Řešení autorizace pomocí anotací

https://doc.nette.org/…oli-a-zdroju a krmit to ze presenter::startup()

Editoval HosipLan (26. 10. 2010 11:15)

nepleteš, ještě nejsou ve FW

Tak můžeš zatím zaimprovizavat, třeba použít něco ve stylu tohohle (to jsem si psal nedávno, když jsem chtěl zkusit, jak je/není dlouhé):

class AnnotationRoles extends BaseModel
{

	public static function verify($class, $method)
	{
		$roles = self::getRoles($class, $method);

		if ($roles === FALSE) {
			return FALSE;
		}

		if (!\is_array($roles)) {
			$roles = array($roles);
		}

		foreach (\Nette\Environment::getUser()->getRoles() as $role) {
			$key = array_search($role, $roles);
			if ($key !== FALSE) {
				unset($roles[$key]);
			}
		}

		return count($roles) === 0;
	}



	private static function getRoles($class, $method)
	{
		try {
			$class = new \Nette\Reflection\ClassReflection($class);
			$method = $class->getMethod($method);
			return $method->getAnnotation('secured');

		} catch (\ReflectionException $e) {
			return FALSE;
		}
	}
}

kde class má vyžadovat instanci presenter, to jsem tam zapomněl… Plus nějaká kontrola, jesli tam je ta metoda atp., ale to už nechám na tobě.

a kontrola v Protected / BasePresenteru

	public function startup()
	{
		parent::startup();

		if (!\Nette\Environment::getUser()->isLoggedIn()) {
			$this->target = ':' . $this->getName() . ':' . $this->action;
			$this->redirect('Sign:in', array('target' => $this->target));
		}

		$action = 'action' . ucfirst($this->action);
		if (!\Model\AnnotationRoles::verify($this->presenter, $action)) {
			$this->flashMessage('You don\'t have enough priviledges to do this.');
			$this->redirect('Board:');

		} else {
			$this->flashMessage('debug: you have passed verification');
		}
	}

asi by to šlo napsat i lépe? Čekám, že hlavně ta část zjišťování annotací té akce.

Funguje to podle očekávání, tzn u akce jsou ty patřičné annotace (u renderu se nepočítají).

Už ti rozumím. No v tom případě můžeš rozšířit form (appform) a tam volat ten verify. Nebo, což je overkill, můžeš vylepšit __call (a asi i __invoke) a volat to verify() tam.

na mě konkrétně je toto zatím moc složité, než někdo něco podobného implementuje, nebo aspoň nastíní nějaké více konkrétní řešení, vystačím si s if(isAllowed… je to sice furt dokola a může se vloudit chybka, ale svůj účel to zatím splní :-)

@tomes volanie signalov je mozne takto riesit, vid. zivotny cysklus Presentera. Len si musis dopisat nieco ako vytiahnutie nazvu volanej handleMetody a jeho predanie do Model\AnnotationRoles::verify()

@jtousek Vsak ono sa to nijak nevylucuje. Oznacis nejaku metodu stylom allowedByShopManager (napr. odobratie produktu) a ty tu rolu iba dynamicky priradis nejakemu userovi.

Asi si to myslel opacnou logikou – nie user by mal dynamicky zoznam roli, ale chranena metoda (allowedByShopManager, allowedByAdmin, allowedByEmployye). Ked sa ale nad tym zasmyslis, zistis, ze nie metoda, ale skutocne user ma byt tym dynamickym prvkom v app.

IMHO :)

@srigi promin ale nemyslím, že jsi pochopil, co jsem měl na mysli (Mikulas Dite ano)… Nechci dynamicky přiřazovat role (tedy samozřejmě že jo, ale o to teď nejde), chci ty role dynamicky vytvářet a i měnit. Tzn. pro každou akci nechci mít ani tak výčet potřebných rolí, jako spíše výčet potřebných oprávnění.

Nyní to řeším tak, že název presenteru odpovídá resource a každá akce jeho odpovídá stejnojmenému privilege. Tedy pokud uživatel chce provést např. akci Category:update, musí mít oprávnění update nad zdrojem category. Bez ohledu na to, od které role toto oprávnění zdědil. Samozřejmě některé akce žádná oprávnění nepotřebují (např. zobrazení přihlašovacího formuláře), to řeším pomocí anotace @privilege false (lze mít buď u dané akce, nebo rovnou v anotacích presenteru pro všechny akce presenteru).