dran0703 2015-10-15 06:45
浏览 55
已采纳

CakePHP 2.x ACL - 在所有者级别进行控制

I am able to control my application using ACL, everything done perfectly and application is working smooth with ACL and Auth.

Now the problem is:

I have two tables, users and posts. there is no RBAC (role based access control). I am setting deny and allow for each user like follow.

//allow User1 to do everything
$user->id=1;
$this->ACL->allow($user,'controllers');

//allow User2 to add, edit and view the posts 
$user->id=2;
$this->Acl->deny($user, 'controllers');
$this->Acl->allow($user, 'controllers/Posts');

but here I am getting one problem:

user2 is getting access to edit the posts of user1.

example:

User1 created a post1.

now User2 logged in now he can edit the User1's post (i.e. post1- /localhost/myApp/posts/edit/1)

Question: How can I set ACL permission to this problem, The owner of the post can only edit the post and others can not.

I can achieve this in controller level simply checking 

if($_SESSION['Auth']['User']['id'] == $Post['Post']['user_id']){
    // you're the owner, so u can edit
}else{
    //u cant edit, this is not ur post
}

but I need ACL to work here, Is it possible?, Please help

Thanks

  • 写回答

1条回答 默认 最新

  • doujia4619 2015-10-19 07:47
    关注

    here's how I would do

    first of all tell Cake that Post model is an ACO 

     // Post.php model file
 $actsAs = array('Acl' => array('type' => 'controlled'));

    this way every time you create a new post cake will automatically create an item in the acos table.

    pay attention: you'll have to manually create the node for the previously created Posts, this way:

    // for every Post in your posts table

$this->Acl->Aco->create(array('alias' => 'Post', 'id' => 123));
$this->Acl->Aco->save();

    then you have to define a parentNode() function in your Post Model file

    // Post.php model file
public function parentNode() {
    return null;
}

    Now the ACL auth handler check form permission just at an action level. In other words it just checks that you're allowed to access the action. Then it demands other checks at a controller level by the isAuthorized() function.

    so first you have to set the permission for every node

    $this->Acl->allow($user, 'controllers/Posts/edit/123')

    then in your controller you have to do

     // PostsController.php 
 public function isAuthorized($user = null) {

    if ($this->request->action === 'edit') {
        $user = // retrieve the user array. i.e. from Session
        $post_id = $this->request->$this->request->pass[0];
        $post = array('alias' => 'Post', 'id' => $post_id );
        return this->Acl->check($user, $post);
    }
    return parent::isAuthorized($user);
}

    you can also implement parentNode() function to return the owner of the Post instead of null

    // Post.php model file

// just an hint, the actual code should be 
// a bit more complex
public function parentNode() {
    $user_id = $this->field('user_id');
    return array('User' => array('id' => $user_id));
}

    this way don't have to set the permission for every single post because cake will check if the user has access to the parent node of the Post (who is a user too). So you just have to set the permission for every user

    $this->Acl->allow($user, $user);

    If you follow this method remember to set the user as an ACO too

    // User.php Model file

$actsAs = array('Acl' => array('type' => 'both'));

    I did not test the code above so I guess there are a lot of typos and errors too. If I have time i'll do some tests and improve my answer in the next days

