Používat traity, nebo dědičnost?

@Bulldog omlouvám se za odbočení od původního tématu vlákna. Díky za profesionální výklad trait do hloubky a de facto ukončení diskuze. Shrnuto jednou větou ideální je rozumná kombinace dědění a kompozice, tedy použití hierarchie presenterů a trait tam, kde se ta která technika nejlépe hodí.

@m.brecher K tvému případu, kdy traity použít „nejde“

trait CanonizerImpl
{

	final public function injectCanonizer(Canonizer $canonizer): void
	{
        $this->onStartup[] = fn() => $canonizer->canonize();
	}

}

Editoval Marek Bartoš (17. 10. 2022 0:13)

@Bulldog

Ahoj, ohledně „zasouvání“ komponent do presenterů pomocí use trait bych měl dotaz na provozní zkušenosti s komponentami v traitách a nějaké detaily provedení.

Na fóru a v dokumentaci Nette se prosazují 3 základní návrhové vzory jak vkládat komponenty a formuláře do presenterů.

a) createComponent<Component>() + new Form/Component v presenteru

b) createComponent<Component>() + $this->componentFactory->create() v presenteru + třída Factory bokem

c) u formulářů ještě třída dědící z Control která uvnitř obsahuje formulář + totéž co v b)

U všech tří způsobů je v presenteru nějaký kód, u způsobu a) se před presenter do komponenty předávají závislosti, b) a c) umožňuje předat závislosti pomocí Factory přímo. c) u formulářů umožňuje věci, které formuláře neumí – např. persistentní parametry, nebo oddělené vykreslování.

Jak píšeš, že traita nastoupila jako dobrá možnost pro zjednodušení kódu presenterů a znovupoužití komponent, tak mě napadá, že traitu u komponent můžeme jednak použít pro odsunutí části kódu stranou – a to jak kód komponenty – factory i obslužné handlery eventů formulářů nebo signálů, tak také injektování závislostí pro komponentu. Napadá mě, že použijeme-li pro vložení komponenty do presenteru traitu, tak Factory komponenty ztrácí smysl. Je to tak?

Jinak moc díky za obsáhlé a fundované vysvětlení problematiky.

@KamilValenta K layoutům bych podotkl, že hodně záleží na tom, jak vlastně layout stavíš. Pokud layoutem řešíš třeba nějaké části menu v administraci, tak potom souhlasím, že v jednom modulu může být více layoutů. Moduly jsou o seskupení souvisejících presenterů a komponent ideálně se stejnými uživatelskými právy. Layout nemusí nutně moduly kopírovat. Kvůli více layoutům myslím nestojí za to vytvářet další vrstvu v hierarchii presenterů. Tam traity asi splní svůj účel perfektně – nebo komponenty. Layout lze pojmout i jako komponentu.

V Nette moc projektů za sebou nemám, ale myslím, že koncept, že má administrace jeden hlavní layout a několik podlayoutů je u složitějších aplikací dobrý koncept. Až to budu někdy dělat, vzpomenu si na traity ;).

Editoval m.brecher (17. 10. 2022 4:30)

m.brecher napsal(a):

@KamilValenta K layoutům bych podotkl, že hodně záleží na tom, jak vlastně layout stavíš. Pokud layoutem řešíš třeba nějaké části menu v administraci, tak potom souhlasím, že v jednom modulu může být více layoutů. Moduly jsou o seskupení souvisejících presenterů a komponent ideálně se stejnými uživatelskými právy. Layout nemusí nutně moduly kopírovat. Kvůli více layoutům myslím nestojí za to vytvářet další vrstvu v hierarchii presenterů. Tam traity asi splní svůj účel perfektně – nebo komponenty. Layout lze pojmout i jako komponentu.

V Nette moc projektů za sebou nemám, ale myslím, že koncept, že má administrace jeden hlavní layout a několik podlayoutů je u složitějších aplikací dobrý koncept. Až to budu někdy dělat, vzpomenu si ta traity ;).

Právě menu řeším komponentou, která se mění podle potřeby. Takže layout vypadá stejně i v rámci změny menu.

Ohledně přehlednosti změny layoutu mi přijde rozumnější například takováto struktura:

	BackModule	// Pouze pro přihlášené
		Components // komponenty obecně pro přihlášené uživatele (například výpis z účtu)
		Presenters // Zde je BasePresenter, který ověřuje, jestli je uživatel přihlášen a případně přesměruje na přihlášení

		SupervisorModule	// Pro supervisory s jejich vlastním layoutem/vzhledem stránky + možností se přepnout na uživatele (nemusí být v layoutu if)
			Components	// komponenty specifické pro supervisory (například možnost vidět seznam uživatelů)
			Presenters  // Presentery (včetně BasePresenteru ověřujícího, jestli jsme Supervisor a máme sem přístup)

		ClientModule	// Pro klienty s jejich vlastním vzhledem aplikace
			Components	// komponenty specifické pro klienty (například nákup předplatného, který supervisor nepotřebuje)
			Presenters // asi víme

Než takováto:

	BackModule	// Pouze pro přihlášené
		Components // komponenty pro všechny uživatele včetně těch konkrétních
		Presenters // Zde není BasePresenter, který ověřuje, jestli je uživatel přihlášen a případně přesměruje na přihlášení
		Traits	// Zde je traita oveřující přihlášení, traita ověřující, jestli jsi supervisor, traita ověřující jestli jsi zákazník
				// a všechny tyto traity jsou v různých presenterech použity různě, takže aniž by jsi rozkliknul daný presenter
				// tak nevíš, jestli ten presenter je pro klienta, nebo je pro supervisora, nevíš ani jaký layout zrovna používá
				// nevíš jaké je zamýšlené chování atp.

Samozřejmě druhá možnost se dá s tím, že nevíme který presenter co používá a jaký má layout atp. vyřešit správným názvoslovím, ale názvy pro presenter typu
ClientArticleAddPresenter
ClientArticleEditPresenter
ClientArticleListPresenter
ClientArticleDetailPresenter
ClientAccountStatementViewPresenter
ClientAccountNumberAddPresenter
ClientAccountNumberEditPresenter
ClientAccountNumberListPresenter
SupervisorArticleAddPresenter
SupervisorArticleEditPresenter
SupervisorArticleListPresenter
SupervisorArticleDetailPresenter
SupervisorAccountStatementViewPresenter
SupervisorAccountNumberAddPresenter
SupervisorAccountNumberEditPresenter
SupervisorAccountNumberListPresenter
SupervisorClientEditPresenter
SupervisorClientAddPresenter
SupervisorClientListPresenter
ClientSupervisorDetailPresenter

Atp. v rámci jednoho modulu (a to si vezměme, že toto je jen 5 logických stránek. Běžně jich weby mívají i 30…), nebo to ještě rozházené do více modulů, jak jeden kolega kdysi měl na každý jednotlivý Presenter samostatný modul třeba mi přijde zbytečně komplikované. Ztratil jsem se dokonce i když jsem to tu vypisoval.
Nejhorší jsou poslední 2. Je poslední opravdu presenter, kdy klient může nahlížet na detail svého supervisora, nebo jde o špatně nazvaný Presenter, kdy supervisor může nahlížet na detail svého klienta, když Presenter s názvem SupervisorClientDetailPresenter neexistuje? Jde o Presentery které používají layout od klienta, nebo supervisora? Mám se řídit zbylým názvoslovím, nebo byl kolega co to psal trochu mimo a nazval to špatně?

Toto s mým přístupem ‚modul = layout‘ neřešíš a problémy odpadají.

Samozřejmě nevím, jak to řeší ostatní, takže nemůžu říct, jak moc dobrý můj systém je. Nicméně z mého osobního pohledu a názoru je dobrý a nezaznamenal jsem zatím situaci, kdy by nešel použít.

Budu ale rád za jiné návrhy uspořádání. Nicméně to asi zase v novém vlákně?

Editoval Bulldog (17. 10. 2022 2:44)

m.brecher napsal(a):

/app
	/Admin
		/Components			# komponenty modulu admin
			/templates
		/Forms				# formuláře modulu admin
			/templates
		/Presenters
			AdminPresenter.php  # předek modulu admin
			ArticlePresenter.php  # presentery odpovídají modelové jednotce entita - tedy tabulka, nebo tabulka + položky
			.......
		/templates	# šablony akcí presenterů + layout + doplňky layoutu
			/Article	šablony akcí ArticlePresenter
				default.latte
				update.latte
				create.latte
			.......
			@admin-layout.latte  - rozšiřuje @layout.latte
			... další šablony pro celý modul admin
	/Front
		/Components			# komponenty modulu front
			/templates
		/Forms				# formuláře modulu front
			/templates
		/Presenters
			FrontPresenter  # předek modulu front
			.......
		/templates	# šablony akcí presenterů + layout + doplňky layoutu
			/Article	šablony akcí ArticlePresenter
			.......
			@front-layout.latte  - rozšiřuje @layout.latte
			... další šablony pro celý modul front
	/Presenters
		BasePresenter   # předek modulových předků
		ErrorPresenter   # error presentery pro celý web
		Error4xxPresenter
		SmartPresenter	# traita vylepšující funkcionalitu Nette Presenteru
	/templates
		/Error
			šablony error presenteru
		@layout.latte	# base layout pro celý web
		flashes.latte	# flash okénko pro celý web
		.........
	/Model
		/Admin
			.....
		/Front
			.....
	/Forms			# moje vylepšeníčka Nette formulářů pro celý projekt
		DateInput.php
		DatetimeInput.php
		FormFactory.php
		SmartForm.php
		SmartFormControl.php
		SmartFormFactory.php
		/templates
			smartFormTemplate.latte
	/Components
		/templates
		..... # zde mám všechny komponenty pro layout

Tohle je přesně struktura, od které jsme před lety upustili a ani jeden den jsme změny nelitovali.
Nikdy jsem nepochopil, proč někdo dělá adminModule, je to asi pozůstatek z dob, kdy „admin skripty“ byly v podadresáři „admin“.

