我正在尝试创建一个ACL,其中用户可能在不同的部门中具有不同的角色。
用户以role::guest或role::user的形式获得角色,具体取决于他们是否已登录。这是他们的userRole.(还有一个可以访问所有部门的role::superuser)。
我还以department::role的形式向ACL添加了部门角色(例如。 bookings::user )。这是他们的departmentRole.
用户部门角色存储在Zend_Auth标识中。
访问控制部分通过扩展Zend_Acl和覆盖isAllowed功能来工作。这将成功允许或拒绝每个用户。
public function isAllowed($role = null, $resource = null, $privilege = null)
{
$identity = Zend_Auth::getInstance()->getIdentity();
$userRole = $identity->role;
$departmentRoles = $identity->departmentRoles;
if (parent::isAllowed($userRole, $resource, $privilege))
{
return parent::isAllowed($userRole, $resource, $privilege);
}
else {
foreach ($departmentRoles as $departmentRole)
{
if(parent::isAllowed($departmentRole, $resource, $privilege))
{
return true;
}
}
}
return false;
}
我遇到的问题是Zend_Navigation需要一个 Acl 实例和一个用户角色。构建导航菜单的视图脚本使用仅针对单个用户角色进行验证的$this->navigation()->accept($page)。
如何为每个用户设置多个 Acl 角色,并Zend_Navigation显示他们有权访问的菜单项?
如果有更好/不同/正确的方法,请分享。
谢谢
编辑:
事实上,这种方法意味着在isAllowed()中超越核心功能,这让我认为这不可能是做到这一点的正确方法。
现在,在我的 ACL 模型中,我获取所有用户、部门和关联,并循环为每个用户创建一个数组,该数组由他们在相关部门中的各种角色组成。然后,我为每个用户创建一个角色,并继承之前创建的数组中的角色。
到目前为止,这运行良好,也意味着我还可以将用户添加为资源,并允许相关的管理员和部门经理权限修改他们的详细信息等。
这也意味着我可以将单个角色传递给Zend_Navigation并且菜单结构应与其部门角色相关。
恕我直言,为单个用户提供多个 ACL 角色看起来像是反模式。Zend_Navigation规则绑定到单个角色的(多个)资源,这是有意义的。禁止为(部门)角色允许资源的限制是什么?您始终可以对 ACL 角色使用继承。
如果您希望为单个用户设置多个角色,则可能需要具有单独的 ACL 规则。
Zend_View_Helper_Navigation_HelperAbstract::setDefaultAcl($acl);
Zend_View_Helper_Navigation_HelperAbstract::setDefaultRole($role);