latest', 'anything') ?
    162. 

  162.      "allowed" : "denied";
    163. 

  163. // allowed
    164. 

  164. ]]>
    165. 

  165.         </programlisting>
    166. 

  166. 

  167.     </sect2>
    168. 

  168. 

  169. </sect1>
    170. 

  170. <!--
    171. 

  171. vim:se ts=4 sw=4 et:
    172. 

  172. -->
    173.