Z mého pohledu je modul soustava funkcí, která nad společným tématem pracuje samostatně. Proto chci, aby celý modul byl v jednom adresáři. Chce klient články? Zkopíruju jeden adresář articleModule. Chce eshop? Zkopíruju eshopModule. Každý modul v sobě má frontendové presentery, administrační presentery, neon configy, routy, modely, atp.

Jak bys teď v uvedeném příkladu řešil přenositelnost modulu Article? Vykopíruješ Front/Presenters/ArticlePresenter a šablony. Zkusíš spustit – 500. Aha, zapomněl jsi, že v admin části k tomu něco leží. Vykopíruješ Admin/Presenters/ArticlePresenter a šablony. Zkusíš spustit – 500. Aha, v adminu je krom ArticlePresenter ještě ArticleFeedPresenter. Dokopíruješ ještě tohle. Spustíš – zase 500. Člověk rozladěně kouká na Tracy, že to nenašlo model. No jo, ještě v úplně jiném místě k tomu měly být modely.

Já prostě nevidím přínos v tom mít všechny admin presentery u sebe, všechny front presentery u sebe, všechny modely u sebe, komponenty atp. Vidím přínos, když modul kompaktně má u sebe vše co potřebuje, hlouběji členěné na presentery, komponenty atp. Proto ta potřeba mít více layoutů v jednom modulu, jasně, protože frontové presentery jedou v jiném designu než administrátorské presentery.

Ten admin presenter v modulu si prostě jen traitou řekne o přihlášeného uživatele jménem a heslem a o vykreslení v admin layoutu. Jiný admin presenter (třeba z HW terminálu) si řekne o přihlášení tokenem a o vykreslení v terminálovém layoutu. Frontový presenter si řekne o front layout, eshopový presenter se zbožím si řekne o eshop layout, eshopový presenter s objednávkami si řekne o přihlášeného uživatele a eshop layout.

Ale jak jsem uvedl už včera v původním vlákně, s dědičností jsi uvedl funkční příklad, od počátku to nerozporuji. Jen byl označen za ideální a já chtěl na jeho nedostatky upozornit a nabídnout jinou cestu. Jak už to tak bývá, cest je vždy více a záleží na programátorovi, po čem sáhne. Dědičnost je super věc a strašně často ji používáme, ale futrování všeho společného do BasePresenteru je podobný přežitek, jako classa „App\Konstanty“ :)

Editoval Kamil Valenta (17. 10. 2022 14:19)

To bylo pár dotazů. Problémů nastalo samozřejmě více, kdy jsem nevěděl, jak to pořádně strukturovat v projektu a výsledek byl, že byla obrovská základní složka, kde se objevovalo spousty komponent/tříd/služeb sdílených napříč jednotlivými moduly, ale jen některými zde, některými tam atp. No a tento návrh adresářové struktury, kdy mám kvůli 2 modulům, které sdílí stejné zdroje tyto zdroje vytaženy ven, i když jsou specifické jen pro Admin část mi přišlo v logickém měřítku stejné a tedy i stejně špatné, jako když parent třída má funkce, které potomek nevyužívá a z toho jsem odvodil, že to je špatný návrh.

Nyní to řeším tedy podobně, jak psal @mbrecher s tím rozdílem, že každá logická věc na stránce, v šabloně, má vlastní komponentu a tyto komponenty pomocí trait používám v presenterech, ke kterým toto logicky přísluší podle šablony.

Například pokud mám tedy výpis článků, kontaktní formulář v patičce a formulář na přepnutí na podřízeného, který je specifický pro layout, ke kterému je přiřazen, tak moje struktura vypadá asi takto:

App
	Components		# komponenty využitelné napříč moduly
		Article
			Grid
				Control.php			# stará se o vykreslení gridu - tahá data z databáze a předává je šabloně i s paginátorem - taktéž využívá ArticleRepository a UserRepository
				ControlFactory.php	# Interface pro tvorbu Control instance
				PresenterTrait.php	# Stará se o integraci do Presenteru a vyžaduje od presenteru, aby nastavil cestu k šabloně
		Contact
			Form
				Control.php			# opět vykreslení + tvorba formuláře z továrny
				ControlFactory.php	# jako výše
				FormFactory.php		# tvoří formulář a jako závislosti má mailer, kterému to pošle
				PresenterTrait.php	# jako výše
	AdminModule
		Components
			ArticleGridPresenterTrait.php	# dědí z 'App\Components\Article\Grid\PresenterTrait.php' a přepisuje cestu k šabloně
			ContactFormPresenterTrait.php	# dědí z 'App\Components\Contact\Form\PresenterTrait.php' a přepisuje cestu k šabloně
			Subordinate		# Specifická komponenta pro AdminModule, jinde se nepoužívá, protože v šablonách není (nikdo jiný než admin nemůže přepínat uživatele) a taktéž využívá UserRepository, stejně jako ArticleGrid
				Change
					Control.php			# opět vykreslení + tvorba formuláře z továrny
					ControlFactory.php	# jako výše
					FormFactory.php		# tvoří formulář a jako závislosti má model, který se postará o vyhodnocení
					PresenterTrait.php	# jako výše ale včetně nastavení šablony, jelikož nikdo jiný nebude potřebovat šablonu nastavit
			templates
				articleGrid.latte		# šablona specifická pro danou komponentu v rámci admin layoutu (protože jsme v admin modulu a zde bude tedy vypadat jinak, než v client modulu)
				contactForm.latte
				subordinateChange.latte
		Presenters
			Presenter.php		# abstraktní presenter ověřující práva na přístup pro adminy a využívající traity 'App\AdminModule\Components\ContactFormPresenterTrait' a 'App\AdminModule\Components\Subordinate\Change\PresenterTrait', jelikož tyto 2 komponenty se vykreslují v rámci AdminLayoutu.
			ArticleGridPresenter.php		# Konkrétní presenter pro výpis článků, který extenduje abstraktní presenter stejné složky a používá navíc traitu 'App\AdminModule\Components\ArticleGridPresenterTrait'
		templates 		# šablony pro presentery
			ArticleGrid.default.latte	# obsahuje vykreslení komponenty z traity pomocí makra 'control'
			@layout.latte				# obsahuje načtení obecných skriptů, základní vzhled stránky pro adminy, vykreslení obecných komponent z abstraktního presenteru atp.
		Router
			RouterFactory.php		# Definuje všechny routy pro daný modul a všem dá případný jednotný prefix na 1 místě
	ClientModule
		Components
			ArticleGridPresenterTrait.php	# dědí z 'App\Components\Article\Grid\PresenterTrait.php' a přepisuje cestu k šabloně
			ContactFormPresenterTrait.php	# dědí z 'App\Components\Contact\Form\PresenterTrait.php' a přepisuje cestu k šabloně
			# Tento modul nemá žádné své specifické komponenty zatím
			templates
				articleGrid.latte		# šablona specifická pro danou komponentu v rámci client layoutu (protože jsme v client modulu a zde bude komponenta vypadat jinak, než v admin modulu)
				contactForm.latte
		Presenters
			Presenter.php		# abstraktní presenter ověřující práva na přístup pro klienty a využívající traity 'App\ClientModule\Components\ContactFormPresenterTrait' a 'App\ClientModule\Components\Subordinate\Change\PresenterTrait', jelikož tyto 2 komponenty se vykreslují v rámci ClientLayoutu.
			ArticleGridPresenter.php		# Konkrétní presenter pro výpis článků, který extenduje abstraktní presenter stejné složky
		templates 		# šablony pro presentery
			ArticleGrid.default.latte	# obsahuje vykreslení komponenty z traity pomocí makra 'control', ale struktura je jiná, než ve stejnojmenné šabloně z admin modulu.
			@layout.latte				# obsahuje načtení obecných skriptů, základní vzhled stránky pro klienty, vykreslení obecných komponent z abstraktního presenteru atp.
		Router
			RouterFactory.php		# Definuje všechny routy pro daný modul a všem dá případný jednotný prefix na 1 místě
	Model	# model mám vždy obecně, protože se mi neoplatilo ho kouskovat do jednotlivých modulů a to z důvodů, že Presentery s ním vůbec nepracují.
			# Kdo s Modelem pracuje jsou komponenty a ty si vždy natáhnou jen ty modelové třídy, které potřebují.
			# Taktéž mi přišlo nelogické kouskovat například 'ArticleRepository' na 3 repa, kdy jedno umí jen načtení více článků, druhý umí jen načtení jednoho článku podle ID, třetí umí článek upravovat, další mazat, další přidávat atp.
			# někteří to obhajují principem SingleResponsibility, ale zrovna u repositářů si myslím, že single responsibility je i s tímto přístupem zachováno.
		Db
			Repo
				ArticleRepository.php	# Asi víme
				UserRepository.php		# nápodobně
			Entity
				Article.php
				User.php
		Api
			Email
				...
			Sms
				...

Teď se podíváme, jak vypadají jednotlivé soubory uvnitř AdminModulu
App\AdminModule\Presenters\Presenter.php:

class Presenter extends Nette\Application\Ui\Presenter
{
	use App\AdminModule\Components\ContactFormPresenterTrait;
	use App\AdminModule\Components\Subordinate\Change\PresenterTrait;

	public function startup(): void
	{
		if (!$this->user->isAllowed('Admin', 'view')) {
			$this->error('Zamítnuto. Přihlašte se.', 401);
		}
		parent::startup();
	}
}

App\AdminModule\Presenters\ArticleGridPresenter.php:

class ArticleGridPresenter extends Presenter
{
	use App\AdminModule\Components\ArticleGridPresenterTrait;
}

App\AdminModule\Components\ContactFormPresenterTrait.php: (Může mít další nastavení… To, že nastavuji jen šablonu není podstatné. Obecně se může nastavovat cokoliv. Třeba adresa E-mailu kam se má odesílat dotaz pro jednotlivé sekce atp.)

trait ContactFormPresenterTrait {
	use App\Components\Contact\Form\PresenterTrait;

	private string $contactFormTemplate = __DIR__ . '/templates/contactForm.latte';
}

App\AdminModule\Components\ArticleGridPresenterTrait.php:

trait ArticleGridPresenterTrait {
	use App\Components\Article\Grid\PresenterTrait;

	private string $articleGridTemplate = __DIR__ . '/templates/articleGrid.latte';
}

@layout.latte:

<!DOCTYPE html>
<html>
<head>
	globalni styly, meta atp. pro adminy
</head>
<body>
	specifický vzhled layoutu pro Adminy
	<header>
		{control subordinateChangeFormControl}	{* Vím, že je přístupný, jelikož je v abstraktním presenteru a nezapomenu použít traitu*}
	</header>

	{include content}

	globalni skripty pro adminy

	<footer>
		{control contactFormControl}	{* Vím, že je přístupný, jelikož je v abstraktním presenteru a nezapomenu použít traitu*}
	</footer>
</body>
</html>

ArticleGrid.default.latte:

{block content}
	speciální prvky vzhledu pro adminy v šabloně

	{control articleGridControl}
{/block}

articleGrid.latte:

speciální vzhled gridu pro AdminModul.

contactForm.latte:

speciální vzhled kontaktního formuláře pro AdminModul, aby zapadl do adminModule patičky.