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • AclManager:用于管理 CakePHP 2.x 的 Acl 的插件
    2021-07-04 23:11
    用于 CakePHP 2.x 的 AclManager 该插件允许您通过 Acl 模块轻松管理 CakePHP 2.x 中的权限。 从更新和修复原始源 特征 管理每个节点的权限 更新缺少 ARO(用户、角色等)的数据库 更新缺少 ACO 的数据库(控制器...
  • cakephp2.X教程第二部分(基于cakephp1.3.4在线教程的改编)
    2013-09-28 16:59
    weixin_33918114的博客 使用 CakePHP 快速打造 Web 站点,第 2 部分: 用 CakePHP 打造更大更好的站点 关于本教程 本教程讲解如何使用 scaffolding 和 Bake 立即开发 CakePHP 应用程序。您还将了解使用 CakePHPACL 的详细...
  • cakephp2.X教程第三部分(基于cakephp1.3.4在线教程的改编)
    2013-10-20 16:34
    weixin_34318956的博客 控制器的 view 操作中,应当有清单 3 所示的代码。 清单 3. 可行的   view   操作解决方案 if($this->Acl->check( $this->Session->read('user'), $id .'-'.$product['Product']['title'...
  • cakephp学习笔记
    2012-12-20 16:50
    ACL(Access Control List)访问控制机制是CakePHP中的一个重要部分,它允许开发者精细地控制用户对资源的访问权限。数据清理(Data Sanitization)功能则确保了输入数据的安全性,防止SQL注入等攻击。视图缓存...
  • Cakephp1.2 Auth&ACL结合使用总结(超级详细版)
    2010-04-16 14:50
    cherry_hit_tom的博客 大家写的关于cake1.2 Auth+ACL都过于简略,在百度空间上搜到一个比较详细的,...一、适用范围不是所有网站都需要引入ACL这么强劲的权限控制,它的粒度太细了,可以精确到每个人访问每个action的权限,所以大多数情况下
  • CakePHP概述
    2014-05-15 11:28
    恶魔果实的艾斯的博客 CakePHP概述 欢迎来到简明手册,该手册是...框架内的不同功能使用不同的技术 - 例如SQL,JavaScript和XML - 本手册并不试图解释这些技术,他们只是教你如何在特定的环境中进行使用。 什么是CakePHP?为什么使
  • 使用_CakePHP_快速打造_Web_站点
    2013-09-23 22:30
    【使用 CakePHP 快速打造 Web 站点】教程旨在引导初学者了解和使用 CakePHP 框架,以高效地开发 Web 应用程序。CakePHP 是一个基于 Model-View-Controller (MVC) 设计模式的 PHP 框架,其稳定性和便捷性使其成为快速...
  • psr php函数命名,PHP的PSR-0命名标准
    2021-04-22 09:37
    weixin_39626369的博客 PSR 是Proposing a Standards Recommendation(提出标准建议)的缩写,是由 PHP Framework Interoperability Group( PHP 通用性框架小组,简称 PHP-FIG )发起的,通过他们命名就可以看出,这是个主要是针对框架通用性...
  • php oragist,PHP的PSR-0命名标准
    2021-04-21 11:25
    裕浩的博客 PSR是Proposing a Standards Recommendation(提出标准建议)的缩写,是由PHP Framework Interoperability Group(PHP通用性框架小组,简称PHP-FIG)发起的,通过他们命名就可以看出,这是个主要是针对框架通用性而做...
  • php框架学习日志二(cakephp在xp上安装)
    2008-07-06 20:14
    wjazz的博客 在研究了一天cakephp后,终于把cakephp安装成功了,现在和大家分享一下我的安装经验,希望对大家有点用 一:下载cakephp下载最新的cakephp可以到:http://cakeforge.org/projects/cakephp/(稳定版)也可以到:...
  • 我正在翻译的CakePHP manual
    2019-10-03 11:32
    aipang7206的博客 我正在翻译的CakePHP manual CakePHP manual的中文翻译(粗略翻译,学习笔记) 序 1,读者 这份手册是为了那些像快速建立web程序的人所写。CakePHP是为了帮助PHP各个层次用户简单快速的创建健壮、...
  • 开源项目教程:基于CakePHP的论坛插件
    2024-09-15 07:10
    牧桔好Victor的博客 开源项目教程:基于CakePHP的论坛插件 项目介绍 本项目是由Miles J开发的一个已废弃的CakePHP插件——forum,它提供了构建论坛或公告板...它设计用于与外部用户系统集成,并支持BBCode,旨在为CakePHP框架的使用者...
  • CakePHP中文手册【翻译】-ACL
    2006-11-28 23:24
    weixin_34150830的博客 访问控制列表或ACL[1]处理2件主要的事情:他们想要的事情,以及想要他们的事情。按照ACL的行话来说,事情想要的使用的原料(最常见的是用户)称为访问请求对象,或者ARO(Access Request Object)。这些实体之...
  • CakePHPCookbook
    2012-12-26 21:30
    - **简单 ACL 控制的应用**:展示如何使用 ACL (Access Control List) 来管理用户的访问权限。 ##### 13. 附录 - **迁移指南**:提供从旧版本迁移到 2.3、2.2 及 2.1 版本的具体步骤。 通过以上章节的详尽解读,...
  • CakePHP入门
    2010-01-02 23:28
    yangzibin的博客  本文主要介绍CakePHP架构,及怎样安装配置使用此架构入门进行开发。  (二)需求(1)了解基本PHP 代码。(2)已配置Apache+MySQL+PHP的开发环境。  (三)正文(1) CakePHP介绍  CakePHP是一个基于PHP,...
  • PSR规范
    2016-12-07 14:43
    NiluChen的博客 1 概述2 文件 21 PHP标签22 字符编码23 副作用 3 空间名namespace和类名class name4 类的常量属性和方法 41 常量42 属性43 方法 PSR-2 代码样式规范 1 概述 11 示例 2 通则 21 基础代码规范22 源文件23 行24...
  • 没有解决我的问题, 去提问