【发布时间】:2012-01-05 22:13:21
【问题描述】:
我需要控制谁或什么角色可以访问什么页面或什么方法。类似于 ASP MVC 或 Spring JAVA 上的类和方法注释。
我怎样才能在锂中做到这一点?
【问题讨论】:
标签: lithium
【发布时间】:2012-01-05 22:13:21
【问题描述】:
Lihtium 的核心没有内置完整的 ACL 功能,因为 ACL 问题没有真正的解决方案。
希望 Lithium 在处理外部库和插件以扩展核心功能方面表现出色。
看看li3_access,这是最完整和最灵活的插件或ACL,或者simplersolutions。
如果您只需要指定哪些操作是公开的,哪些不是,您可以使用 Lithium 过滤器来点它:阅读guide
PS:Zed Shaw - ACL 已死 http://vimeo.com/2723800
【讨论】:
-
对于一些非常简单的事情,只需从
Auth开始:dev.lithify.me/drafts/source/en/06_auth/… -
计划在接下来的几周内更新 li3_simple_acl。我还从 OWASP 的安全专家 Jim Manico 那里得到了反馈。他正在为今年第一季度的 ACL 编写备忘单。促使我编写自己的 ACL 考虑因素:lists.owasp.org/pipermail/owasp-esapi/2008-July/000256.html“我们需要摆脱直接在代码中引用角色的恐惧。”