@Bulldog Pokusím se nastínit odpovědi, ten druhý příspěvek už jsem jen prolétl očima. Ono obecně ta struktura vznikala asi rok a těžko ji popsat na pár řádků, nechci z fora dělat blog nebo jím nahradit večer prosezený u piva, kde je prostor to probrat detailně.

Ad 1. Layouty a šablony obecně se dohledávají trochu složitějším mechanismem. Vycházíme z myšlenky, že buď se dohledá šablona/layout obecná, sdílená mezi zákazníky (typicky u admin modulu), nebo se přednostně dohledá šablona privátní, pokud existuje (typicky frontové presentery). Ano, kvůli těmto věcem udržujeme baseModul, kde může být front layout, admin layout, neon s připojením k db apod.
Toto je sice trochu „vnější závislost“, ale připojení k db a nějaký vzhled chce mít každý projekt, takže ty soubory stejně existují a při kopírování modulů se nekopírují.
Pokud klient na něco vlastní šablonu nemá, deploy mu dodá tu obecnou.

Ad 2. model Article se prostě přiznává k volitelné závislosti na modelu User. To není potřeba vynášet o úroveň výš. Modul Article tak nabízí různým klientům různé možnosti, podle kombinací ostatních modulů.

Ad 3. Routování se řídí z db, takže prefixy a definice jazykových mutací je na jednom místě v jedné tabulce. A ta se cachuje, protože po spuštění projektu se téměř nemění.
Routy pak vypadají celkem čtivě:

public function createRouter()
{
    $router = new RouteList('Article');
    $router[] = new Route($this->routy->vratAdminRoutu().'/clanky[/<action>]', [
        'presenter' => 'Admin',
        'action' => 'default',
        'lang' => 1,
    ]);

    foreach ($this->routy->vratRouty() as $routa) {
        $router[] = new Route($routa->routa.'/clanek/<slug>', [
            'presenter' => 'Article',
            'action' => 'default',
            'lang' => $routa->lang,
        ]);
    }

Ad 4. Opět není problém přiznat nepodmíněnou závislost, komponenta leží fyzicky jen v modulu, do kterého patří, jiné moduly si požádají factory, pokud je cílový modul k dispozici. Když není, tak se komponenta nevykreslí (typicky na frontu), nebo se vykreslí hláška v duchu „aby toto bylo vidět, je potřeba modul X“ (typicky v admin)
Některé komponenty jsou zcela uzpůsobeny na sdílení svého obsahu v „boxíkách“, takové implementují IWidget (jo, držím u interfaců prefix „I“, no flame :) ), presentery pak s těmi Widgety umí pracovat ještě dál, klient si to může v administraci naklikávat atp.

Ad 5. Protože uvádíš příklad formuláře, tak to bude traita ve formModule. A každý presenter si o ni řekne. Ono to nebude „všude“, jak uvádíš. Admin presentery ji chtít nebudou, Popup okna/modaly ji chtít nebudou…
Trochu to na mne působí, že máš pocit, že sdílený obsah musí být v adresářové struktuře vždy výš, což nemusí.

Ad 6. Takové přepínání by bylo řešeno komponentou a traitou uvnitř userModule. A ano, každý admin presenter, který má podporu pro takové náhledy, se k tomu ve své „hlavičce“ přizná. To je právě ta výhoda, pracuješ s nějakým presenterem a vidíš, co umí. Nemusíš se proklikávat přes více úrovní dědičnosti a skládat v hlavě, co ve které vrstvě přibylo.

Editoval Kamil Valenta (18. 10. 2022 10:35)

Bulldog napsal(a):
Nezvažoval jsi o struktuře aplikací v Nette napsat třeba mini kurz na https://www.itnetwork.cz/ ?

Popravdě nezvažoval. Kdysi v jednom vlákně fora David Grudl vyzval, jestli by o modulární struktuře někdo nenapsal do nette blogu, ale já do toho nechtěl jít sám. Jsme celkem malý tým a ta struktura nemá tak výraznou oponenturu. Samozřejmě vždy je něco za cenu něčeho, ale dělá se nám v tom enormně dobře a rychle.

Co když ale tedy přijde jiný projekt, kde budeš potřebovat články, ty mají volitelnou závislost, to je v pohodě a ty tedy přetáhneš ten User modul, ale na novém webu budeš potřebovat jen přihlášení a editaci článků, protože tam třeba zákazník vůbec nebude chtít administrátorskou část? A nebo když ji bude chtít, tak v ní nemusí chtít mít náhled na klienty a nemusí je chtít editovat.

A tohle je právě chvíle, kdy dědíme. Ono k tomu nedochází moc často, i těch provazeb mezi moduly není mnoho a když už jsou, tak většinou všem vyhovují. Pokud se to ale sejde a zákazník to chce jinak, získá podědený presenter (komponentu, model, neon, šablonu…) a získá úpravu na míru.

naprogramovat volitelné závislosti bývá často pain, protože musíš dělat spousty podmínek, jak se to má chovat když to tu závislost dostane a když ne.

Nastat to může, ale v praxi se s tím nesetkáváme. Většinou ta entita získá nějaký celý tab s nastavením.

Není pak lepší se na tu strukturu Presenterů vyprdnout, nechat všechnu logiku na komponentách a konkrétní komponenty, které jsou plně přenositelné mít jako cihly, ze kterých stavíš stránku dohromady a jsou nezávislé na tom, jak to postavíš?

Tuhle zkušenost mám z jiné firmy a bylo to dost šílené. Ale mohlo to být jen tamním pojetím těch komponent. Já bych ale logiku to komponent moc necpal.

@KamilValenta
>

Jak bys teď v uvedeném příkladu řešil přenositelnost modulu Article? Vykopíruješ Front/Presenters/ArticlePresenter a šablony. Zkusíš spustit – 500. Aha, zapomněl jsi, že v admin části k tomu něco leží. Vykopíruješ Admin/Presenters/ArticlePresenter a šablony. Zkusíš spustit – 500. Aha, v adminu je krom ArticlePresenter ještě ArticleFeedPresenter. Dokopíruješ ještě tohle. Spustíš – zase 500. Člověk rozladěně kouká na Tracy, že to nenašlo model. No jo, ještě v úplně jiném místě k tomu měly být modely.

V tom projektu co jsem poslal není víc presenterů než toto:

/Front
	HomepagePresenter
	ContentPresenter
	SignPresenter
	UserPresenter

/Admin
	HomepagePresenter
	SectionPresenter
	CategoryPresenter
	ArticlePresenter

/Model
	/Front
		.....
	/Admin
		.....

Víc toho tam první dva roky nebude. Moduly jsou 100% nezávislé jak presentery, tak šablony, css, modelové třídy. Jenom UserManagement se měl oddělit, to jsem byl líný.

Pokud se aplikace staví jako stavebnice bundlů, potom je v pořádku to členit podle distribuce. Vy v podstatě zřejmě tolik nevyvíjíte, ale distribujete hotovou aplikaci, dolaďujete a něco dopíšete na míru. Pak se se soubory pracuje jinak, než když se vyvíjí unikátní a neopakovatelná aplikace.

Pointa u organizace v projektu je ta, aby odpovídala tomu jak se se soubory pracuje. Při vývoji je ideální mít související soubory pohromadě – takže ideální členění vidím takhle:

Ideální členění

/app
	/Admin
		/Article
			ArticlePresenter.php
			ArticleForm.php
			ArticleFormFactory.php
			articleForm.latte
			create.latte
			update.latte

	/Model
		/Admin
			ArticleModel.php	model pro /Admin/Article/ArticlePresenter.php

Aby to bylo použitelné, muselo by IDE řadit soubory ve složkách presenterů podle typu ne abecedně. Vyzkoušel jsem to a když se míchaly šablony s presenterem pokaždé v jiném pořadí nebylo to bohužel pro mne použitelné. Šikovný plugin do IDE by to vyřešil.

Model ze známých důvodů je vhodné mít stranou – ovšem v projektech určených pro bundlovou distribuci jak máte ve firmě může být výhodné toto pravidlo porušit.

Určitě je dobré oddělit model veřejné části a administrace tak, aby pro to byly samostatné třídy – pro klienty, kde výrazně převažuje návštěvnost veřejné části nad administrací, což většinou tak je. Proč by se 1000 x tahal celý model včetně administrace Article, když z toho bude administračních requestů cca 2–3? Ale to tak asi máte?

Jednoakční presentery ( @Bulldog )? Mě to neláká, a) je to příliš velké rozdrobení souvisejících věcí na kousky, b) naroste počet souborů násobně, c) příliš dlouhé názvy presenterů, Výhody? Když v presenterech nebudou fyzicky formuláře ani komponenty, tak žádné velké výhody nevidím.

