--兼谈权限系统设计的一些问题
Zend Framework 作为 PHP 的一个官方编程框架,刚一推出来就引起了震动,大家把它简称为“ZF”。看来 PHP 已经在寻求向企业开发市场进军。但是由于推出时间短,熟悉 ZF 的开发人员,特别是国内的程序员,对 ZF 了解的还不多。现在市面上还找不到一本专门介绍 ZF 的图书,现有的资料,大部分是英文版,Zend 公司与中国公司合作翻译的 Zend FrameWork 中文手册,还是个烂尾工程,而且是 1.0 或 1.2 版本的,最新的 ZF 1.5.1 资料更少。而用 ZF 全程编写的产品更是凤毛麟角。
有人说,ZF 简直就是 ROR(Ruby On Rail)的翻版,看来 ZF 应该具有当前流行的动态语言的优点,特别是对 MVC 的良好支持。
了解 ZF 的人,应该对 ZF 的权限管理印象深刻。ZF 手册在第一章的简介之后,第二章就拉出 Zend_Acl(访问控制授权)来介绍,而第三章就是Zend_Auth 的内容(认证)。从知识认知的逻辑顺序上,我个人感觉这样安排是不合适的。事实上第二和第三章的内容介绍,牵扯了许多后续章节的内容,我们不得不从第 7 章 Zend_Controller 开始看起。(注:后来了解到,Zend 的手册,是由志愿者翻译的,章节是以字母为顺序的!哈~~除过字典,我还没见过什么书是这么排列内容的!)
但是不得不承认 ZF 的认证和授权是个优秀的设计。ZF 的认证相对简单,我们可以直接连接数据库表,对用户输入的用户名和密码进行比较,确认当前用户的身份。还提供了摘要式认证等方法。而 ACL(访问控制列表)提供的授权就很强大。
ACL 提出了资源、角色、动作(访问)三个概念,用这些概念可以轻易构造一个强大的权限管理系统。而且权限管理可以细化到模块下的浏览、添加、删除、修改等细微动作。(ASP.NET 只能控制到页面(模块)级别,更细致的控制需要程序员自己设计和实现)。这里粘一些代码,仅仅是说明一下(在 IIS6.0 + ZF1.51 + Apache2.2 下调试的):
//4种角色:admin, editor, guest, auditor, poweruser
//4种资源:channel, item, bbs, blog
//3种动作:view, edit, revise
//要求:
//admin对所有资源有所有权限
//guest对所有资源只有view权限
//editor对channel, item, bbs有view, edit权限
//auditor对channel, item, bbs, blog有revise权限
//poweruser继承editor, auditor权限
//定义角色
$acl = new Zend_Acl();
$roleAdmin = new Zend_Acl_Role('admin');
$acl->addRole($roleAdmin);
$roleEditor = new Zend_Acl_Role('editor');
$acl->addRole($roleEditor);
$roleGuest = new Zend_Acl_Role('guest');
$acl->addRole($roleGuest);
$roleAuditor = new Zend_Acl_Role('auditor');
$acl->addRole($roleAuditor);
$rolePoweruser = new Zend_Acl_Role('poweruser');
$acl->addRole($rolePoweruser, array('editor', 'auditor'));
//添加资源
$acl->add(new Zend_Acl_Resource('channel'));
$acl->add(new Zend_Acl_Resource('item'));
$acl->add(new Zend_Acl_Resource('bbs'));
$acl->add(new Zend_Acl_Resource('blog'));
//分配权限
//admin:
$acl->allow($roleAdmin, null, null);
//editor:
$acl->allow('editor', array('channel', 'item', 'bbs'), array('view', 'edit'));
//guest:
$acl->allow('guest', null, 'view');
//auditor:
$acl->allow('auditor', array('channel', 'item', 'bbs', 'blog'), array('revise'));
//poweruser(从 editor, auditor 继承权限),可以再叠加另外的权限
//$acl->allow('poweruser', null, null);
//给所有角色分配权限(包括 admin)
//$acl->allow(null, '', '');
//$acl->deny(null, '', '');
查看以上代码的最终权限,可以参考一下代码:
foreach (array('admin', 'editor', 'guest', 'auditor', 'poweruser') as $role)
{
echo '<br>' . '角色 ' . $role . '<br>';
echo '<table border=1>';
echo '<tr><td align=center>\</td><th>channel</th><th>item</th><th>bbs</th><th>blog</th></tr>';
foreach (array('view', 'edit', 'revise') as $right)
{
echo '<tr>';
echo '<th>'. $right .'</th>';
foreach (array('channel', 'item', 'bbs', 'blog') as $resource)
{
echo '<td>';
echo $acl->isAllowed($role, $resource, $right)?"allowed" : "denied";
echo '</td>';
}
echo '</tr>';
}
echo '</table>';
}
}
这些资源、角色、动作,在以上代码片段里,是作为硬编码存在的,实际项目中,可以作为数据在数据库里保存。灵活应用就需要程序员的智慧了。
ZF 的用户,只划分到“角色”这一级,也就是说,不能给某个用户直接分配权限。这肯定是出于简化设计而考虑的,否则设计和实现会复杂的多!这个有个小缺点,就是要为一个用户分配权限,必须首先建一个角色(相当于用户组),再把该用户加入到该角色下,通过角色来给该用户分配权限。而权限设计中,用户、角色、资源、动作的相互包含、交叉,其结果导致问题变得非常复杂!这么复杂的逻辑关系,不借助其他工具(例如计算机),人的大脑大多数情况下是很难想明白的。
希望西安的 PHP 程序员、教师,一起来推动 PHP 在西安的应用和发展。
张庆(网眼)
QQ:9365822
Tel:88508328,13152101936
2008-5-10
| $show_otherlinks$ 
这就是我 
日志搜索 
友情链接
其他信息
-|