如何在 Zend Acl 中实现资源之间的多重继承？

Question

长话短说：为什么 Zend ACL 支持角色之间而不是资源之间的多重继承？

我有一个大型资源树，我希望能够对其授予权限。过去，我所做的就是创建两棵不同的树。第一个具有树中每种类型的通用资源。第二个具有这些类型的所有实例，以相同的方式排列。这意味着如果您要对树进行超级强加，您会在同一级别上找到相同类型的对象。然后，将每个对象实例设置为将其来自第一棵树的通用对象作为附加父对象。这允许我为每种类型的对象设置默认权限，因此每个实例都将继承它们，而不是我必须定义它们，但仍然给了我对每个实例的精细、特定的访问权限。

一个例子：

一个网站有 3 个模块： 用户，其中存储用户配置文件和诸如此类的东西。 论坛，就当前问题进行热烈讨论 画廊，用户可以在其中上传宠物的照片

所以，上面提到的泛型树应该是这样的：

模块 / | \ 用户论坛图库 / | \ 个人资料主题照片 | 邮政

实例树看起来像这样：

模块_1 // / | \ \ 用户 1 用户 2 用户 3 论坛 画廊 1 画廊 2 | | | / \ / \ / \ 个人资料 个人资料 个人资料 sub1 sub2 照片 照片 照片 照片 | / \ 后 1 后 2 后 3

并且在 ACL 中，每个用户对象实例都将从第一棵树中的用户继承。所以默认我想让所有东西都可读，所以我允许在模块上读取。一切都继承自模块，所以一切都很好。我还希望用户能够编辑他们的个人资料，所以我授予每个用户在他们各自的个人资料上的编辑权限，泛型树在这里没有帮助。假设我的照片画廊是 NSFW，所以我想拒绝阅读它们。通过多重继承，我可以拒绝任何未注册用户的照片读取，这只是一个操作。如果没有多重继承，我必须检查每张照片并拒绝未注册用户的读取权限。如果我有很多照片，这是个坏消息。

有谁知道这样做的方法吗？它提供了我能想到的最灵活的解决方案。如果您能想到可以使用 Zend_Acl 实现的更好的东西，也请回复！

非常感谢。

Answer 1

首先，回答你的问题。资源的多重继承。 Zend_ACL 不支持，因为您的资源树旨在复制您正在保护的物理资源。您根本不能（例如）在多个父目录中存在一个文件。

所以为您提供解决方案...

• 我假设您的“泛型”树是您的资源。

• 您的角色应该代表您的用户组，例如匿名、注册、版主、管理员等。每个更宽松的角色都应该继承前一个角色，因此“注册”将继承自“匿名”，“版主”继承自“注册'等。这允许每个级别拥有其父级的所有权限，然后添加一些。

• 假设您使用我所描述的结构，您还将使用特权来分配可能的用户操作。 IE。 “查看”、“编辑”、“添加”和“管理”参见link text

• 您需要将“查看”权限分配给“模块”上的匿名角色，并授予所有人读取权限。

• 您需要为“论坛”上的注册角色分配“添加”权限，在此通过授予读取（从匿名角色继承）和添加到注册用户。

• 您需要为“gallery”上的注册角色分配“add”权限，并在此处将读取（再次继承）和添加到注册用户。

• 对版主、管理员等进行冲洗和重复。

• 要允许用户修改他们自己的个人资料、图片上传等，您不会使用 ACL 来处理此级别的交互。只需在代表资源的任何对象（图像对象、配置文件对象等）上创建一个 isOwner 方法，该方法将根据当前登录的用户是否拥有该项目返回一个布尔值。这样您就可以决定是否允许该用户编辑/删除/等该配置文件/图像。

希望这有用！

Answer 2

我不能直接从经验中推荐任何东西，我很久以前就用每个资源的多个权限来做这件事，这有点痛苦。

如果我现在正在编写 ACL 代码，我可能会在 http://codeutopia.net/blog/2009/02/11/zend_acl-part-2-different-roles-and-resources-more-on-access/ 上查看这篇关于 ACL 资源类型的文章，或许还有第 1 部分和第 3 部分以获得灵感。

在文章的最后，有人谈到允许跨所有资源进行读取访问并创建一揽子允许/拒绝规则。