Ještě ke komponentám v traitách. Vezměme třeba formuláře. Já asi budu úplně všechny formuláře vytvářet přes factory, která je v samostatném souboru. V presenteru bude jenom jeden řádek pro získání služby factory a dva řádky pro zavolání factory. Oproti use trait to je o pár řádků více, rozdíl minimální. Čitelné to je, vím jaký formulář v presenteru mám, traita není lepší. U běžných formulářů je to asi skoro jedno co se použije – factory nebo traita.

Ale úplně rezignovat na BasePresenter?

Můj BasePresenter vypadá takhle:

<?php

declare(strict_types=1);

namespace App\Presenters;

use App\Components\LoginButton;
use App\Components\MainMenu;
use App\Components\TreePathMenu;
use App\Components\UserButton;
use App\Model\NavModel;
use App\Model\TreePathModel;
use App\Utils\Utils;
use Nette\Application\UI\Presenter;
use Nette\DI\Attributes\Inject;

abstract class BasePresenter extends Presenter
{
    use SmartNette;

    /* utils */

    #[Inject]
    public Utils $utils;

    public string $appDir;

    public bool $debugMode;

    /* layout */

    #[Inject]
    public NavModel $navModel;                // časem přesunu do komponenty

    #[Inject]
    public TreePathModel $treePathModel;     // časem přesunu do komponenty

    public function startup()
    {
        parent::startup();
        [$canonicalUrl, $httpCode] = $this->utils->getCanonUrl(redirectLocal: true);
        if($canonicalUrl){
            $this->redirectUrl($canonicalUrl, $httpCode);    // fix doc_root duplicity
        }
    }

    public function beforeRender()
    {
        $this->template->appDir = $this->appDir;
   }

    public function createComponentTreePathMenu(): TreePathMenu
    {
        return new TreePathMenu($this->treePathModel);
    }

    public function createComponentMainMenu(): MainMenu
    {
        return new MainMenu(
            navModel: $this->navModel,
            treePathModel: $this->treePathModel,
            isFrontModule: $this->isModuleCurrent('Front'),
        );
    }

    public function createComponentLoginButton(): LoginButton
    {
        return new LoginButton;
    }

    public function createComponentUserButton(): UserButton
    {
        return new UserButton;
    }
}

4 komponenty které se používají úplně v celém webu

$appDir aby se mohly efektivně vkládat šablony

fix doc_root duplicity přesměrováním

$debugMode po dobu vývoje

$utils na nějaké vychytávky, vždycky se něco najde

Prostě ten projekt od začátku stavím tak, že vím, že je pár věcí, které mám úplně všude, ve všech presenterech. Není to tak, že je využije jenom některý presenter. Věci co používá jen pár presenterů bych do BasePresenteru nedával, jsou jiné techniky jak to udělat – šablony, přidání v bloku šablony nebo naopak vyřazení bloku layoutu pro určité šablony.

Mám např. jeden formulář ve dvou presenterech – jednoduše ho registruji v těch dvou presenterech. Proč bych na to dělal předka – to by nedávalo smysl.

Je vidět, že jsou různé cesty a kdo je šikovný, využije z konkrétní techniky či technologie pro svůj specifický projekt to nejlepší. Různá doporučení a vzory jsou obecná a v konkrétním případě může být výhodné je otrocky nedodržovat.

Každopádně jsem za tuto pro mne osvětovou diskuzi velmi vděčný, protože mne obohatila. Člověk má takové klapky že vidí jen tu svoji cestu.

@Bulldog

Ahoj díky za skvělé komentáře k zamyšlení.

1000 x tahal

Samozřejmě vím, že se vykoná jen potřebná metoda, ale ten odkazovaný test nebere v úvahu čas na include malého/velkého souboru. Nicméně model pro Front nesdílí s modelem pro /Admin vůbec nic, protože /Front hledá podle slug, zatímco /Admin podle id. Nedává to logický smysl dávat dohromady věci co nesouvisejí. A je lepší mít model škálovaný podle presenter modulů, je to přehlednější.

bezpečnostní riziko komponent presenteru

Samozřejmě tohle vím, že lze autorizaci akce presenteru obejít a před rokem jsem na to na fóru upozorňoval. Dokonce ji lze obejít i přes NEEXISTUJÍCÍ akci, takže autorizovat akce nedává smysl. Proto pro mne základním architektonickým hlediskem je pokud to jde mít v presenteru všechny akce se stejnou úrovní autorizace (role). Nicméně platí, že best best practice je jednoznačně autorizace v modelu. Model je ten jediný skutečný strážce dat, best best je, aby autorizoval on. V jednodušších cms-kách se to dá zjednodušit na autorizaci v presenterech.

Zase se dostáváme k tomu, že záleží na celkové filozofii výstavby webu. Právě bezpečnost mě vede k tomu mít hierarchii presenterů, protože zde se nejlépe vytvoří základní zabezpečení vstupu pro přihlášené. A NIKDY nedávám do jednoho presenteru akce, kde by se úroveň autorizace lišila. Moje presentery jsou malé, obvykle tříakční – list, create, update vždy s konkrétní entitní tabulkou, pokud má entita položky, přibudou akce pro manipulaci s položkami addItem, updateIte, listItem. A při analýze jednoduše v návrhu rolí se snažím do tohoto schématu trefit. Samozřejmě někdy je to složitější, potom správným řešením je autorizovat v modelu.

Vkládání formulářů do presenterů

	#[Inject]
	public SomeFormFactory $someFormFactory;

	public function createComponentSomeForm(): Form
	{
		return $this->someFormFactory->create();
	}

Asi to bude hodně individuální, ale já preferuji vedle minimalizace kódu ještě čitelnost. A mě osobně vyhovuje princip střední cesty – co nejstručnější kód, ale ne do extrému. Pro mne je kód nahoře čitelnější než ho schovat do use. Ale zase zpět k mojí filozofii výstavby – v podstatě se mě nestává, že bych aplikaci navrhnul tak, aby vznikla potřeba mít formulář ve dvou/třech presenterech. S výjimkou SignUpForm, kde právě z důvodů security akcí presenteru registraci provede uživatel v presenteru SignPresenter veřejně přístupném a editaci registrace v presenteru UserPresenter pro přihlášené. Tak je to v souladu s mojí filozofií výstavby.

Takže když dobře analyzuješ a navrhuješ aplikaci, tak máš velkou většinu formulářů jen pro jeden presenter.

Jsou výjimky, kdy ve složitějších aplikacích se může kaskádově volat formulář pro související entitu k hlavní entitě, ale jen vyjímečně. Tam se prostě presenter k závislosti přizná.

mixovat styly?

Nakonec souhlasím, že use + úryvek kódu presenteru je dobrý nápad a nechť se využívá dle libosti. Co je důležité, je mít propracovaný systém který člověku vyhovuje, protože jedna věc nic neřeší. A jak píšeš lepší než střídat různé přístupy je držet se jednoho zvoleného stylu, protože pak člověk nemusí přemýšlet jak to v konkrétním presenteru vlastně udělal. Proto je použití trait v presenterech na vkládání formulářů i komponent v principu OK, ale ideálně vkládat traitami nebo kódem, ale nemíchat to.

nadbytečné bolierplate soubory

Co mě irituje, ale vím že to tak technicky musí být jsou nadbytečné soubory jako třeba soubory pro automatické generování factory pro formuláře/komponenty. Mám tak ke každému souboru s formulářem navíc jeden servisní s interface jenom proto, že to framework zatím neumí udělat jinak bez těch souborů.

A když umístíme každý formulář do komponenty a volání formuláře do traity, co se stane? Budeme mít o jeden v podstatě boilerplate soubor navíc:

ArticleFormControl.php
ArticleFormControlFactory.php   // boilerplate interface
ArticleFormControlTrait.php     // boilerplate volání factory + Injection

presenter bude čistší, ale za jakou cenu?

use ArticleFormControlTrait

Takže takhle používat traitu na vkládání formulářů nedává smysl. Traita pro formuláře dává smysl, pokud rovnou formulář v presenteru vytvoří a obejdeme se bez bolierplate souborů ArticleFormControl.php a ArticleFormControlFactory.php. Přijdeme o technické výhody které přináší obalení formuláře Control komponentou – možnost persistentních parametrů a oddělené vykreslování, bez toho se ale obvykle dá žít.

Takže mě dává smysl buďto všechny formuláře do presenterů traitou bez Control a bez Factory, nebo Nette doporučovaný způsob Control + Factory pomocí interface + createComponent… v presenteru. Tam je bohužel boilerplate interface factory, což by se asi dalo vyřešit ve frameworku.

obyčejný $appDir a tak složité to je

Díky za řešení injektování $appDir do šablon:

services:
	lattePropsHelper: App\Helpers\LatteDefaultProps(appDir: %appDir%)
	latte.templateFactory:
		setup:
			- "$onCreate[]" = [@lattePropsHelper, 'register']

Tvoje řešení jde rovnou k věci a injektuje rovnou do šablon. Bohužel je to složitý, nečitelný kód, přitom mít $appDir v šablonách je IMHO zásadní věc. V podstatě v každém projektu potřebujeme vkládat nějaké obecné šablony, které jsou mimo file scope dané šablony a tam je nejlepší použít absolutní cestu místo relativního posunu o x úrovní výše a zase dolů. Můj názor je, že tohle má řešit framework a že stejně jako je ve všech šablonách k dispozici $basePath, měl by tam být $appDir, aby si každý nemusel bastlit svoje komplikované řešení.

Editoval m.brecher (19. 10. 2022 15:35)

Dokonce ji lze obejít i přes NEEXISTUJÍCÍ akci, takže autorizovat akce nedává smysl.

Nesouhlasím. Sice jde volat signály přes neexistující actiony, ale mohou být akce, které provádí efekty. Například počítají, kolikrát proběhla návštěva stránky. A neautorizované požadavky do toho počítat nechceš, takže ověřovat action je ok. Nebo dělat zbytečné dotazy do databáze a tahat si data do konkrétní šablony dané akce, pokud uživatel nemá právo. Stejně tak existenci entit chceš řešit už v akci, aby se nezačala renderovat stránka, nebo provádět handle metody atp.

Proto pro mne základním architektonickým hlediskem je pokud to jde mít v presenteru všechny akce se stejnou úrovní autorizace (role).

Jop to je dobrý. Přesně to je princip jednoakčních presenterů.

Nicméně platí, že best best practice je jednoznačně autorizace v modelu.

Obrovský a absolutní nesouhlas. Autorizaci podle mě musí řešit co nejvyšší vrstva a tedy Presenter. (Router je sice výše, ale SingleResponsibility říká, že router má routovat ne autorizovat.) Tady je pár důvodů proč:

1. Cyklická závislost UserRepository By najednou byl závislý na Nette\Security\User, ale Authenticator aby ověřil, jestli je uživatel v databázi potřebuje právě UserRepository a vznikají cyklické závislosti.
2. SingleResponsibility. Pokud Modelem myslíš klasicky vrstvu starající se o data v databázi, tedy repositáře, to jsou jen sluhové, kteří vykonávají činnost. Analogie: Proč by Auto mělo kontrolovat, jestli ten, kdo jej chce řídit má řidičák? O to se má starat vlastník auta a ne auto, tedy některá nadřazená vrstva.
3. Spousta kódu navíc. Místo ověření na jednom místě v akci, jestli uživatel může vidět statistiky, budeš najednou ověřovat 10 různých modelových funkcí, které Presenter v dané akci volá.
4. Srozumitelnost pro uživatele. Pokud máme formulář na přidání a neověřujeme v akci jestli to může vidět uživatel, tak kdokoliv může vidět stránku s formulářem, jen jim nepůjde odeslat.
5. Lazyness. Pokud budeš ověřovat až v modelu, jak ověříš například, jestli má uživatel právo psát články? Protože tam se typicky do modelu dělají dotazy až v momentě, kdy se odešle a kompletně zpracuje formulář. Pokud to teda ověřuješ až v modelu, tak je to performance zabiják a nepomůžou ti ani kouskování souborů na menší. Ty by jsi neměl dovolit ten formulář vůbec vytvořit, pokud na to uživatel nemá právo.

Co se vykoná pokud ověřujeme až v modelu a uživatel nemá právo (a máme formulář v komponentě):

• Zavolá se router.
• Zavolá se konkrétní presenter
• Nad presenterem se zavolá vytvoření komponenty s formulářem
• nad komponentou se zavolá vytvoření formuláře
• vytvoří se instance modelové vrstvy, která se předá formuláři a do které se natáhne user
• na formulářové prvky se namapují POST data
• Všechna POST data namapovaná na formulář se zvalidují pomocí výchozích validátorů
• Formulář se zvaliduje pomocí uživatelských onValidate callbacků
• Pokud se použil ajax, zavolá se překreslování šablon
• z formuláře se vytáhnou hotová zvalidovaná data
• success callback zavolá add nad modelem
• model vyhodí exception, že uživatel nemá právo přidávat prvky
• tohle probublá až někam do presenteru, kde to musíme odchytit a vyhodit 401err

Co se zavolá, pokud ověřujeme v akci:

• Zavolá se router.
• Zavolá se konkrétní presenter, který už v sobě usera má (proč asi)
• Akce ověří, jestli má uživatel právo a ihned vyhodí 401err

Jak vidíš, tak se nemusela tvořit komponenta, nemusel se tvořit formulář, nemusela se tvořit instance modelu, nemusela se kontrolovat post data atd. Spousty věcí sis ulehčil a to nemluvě o vyhazování a odchytávání výjimek, které nebudeš potřebovat a tedy snížíš množství kódu.

6. Nepřehlednost a duplicita ověření Ne každá akce pracuje s databází. Jsou akce, kdy chceš třeba jen poslat mail (kontaktní formulář např.) To budeš ověřovat, jestli má uživatel právo odeslat daný E-mail i v kódu, kde řešíš maily? Tedy místo, aby jsi věděl, že práva si nastavuješ na jednom místě (V Presenteru), tak budeš při změně práv/hierarchie uživatelů hledat po celém kódu, kde jsi to ověřil a kde ne? Navíc pokud tedy z nutnosti budeš ověřovat, jestli má uživatel právo na věc A, ale v jednom presenteru budeš dělat Aa, v druhém Ab a ve třetím budeš dělat Aa i Ab, ale stačí ti ověřit, jestli uživatel má právo přistupovat k A, tak musíš ověřit, jestli má právo k A jak v Aa, tak v Ab. Takže se bude v rámci 3 presenteru 2× ověřovat stejné právo.

atd. Vypisovat všechny nevýhody jsem tu do rána :D

Model je ten jediný skutečný strážce dat, best best je, aby autorizoval on.

Model je strážce dat? Ok možná souhlas. Je best aby autorizoval on? Nope.
viz příklad s autem.

A NIKDY nedávám do jednoho presenteru akce, kde by se úroveň autorizace lišila. Moje presentery jsou malé, obvykle tříakční – list, create, update

A přesně tady se úrovně autorizace běžně liší.

• List – většinou může každý
• Create – Většinou může jen přihlášený uživatel
• Update – Většinou může jen vlastník dané resource

A při analýze jednoduše v návrhu rolí se snažím do tohoto schématu trefit.

To mi přijde jako chyba. Podle mě by aplikace měla reflektovat přání zákazníka. Ne přání zákazníka ohýbat podle aplikace.

@Bulldog

Pokud Modelem myslíš klasicky vrstvu starající se o data v databázi, tedy repositáře, to jsou jen sluhové, kteří vykonávají činnost.

Částečný souhlas. Většina modelových tříd mají být vykonavatelé – ano. Ale ne všechny modelové třídy. Ve složitějších aplikacích může provedení nějaké akce v databázi – např. pokyn k zahájení realizace složitější zakázky záviset na více faktorech než jenom role přihlášeného uživatele. Může to být i poměrně složité – uživatel nemá oprávnění, ale kolega, který oprávnění má je na dovolené a v té době ho zastupuje a přechodně oprávnění má, ale pro omezené akce např. zakázky do 300 000 Kč. Zahájení zakázky může záviset na předchozím schválení šéfe, na situaci na skladě dílů na potvrzení a termínech nějakých subdodávek.

Když jsem pro takovéto a podobné požadavky navrhoval Model, tak jsem na to šel specializovanou modelovou třídou pro ověření – zda lze akci provést nebo ne. A nejednalo se vždycky jenom o přidělené role k určitému resource. Modelová třída pro provedení akce neměla ponětí zda se to může provést ale zeptala se třídy, která to věděla – každá třída měla jeden jediný účel. No a buďto to provedla, nebo ne.

Je samozřejmě možný i scénář, že se presenter zeptá nejdřív ověřovací třídy a podle výsledku volá akční třídu, ale lepší je nechat to přímo na modelu, ať on za to zodpovídá. I v tom případě, kdy formálně řídí presenter, tak ve skutečnosti řídí podle dat z databáze, které mu dodal model. Dokonce i v triviálním případě, kdy se presenter zeptá vestavěné třídy pro správu identit, tak role v identitě se získala při přihlášení z nějaké modelové třídy která ji vysosla z databáze. No a skutečnost, že vývojář zadrátuje v kódu presenteru konkrétní roli přihlášené identity ke konkrétní akci modelu, který je jenom vykonavatelem, je ve své analytické podstatě „datové“ propojení role s akcí presenteru, které by se dalo realizovat rovnou v modelu a presenter vynechat. Ale v jednoduchých aplikacích je to takhle OK.

Veškerá odborná literatura ohledně Modelu co znám se shoduje na tom, že Model reprezentuje bussiness logiku aplikace, kam patří i nejrůznější role, oprávnění a pravidla.

Ne ne, mě nikdo nemůže přesvědčit, že Model je pouhý vykonavatel. S tebou se skvěle diskutuje, ono by se lépe diskutovalo nad sklenkou oroseného. Další témata která exponenciálně v této diskuzi narůstají by se tam skvěle probraly.

Editoval m.brecher (20. 10. 2022 3:06)

@mbrecher

Ne ne, mě nikdo nemůže přesvědčit, že Model je pouhý vykonavatel.

ono je hlavně potřeba si předem ujasnit, o čem mluvíme :D Samozřejmě jak píšeš, tak Model z MVC je opravdu kompletně celá Buisness logika. Tedy technicky tam patří i router, authorizator, authenticator atp.
Bohužel největší část Buisness logiky je práce s daty (což je i smysl aplikace) a když se podíváš jak se to interpretuje v tutoriálech apod., tak právě říkají, že model je na práci s daty.

Proto hodně programátorů pochopí jako model pouze entity a repozitáře. Když se pak podíváš do adresářové struktury různých cizích projektů, tak uvidíš, že existuje například složka Router, která má v sobě Router, který je model, pak je třeba složka Helpers, kde jsou srandy co používají na více projektech, složka Security, kde je authorizator a authenticator atp. No a nakonec je tam složka Model, která obsahuje pouze entity a repozitáře.

Dokonce kolega byl jednou nařčen, že nemá žádný model, když používá NetteDatabase a tedy nemá nic jako repozitáře a Entity.

Takže interpretovat slovo model můžeš 2 způsoby.

1. Třídy starající se o reprezentaci a manipulaci s daty. (Entity a repozitáře)
2. Komplet celá buisness logika.

Je to podobný případ, jako slovo Backend. Dokud neznáš kontext, nebo si to neujasníš, tak nevíš, jestli se bavíš o kódu běžícím na serveru, nebo o části aplikace, která je přístupná pouze adminům :D

Ale v obou případech by neměla v Modelu probíhat autorizace.

Model obecně má definovat Autentizační i Autorizační pravidla i logiku.
Ale samotnou autorizaci by provádět neměl.

V tvém příkladu: (navrhnu jen jedno z mnoha řešení)

Může to být i poměrně složité – uživatel nemá oprávnění, ale kolega, který oprávnění má je na dovolené a v té době ho zastupuje a přechodně oprávnění má, ale pro omezené akce např. zakázky do 300 000 Kč. Zahájení zakázky může záviset na předchozím schválení šéfe, na situaci na skladě dílů na potvrzení a termínech nějakých subdodávek.

Pracujeme tedy s následujícími věcmi:

• Order – Entita implementující Nette\Security\Resource
• OrderRepository – Chápeme, takže nebude v příkladech (má jen getById metodu)
• MerchantRepository – Chápeme, takže nebude v příkladech (má jen getById metodu)
• Merchant – Někdo, kdo manipuluje se zakázkami jemu přidělenými a může zastupovat jiného obchodníka.
• OrderUpdatePresenter – Chápeme
• Authenticator – Přihlášení uživatele, definuje role
• AuthorizatorFactory – Definuje ACL pro uživatele
• MerchantRole – Role definující obchodníka
• RepresentativeRole – Role definující zástupce kolegy

Teď nastíním, jak budou jednotlivé třídy vypadat (kromě těch, které jsou jasné. – Použil jsem v příkladu NextrasORM)
Order:

/**
 * @property int $id {primary}
 *
 * @property int $price
 *
 * @property bool $isApproved
 * @property bool $hasEnoughMaterial
 *
 * @property Merchant $merchant {m:1 Merchant::$orders}
 */
class Order extends \Nextras\Orm\Entity\Entity implements Nette\Security\Resource
{
    public function getResourceId(): string
    {
        return 'Order';
    }
}

Merchant: (zjednodušený)

/**
 * @property int $id {primary}
 *
 * @property string $password
 *
 * @property Merchant|null $representativeOf                        {1:1 Merchant, isMain=true, oneSided=true}
 * @property Nextras\Orm\Relationships\OneHasMany<Order> $orders    {1:m Order::$merchant}
 */
class Merchant extends \Nextras\Orm\Entity\Entity { }

Authenticator: (pouze přiřazuje uživateli role na základě dat.)

class Authenticator implements Nette\Security\Authenticator
{
    public function __construct(
        private readonly MerchantRepository $merchantRepository,
        private readonly Nette\Security\Passwords $passwords,
    )
    {
    }

    public function authenticate(string $user, string $password): Nette\Security\IIdentity
    {
        $merchant = $this->merchantRepository->getById($user);

        if (!$merchant ||
            !$this->passwords->verify($password, $merchant->password)) {
            throw new Nette\Security\AuthenticationException('Error :))', 1);
        }

        $roles = [
            new MerchantRole($merchant->id),
        ];

        if ($merchant->representativeOf) {
            $roles[] = new RepresentativeRole($merchant->representativeOf->id);
        }

        return new Nette\Security\SimpleIdentity(
            $merchant->id,
            $roles,
            [], // Nějaká data?
        );
    }
}

MerchantRole:

class MerchantRole implements Nette\Security\Role
{
    public function __construct(
        private readonly int $id,
    ) { }

    public function getRoleId(): string
    {
        return 'Merchant';
    }

    public function getMerchantId(): int
    {
        return $this->id;
    }
}

RepresentativeRole: (nešťastně nazváno, ale jde o roli, která říká, že někoho zatupuju a funkce getRepresentativeId vrací ID koho)

class RepresentativeRole implements Nette\Security\Role
{
    public function __construct(
        private readonly int $id,
    ) { }

    public function getRoleId(): string
    {
        return 'Representative';
    }

    public function getRepresentativeId(): int
    {
        return $this->id;
    }
}

AuthorizatorFactory: (pouze definuje bezpečnostní omezení)

class AuthorizatorFactory
{
    public static function create(): Nette\Security\Permission
    {
        $acl = new Nette\Security\Permission();

        $acl->addResource('Order');

        $acl->addRole('Merchant');
        $acl->addRole('Representative');

        // Pro jistotu vše zakážu
        $acl->deny('Merchant');
        $acl->deny('Representative');

        $acl->allow('Merchant', 'Order', 'update', self::canMerchantUpdateOrder(...));
        $acl->allow('Representative', 'Order', 'update', self::canMerchantUpdateOrder(...));

        return $acl;
    }

    private static function canMerchantUpdateOrder(Nette\Security\Permission $acl, string $role, string $resource, string $privilege): bool
    {
        $role = $acl->getQueriedRole();
        assert($role instanceof MerchantRole);
        $resource = $acl->getQueriedResource();
        assert($resource instanceof Order);

        // Může editovat, pokud to schválil šéfík a máme dost matroše a je její vlastní obchodník
        return $resource->isApproved &&
               $resource->hasEnoughMaterial &&
               $role->getMerchantId() === $resource->merchant->id;
    }

    private static function canRepresentativeUpdateOrder(Nette\Security\Permission $acl, string $role, string $resource, string $privilege): bool
    {
        $role = $acl->getQueriedRole();
        assert($role instanceof RepresentativeRole);
        $resource = $acl->getQueriedResource();
        assert($resource instanceof Order);

        //  Může editovat, pokud to schválil šéfík a máme dost matroše a pokud zastupuje vlastního obchodníka objednávky a zároveň není její cena větší, než 300 tisíc
        return $resource->isApproved &&
               $resource->hasEnoughMaterial &&
               $resource->price < 300_000 &&
               $role->getRepresentativeId() === $resource->merchant->id;
    }
}

No a nakonec Presenter:

class OrderUpdatePresenter extends Nette\Application\UI\Presenter
{
    #[Nette\DI\Attributes\Inject]
    public OrderRepository $orderRepository;

    protected function startup()
    {
        parent::startup();

        $id = $this->getHttpRequest()->getQuery('id');
        $order = $this->orderRepository->getById($id);

        if (!$order) {
            $this->error('Not found', 404);
        }

        // No a nakonec samostatné ověření práv
        if (!$this->user->isAllowed($order, 'update')) {
            $this->error('Not Allowed', 401);
        }
    }
}

Thats All. Model pouze pracuje s daty. Ano, i definice přístupových práv je práce s daty. Jak vidíš i složitější logika jak píšeš se dá jednoduše napsat tak, aby práva ověřoval Presenter.
Tohle je vlastně základ všech certifikačních autorit.

Editoval Bulldog (20. 10. 2022 4:51)

Pokud repozitáře kontrolují oprávnění, tak porušují single responsibility principle.
Data mohou získávat i crony a konzolové tasky, ve kterých se žádná oprávnění nekontrolují.
Do API se přihlašuji s jiným storage a jinou metodou ověřování, nestačí tak pouze jeden user.
Dokonce máme v administraci a na veřejné části webu současně přihlášené jiné uživatele a komponenty z administrace se zobrazují na veřejné části. Musel bych tak v každé komponentě do modelu předávat uživatele.

@Bulldog

Dokonce ji lze obejít i přes NEEXISTUJÍCÍ akci, takže autorizovat akce nedává smysl.

Tady jsem měl na mysli KLÍČOVÉ autorizace, na fóru proběhla před časem hezká diskuze, kde se člen komunity Nette rozčiloval, že jeho aplikaci postavenou v Nette presenterech bylo možné snadno hacknout tak, že se odeslal podvržený požadavek registračního formuláře. On autorizoval v render<View> :). Když jsem si ti doma testoval, přišel jsem na to, že podvržený formulář se zpracuje i v neexistující akci a chyba 404 (šablona akce neexistuje) se vyhodí po hacknutí databáze. Vizuálně není nic vidět, ale průšvih je. I kdyby ten vývojář zautorizoval VŠECHNY action<Action> v presenteru, nepomůže to, vždycky to jde obejít neexistující akcí, kterou autorizovat nejde. Proto důležité autorizace pouze v startup(). Nekritické, kde nic moc nehrozí (hacknutí počítadla je ok) klidně ano.

@Bulldog

Tedy tím, že to kouskuješ za účelem zrychlení vlastně aplikaci zpomaluješ.

Vývoj toho modelu o němž mluvíme se nějak vyvíjel a nakonec skončil tak, že Front module používal svoje metody a Admin modul používal ty ostatní a nepřekrývalo se to. Intuitivně dle hlasu rozumu jsem to rozdělil – sice výkonnostně je to jedno, ale je to v souladu s intuicí. Když jsem si opakoval SOLID základy, tak mě napadlo že známé „Clients should not be forced to depend upon interfaces that they do not use“ je možná i tento případ. Jestliže lze modely rozdělit na dvě části a klienti (moduly) s tím nemají problém a ukáže se, že ve skutečnosti každý závisí na tom svém modelu, tak jsem vlastně v původní verzi spojoval v jednom interface dohromady dva interface, které byly z podstaty nezávislé. Ta nezávislost je dána koncepcí Front podle slugu, Admin podle id.

m.brecher napsal(a):
… ale je to v souladu s intuicí. Ta nezávislost je dána koncepcí Front podle slugu, Admin podle id.

Mně zase intuice říká, že „za půl roku“ přibude požadavek na archivaci entit a Ty to budeš muset upravovat na 2, nebo dokonce více místech. Když je to normálně v jednom modelu, tak si jen opravíš metodu, která vrací základní selectionu a je Ti už celkem jedno, že nad ní nějaká metoda volá where(‚id‘, 5) a jiná where(‚slug‘, ‚ahoj‘)…

Kamil Valenta napsal(a):

m.brecher napsal(a):
Proto důležité autorizace pouze v startup().

Zbytečně se autorizátor připraví o dílčí resources. Samozřejmě, že tak jak se autorizují actiony a rendery, lze autorizovat i handly. A to ničím neexistujícím neobejdeš…

To je pravda, můžeme autorizovat komponenty, handly, cokoliv a může to fungovat dobře, ale jak už jsem před rokem diskutoval s @uživatel-p když se autorizace rozdrobí na různá místa, bude méně přehledná a riziko chyby větší. Proto VŽDY a JEDINĚ autorizace ve startup a výjimky jsou možné, ale jenom když je pro to silný důvod.

Editoval m.brecher (20. 10. 2022 21:23)

@Bulldog a @KamilValenta

Ohledně autorizací bych to shrnul, protože se to rozplizlo do řady atomických myšlenek. IMHO je dobré se držet v presenterech Nette jednoduchých zásad:

čím méně je míst, kde se autorizuje tím lépe kvůli přehlednosti

nemíchat v presenterech výrazně odlišné úrovně autorizace, typicky oddělit přihlášené/nepřihlášené a z přihlášených admina od běžných uživatelů

základní autorizaci provádět vždy ve startup pro celý presenter

dát si dobrý pozor když se autorizuje v akci – samozřejmě to jde použít také

právě s ohledem na jednoduchost a důležitost autorizace přihlášených uživatelů je ideální řešení AdminPresenter který na jednom místě dělá důležitou základní autorizaci pro celou administraci

jakmile máme klíčovou autorizaci v presenteru za sebou, může následovat jemnější – podle resource, podle autorství záznamu v tabulce, podle dovolené kolegy v oddělení, atd…

autorizaci může provádět nejen presenter ve spolupráci a autorizátorem, ale i model sám ve spolupráci s autorizátorem, záleží na projektu a na charateru bussiness logiky

Na tom bychom se měli všichni shodnout, diskutovat o detailech by bylo možné, ale tam záleží na konkrétním projektu.

Editoval m.brecher (20. 10. 2022 21:40)

@MarekZnojil
Good point.

@mbrecher
jak píše @KamilValenta autorizovat se dají i handly a komponenty. A tuhle autorizaci prostě ničím neobejdeš. Při requestu se spustí Presenter, což je entrypoint aplikace a nemáš jak jinak model zavolat než právě z presenteru. Takže utnout vykonávání hned v něm dává největší smysl.
Tím, že já osobně nemám v presenterech žádné handly, tak musím ověřovat jen actiony a komponenty, takže kód, aby hacker nevykonal co nechci může vypadat třeba takto:

class OrderPresenter extends Nette\Application\UI\Presenter
{
    #[Nette\DI\Attributes\Inject]
    public OrderRepository $orderRepository;
	private bool $orderEditRight = false;	// Když je nastavím na false, tak vím, že se tam nikdo nedostane, pokud to explicitně nepovolím
	private bool $orderAddRight = false;
	private Order $order;


    public function actionEdit(int $id)
    {
        $order = $this->orderRepository->getById($id);

        if (!$order) {
            $this->error('Not found', 404);
        }
        if (!$this->user->isAllowed($order, 'edit')) {
            $this->error('Not Allowed', 401);
        }

		$this->order = $order;
		$this->orderEditRight = true;
    }

    public function actionAdd()
    {
        if (!$this->user->isAllowed('order', 'add')) {
            $this->error('Not Allowed', 401);
        }
		$this->orderAddRight = true;
    }

	public function createComponentOrderEdit(): Form
	{
		if (!$this->orderEditRight) {
            $this->error('Not Allowed', 401);
        }
		... // samotná tvorba
	}

	public function createComponentOrderAdd(): Form
	{
		if (!$this->orderAddRight) {
            $this->error('Not Allowed', 401);
        }
		... // samotná tvorba
	}
}

Easy Peasy. Toto už nikdo nikdy neobejde a nezavolá danou komponentu pokud nemá práva, která ověřuje action metoda.

Navíc, pokud používáš ty traity, tak si můžeš vytvořit jednu traitu, kterou mám já osobně nazvanou jako SecurityPresenterTrait, která mi přetěžuje presenterovskou protected function createComponent(string $name): ?Nette\ComponentModel\IComponent a automaticky na základě řetězce $name kontroluje, jestli má uživatel přístup v momentě vytvoření komponenty, takže si ten if v každé CreateComponent<name> metodě můžu odpustit a vím, že to mám secure.
Teď mě tak napadá, že můžeš obsah té SecurityPresenterTrait mrsknout i do BasePresenteru :D Ale hej já to mám radši jako traitu.

To je pravda, můžeme autorizovat komponenty, handly, cokoliv a může to fungovat dobře, ale jak už jsem před rokem diskutoval s @uživatel-p když se autorizace rozdrobí na různá místa, bude méně přehledná a riziko chyby větší. Proto VŽDY a JEDINĚ autorizace ve startup a výjimky jsou možné, ale jenom když je pro to silný důvod.

Teď jsi popsal přesně důvod, proč existují jednoakční presentery

Konzolové skripty jsou uživatel jako každý jiný a měly by mít v authorizátoru vymezeny nějaké mantinely co mohou/nemohou dělat, aby mohly vykonat co mají a nenapáchaly škody. Záleží co se s nimi provádí.

Ne nutně. Záleží, jak to máš vyřešeno. Pokud spouštíš ‚CLI‘ požadavky jako klasický request na aplikaci, což nejsou CLI požadavky, jelikož CLI je přes příkazovou řádku a tedy odteď tomu budeme říkat třeba Cron požadavky, tak stačí mít presenter, který se stará jen o tyto Cron požadavky a ideálně to mít nastaveno tak, aby když ten Cron požadavek odposlechne někdo zvenku a začne jej 40* za sekundu opakovat, tak to aplikaci nerozbije.
Hezky se to řeší například ukládáním posledního exec time a ignorováním nadbytečných požadavků, nebo tím, že to nedělá žádné side efekty. Například pokud se generují feedy, tak ničemu nevadí, když je útočník vygeneruje 40× za vteřinu než 1× za hodinu. Akorát to vytíží server. Nebo když to rozesílá maily, tak mít u každého mailu nastaveno datum odeslání a tedy při opakovaném požadavku se nic nevykoná atp.
A jelikož cron požadavky nepotřebují odpovědi jako klasický uživatel, tak nemusí existovat žádné handle metody ani rendery nic. Stačí, jen když konkrétní action spustí model a odešle payload/response.
No a když se spouští jen actiony a nemáš komponenty ani handly, tak kde jinde, než v action dělat ověření?

Když to nebudou cron requesty přes HTTP, ale budou to třeba REST API požadavky, tak tam je to ověřování úplně stejné jako v případě běžného uživatele. Jediný rozdíl tam je v tom, že přes REST API místo HTML stránky vrátíš JSON, jinak je to totožná věc, což už jsme vyřešili.

A pokud jde o CLI požadavky, tak tam ověřování ani nepotřebuješ, protože víš, že se vždy spouští z konzole a tedy že tam útočník není, protože o to aby tam útočník nebyl se už stará server, který má třeba zabezpečený SSH přístup. A pokud ti útočník nabourá SSH přístup, tak ti zabezpečení CLI skriptu je na houby, jelikož má útočník přístup k souborům a prostě zabezpečení vymaže…
Taky v rámci CLI requestů máš většinou osekaný DIC, který má jen to, co potřebuješ a nenačítá všechny třídy a závislosti, jako jsou třeba presentery, router, lattečko atp., protože v konzolovce to nepotřebuješ (pokud nepředgenerováváš šablony, nebo posíláš maily. Pak Latte potřebuješ :D ) a entrypoint pro tvorbu produkt feedů pro srovnávače může vypadat třeba takto:

#!/usr/bin/env php
<?php declare(strict_types = 1);

require __DIR__ . '/../vendor/autoload.php';

exit(App\Bootstrap::bootCliProductFeed()	// bootCliProductFeed mi načte DIC, který má v sobě jen ProductRepository a ProductProcessor
	->createContainer()
	->getByType(ProductProcessor::class)
	->process());
// Takže jsem si vytáhl z DIC jen konkrétní modelovou třídu a nad ní jsem spustil to, co má dělat.

A obsah ProductProcessoru:

class ProductProcessor
{
    use SmartObject;

    public function __construct(
        private readonly ProductRepository $productRepository,
    ) {}

    public function process(): void
    {
        $data = [];

        foreach ($this->productRepository->findAll() as $product) {
            $data[] = $product->toArray();  // Samozřejmě ne nutně toArray, ale klidně jen vytažení některých věcí a odstranění závislostí na jiných entitách
        }

        Nette\Utils\FileSystem::write(
            'heurekaFeed.json',
            Nette\Utils\Json::encode($data),
        );
    }
}

A to ti prostě nikdo nemá jak obejít.

Prostě vždycky máš jako vstup do aplikace buď presenter, nebo při přístupu z CLI soubor jako je výše. Při CLI autorizaci nepotřebuješ a v ostatních jsou presentery. Takže shrnutí spíše je, že když se uživatel nedostane kam nemá už přes presenter, tak nic nepokazí. Tedy model může být bez aturorizace a tím je i přehlednější a hlavně autorizace je na jednom místě a při změně nemusíš hledat kde to vlastně máš. Taky když bude model čistý bez autorizace, tak ho můžeš přesouvat mezi projekty a autorizaci si budou řešit presentery.

Editoval Bulldog (21. 10. 2022 0:45)

@Bulldog

Ahoj, koukám na ten kód a řekl bych, že skutečně nejde nikudy obejít:

class OrderPresenter extends Nette\Application\UI\Presenter
{
    #[Nette\DI\Attributes\Inject]
    public OrderRepository $orderRepository;
	private bool $orderEditRight = false;	// Když je nastavím na false, tak vím, že se tam nikdo nedostane, pokud to explicitně nepovolím
	private bool $orderAddRight = false;
	private Order $order;


    public function actionEdit(int $id)
    {
        $order = $this->orderRepository->getById($id);

        if (!$order) {
            $this->error('Not found', 404);
        }
        if (!$this->user->isAllowed($order, 'edit')) {
            $this->error('Not Allowed', 401);
        }

		$this->order = $order;
		$this->orderEditRight = true;
    }

    public function actionAdd()
    {
        if (!$this->user->isAllowed('order', 'add')) {
            $this->error('Not Allowed', 401);
        }
		$this->orderAddRight = true;
    }

	public function createComponentOrderEdit(): Form
	{
		if (!$this->orderEditRight) {
            $this->error('Not Allowed', 401);
        }
		... // samotná tvorba
	}

	public function createComponentOrderAdd(): Form
	{
		if (!$this->orderAddRight) {
            $this->error('Not Allowed', 401);
        }
		... // samotná tvorba
	}
}

Nicméně je tam poměrně dost řádků kódu, které nějak distribuují to oprávnění, které samo o sobě se skrývá v:

$this->user->isAllowed('order', 'add')

a

$this->user->isAllowed($order, 'edit')

Kdyby Jsi do modelu do metody editující Order přidal tyto dva řádky, ale volající zdrojový autorizátor, (ne $user) bylo by to úplně stejně zabezpečené a to i pro případy, kdyby se Order editoval ve více různých presenterech.

Rozhodně Ti nechci podsouvat, že to máš nějak nedokonale udělané, to ne, ale nějak nechápu, proč tak odmítáš i tu druhou možnost – validovat v modelu, když to je minimálně rovnocenné?

Předpokládám, že používáš zabezpečení integrity dat cizími klíči. To je také takové modelové pravidlo. Když nastavíš restrict pro delete i update, nemusíš se o mazání kategorie v presenteru starat (tak aby šlo smazat jen prázdnou kategorii), je to zabezpečené přímo v databázi, což je součást modelu. Presenter to neřeší, řeší to model, funguje to a používá se to.

Rozhodně Ti nechci podsouvat, že to máš nějak nedokonale udělané

v příkladu to rozhodně nedokonale je.
Jak jsem psal, tak reálně na to mám jedno místo (traitu), které vytváření komponent zakazuje/povoluje, tedy jakoby svážu v rámci presenteru komponenty pouze s určitými akcemi. Pak to mám na jednom místě a kód se scvrkne pouze na ověřování action.

proč tak odmítáš i tu druhou možnost

protože podle mě není správná. Porušuje spousty programátorských principů a zesložiťuje kód jak pro úpravy, údržbu, rozšiřování, tak pro přenositelnost. Všechno už tu bylo napsáno. Klidně si to pročti znovu.

Předpokládám, že používáš zabezpečení integrity dat cizími klíči.

Integrita dat a oprávnění s nimi nakládat jsou 2 úplně odlišné věci a tedy se o to starají odlišné místa.

Respektive Aplikace se dá připodobnit například k panelovému domu. (Sice ne moc šťastně zvoleno, ale službu to udělá). Hlavní vchod je zabezpečen zámkem. To je dejme tomu ověření, jestli je uživatel přihlášen. Pokud nejsi přihlášen, tak máš možnost vidět pouze dům zvenku. Pokud přihlášen jsi, můžeš vejít i dovnitř.
Zde ale je velká chodba a na ní je tuna pater (Presenterů) a každé patro má tunu dveří (Action) a když projdeš jednotlivými dveřmi, tak dostaneš pohled na to, jak vypadá který konkrétní byt (View) a můžeš komunikovat s obyvatli toho bytu (Model) a můžeš třeba číst knihy co tam mají (data). Tedy konkrétní dveře na daném patře (Presenter action) ti předají konkrétní vzhled bytu (View) který je spojen s konkrétními lidmi co se o ten byt starají (Modelem)
Pointa je ta, že všechny dveře (Actiony) jsou zamčené a ty musíš mít klíč (Práva) aby jsi ty dveře otevřel a pustili tě dovnitř. Jak vidíš, tak Presenter je ten, který se stará o přístup k dané stránce (bytu)..
Pokud ale mají 2 byty na stejném patře společný balkon (Komponenta) a balkonové dveře nejsou zabezpečeny (CreateComponent) tak můžeš easy z bytu kam máš přístup vejít do bytu, kam nemáš přístup. (Z jedné akce zavolat komponenty jiné akce.) Nebo někdo může na balkon vyšplhat zvenku a vejít balkonovkami dovnitř (Volání komponenty z neexistující akce)

Takže co uděláš? Na každé balkonové dveře dáš opět zámek, kterým projde jen ten, kdo má daná práva, která se shodují s právy dané akce (bytu)..

Dejme tomu ale teď tu integritu dat o které píšeš. Máš v jednom konkrétním bytě knihovnu. Kdo by měl ověřovat, že do té knihovny patří knihy a ne nádobí? Mají to dělat dveře? Ne Bude to dělat buď sama knihovna (databáze), pokud je dostatečně chytrá, nebo knihovník (model) a ideálně oba, protože po cestě po síti můžou být data odposlechnuty a změněny.
Takže knihovna (databáze) se stará jen o to, aby data do ní uložená byla ta data, která ona uložit umí a v tom formátu v jakém je uložit umí (nebudeš rvát CD do poličky dělané na WHS).
To, kdo tam ty data dává ale není starost knihovny.

Tím pádem můžeš v případě potřeby knihovnu přesouvat mezi byty a víš, že se k ní nikdy nedostane nikdo, kdo nemá přístup, protože o to se starají už dveře…

Já bych měl s kódem který zabezpečuje add a edit objednávek ještě jeden problém. Já mám vždycky společný formulář pro editaci i pro nový záznam.

To přeci není problém a o to víc tento způsob oceníš. Protože nemusíš v modelu zvlášť ověřovat jestli zrovna uživatel edituje a má právo, nebo jestli uživatel vkládá a má právo, ale je ti to jedno. Prostě jednotně vložíš a je to. No a presenter? Ez:

class OrderPresenter extends Nette\Application\UI\Presenter
{
    #[Nette\DI\Attributes\Inject]
    public OrderRepository $orderRepository;
	private bool $orderFormRight = false;	// Když je nastavím na false, tak vím, že se tam nikdo nedostane, pokud to explicitně nepovolím
	private ?Order $order = null;


    public function actionEdit(int $id)
    {
        $order = $this->orderRepository->getById($id);

        if (!$order) {
            $this->error('Not found', 404);
        }
        if (!$this->user->isAllowed($order, 'edit')) {
            $this->error('Not Allowed', 401);
        }

		$this->order = $order;
		$this->orderFormRight = true;
    }

    public function actionAdd()
    {
        if (!$this->user->isAllowed('order', 'add')) {
            $this->error('Not Allowed', 401);
        }
		$this->orderFormRight = true;
    }

	public function actionDetail(int $id)
	{
		// tady řádek $this->orderFormRight = true; nebude, jelikož ze show akce nechceme upravovat ani přidávat články že..
		// Protože kdo může články vidět je nemusí nutně smět upravovat, nebo přidávat
	}

	public function createComponentOrderForm(): Form
	{
		if (!$this->orderFormRight) {
            $this->error('Not Allowed', 401);
        }
		... // samotná tvorba
	}
}

Navíc v editaci je u mě standardem, že má formulář i mazací tlačítko. Mazat můžeme třeba i z výpisu – jinou komponentou. Tam už si myslím je skutečně lepší validovat oprávnění (autorizovat) až v modelu. Kdyžtak pošlu nějaké kódy, ale myslím, že si člověk umí představit, jak by to bylo složité.

Jasně. Dodáme mazání jedním z možných způsobů:

class OrderPresenter extends Nette\Application\UI\Presenter
{
    #[Nette\DI\Attributes\Inject]
    public OrderRepository $orderRepository;
	private bool $orderFormRight = false;	// Když je nastavím na false, tak vím, že se tam nikdo nedostane, pokud to explicitně nepovolím
	private ?Order $order = null;


    public function actionEdit(int $id)
    {
        $order = $this->orderRepository->getById($id);

        if (!$order) {
            $this->error('Not found', 404);
        }
        if (!$this->user->isAllowed($order, 'edit')) {
            $this->error('Not Allowed', 401);
        }

		$this->order = $order;
		$this->orderFormRight = true;
    }

    public function actionAdd()
    {
        if (!$this->user->isAllowed('order', 'add')) {
            $this->error('Not Allowed', 401);
        }
		$this->orderFormRight = true;
    }

	public function actionDetail(int $id)
	{
		// tady řádek $this->orderFormRight = true; nebude, jelikož ze show akce nechceme upravovat ani přidávat články že..
		// Protože kdo může články vidět je nemusí nutně smět upravovat, nebo přidávat
	}

	public function actionGrid()
	{
		// tady řádek $this->orderFormRight = true; taky nebude...
	}

	public function createComponentOrderForm(): Form
	{
		if (!$this->orderFormRight) {
            $this->error('Not Allowed', 401);
        }
		... // samotná tvorba
	}

	public function handleDelete(int $id)
	{
		// Ověřit existenci a vyhodit 404 v případě neexistence stejně musíme, takže to v presenteru budeme tahat
		$order = $this->orderRepository->getById($id);

        if (!$order) {
            $this->error('Not found', 404);
        }

		// a když už tady máme tu objednávku, která není jen ID, ale i data o vlastníkovu atp., vož potřebujem
		// k úspěšné autorizaci, tak to rovnou ověříme ne?
		if (!$this->user->isAllowed($order, 'delete')) {
            $this->error('Not Allowed', 401);
        }

		// jupí. tady můžeme mazat
		$this->orderRepository->delete($order);

		// A přesměrujeme vždy na grid, protože víme, že pokud má uživatel právo mazat, tak musí mít i právo na prohlížení
		// Takže pokud jsme v detailu, tak po smazání detail neexistuje a musíme redirectovat jinam a grid je super volba
		// a pokud jsme na gridu, kde je druhé mazací tlačítko, tak opět redirectujeme na akci grid.
		$this->redirect('grid');
	}
}

Všimni si, že v této handle metodě delete nemusím řešit z jaké akce to kdo poslal.
Důvod je jednoduchý.

1. Pokud je to z akce, kde tlačítko smazat je, tak super. Nemusím nic řešit.
2. Pokud je to z akce, kde tlačítko smazat není, tak stejně ověřuju oprávnění, jestli můžu mazat tento konkrétní článek a pokud ne, tak mě to dál stejně nepustí
3. Tedy mazat články, které mohu mazat můžu odkudkoliv, ale jen ty které mohu mazat a upřímně, pokud můžu mazat jen své články, tak proč bych aplikaci hackoval abych je mohl mazat z přidání, když v jiných akcích na to mám tlačítka ne? :D

EDIT
Mluvím o článcích ale v kódu jsou objednávky. Sorry :D Ospalost se občas projeví.

Editoval Bulldog (21. 10. 2022 3:20)