西安PHPer

编辑预留

西安PHPer

了解 ZF 的人，应该对 ZF 的权限管理印象深刻。ZF 手册在第一章的简介之后，第二章就拉出 Zend_Acl(访问控制授权)来介绍，而第三章就是Zend_Auth 的内容(认证)。从知识认知的逻辑顺序上，我个人感觉这样安排是不合适的。事实上第二和第三章的内容介绍，牵扯了许多后续章节的内容，我们不得不从第 7 章 Zend_Controller 开始看起。（注：后来了解到，Zend 的手册，是由志愿者翻译的，章节是以字母为顺序的！哈~~除过字典，我还没见过什么书是这么排列内容的！）
    但是不得不承认 ZF 的认证和授权是个优秀的设计。ZF 的认证相对简单，我们可以直接连接数据库表，对用户输入的用户名和密码进行比较，确认当前用户的身份。还提供了摘要式认证等方法。而 ACL（访问控制列表）提供的授权就很强大。
    ACL 提出了资源、角色、动作(访问)三个概念，用这些概念可以轻易构造一个强大的权限管理系统。而且权限管理可以细化到模块下的浏览、添加、删除、修改等细微动作。(ASP.NET 只能控制到页面(模块)级别，更细致的控制需要程序员自己设计和实现)。这里粘一些代码，仅仅是说明一下(在 IIS6.0 + ZF1.51 + Apache2.2 下调试的)：

//4种角色：admin, editor, guest, auditor, poweruser

     //4种资源：channel, item, bbs, blog

     //3种动作：view, edit, revise

     //要求：

     //admin对所有资源有所有权限

     //guest对所有资源只有view权限

     //editor对channel, item, bbs有view, edit权限

     //auditor对channel, item, bbs, blog有revise权限

     //poweruser继承editor, auditor权限

      //定义角色

      $acl = new Zend_Acl();

      $roleAdmin = new Zend_Acl_Role('admin');

      $acl->addRole($roleAdmin);

      $roleEditor = new Zend_Acl_Role('editor');

      $acl->addRole($roleEditor);

      $roleGuest = new Zend_Acl_Role('guest');

      $acl->addRole($roleGuest);

      $roleAuditor = new Zend_Acl_Role('auditor');

      $acl->addRole($roleAuditor);

      $rolePoweruser = new Zend_Acl_Role('poweruser');

      $acl->addRole($rolePoweruser, array('editor', 'auditor'));

      //添加资源

      $acl->add(new Zend_Acl_Resource('channel'));

      $acl->add(new Zend_Acl_Resource('item'));

      $acl->add(new Zend_Acl_Resource('bbs'));

      $acl->add(new Zend_Acl_Resource('blog'));

      //分配权限

      //admin:

      $acl->allow($roleAdmin, null, null);

      //editor:

      $acl->allow('editor', array('channel', 'item', 'bbs'), array('view', 'edit'));

      //guest:

      $acl->allow('guest', null, 'view');

      //auditor:

      $acl->allow('auditor', array('channel', 'item', 'bbs', 'blog'), array('revise'));

      //poweruser(从 editor, auditor 继承权限),可以再叠加另外的权限

      //$acl->allow('poweruser', null, null);

      //给所有角色分配权限(包括 admin)

      //$acl->allow(null, '', '');

      //$acl->deny(null, '', '');

      查看以上代码的最终权限，可以参考一下代码：

      foreach (array('admin', 'editor', 'guest', 'auditor', 'poweruser') as $role)

      {

       echo '<br>' . '角色 ' . $role . '<br>';

       echo '<table border=1>';

       echo '<tr><td align=center>\</td><th>channel</th><th>item</th><th>bbs</th><th>blog</th></tr>';

        foreach (array('view', 'edit', 'revise') as $right)

        {

          echo '<tr>';

          echo '<th>'. $right .'</th>';

          foreach (array('channel', 'item', 'bbs', 'blog') as $resource)

          {

           echo '<td>';

              echo $acl->isAllowed($role, $resource, $right)?"allowed" : "denied";

           echo '</td>';

          }

          echo '</tr>';

        }

        echo '</table>';

      }

    }

复制代码

这些资源、角色、动作，在以上代码片段里，是作为硬编码存在的，实际项目中，可以作为数据在数据库里保存。灵活应用就需要程序员的智慧了。
    ZF 的用户，只划分到“角色”这一级，也就是说，不能给某个用户直接分配权限。这肯定是出于简化设计而考虑的，否则设计和实现会复杂的多！这个有个小缺点，就是要为一个用户分配权限，必须首先建一个角色(相当于用户组)，再把该用户加入到该角色下，通过角色来给该用户分配权限。而权限设计中，用户、角色、资源、动作的相互包含、交叉，其结果导致问题变得非常复杂！这么复杂的逻辑关系，不借助其他工具(例如计算机)，人的大脑大多数情况下是很难想明白的。
    希望西安的 PHP 程序员、教师，一起来推动 PHP 在西安的应用和发展。

西安PHPer

编辑预留

西安PHPer

编辑预留

西安PHPer

编辑预留

peacock

这帖简直是雪中送炭！

ahtcmtan

好 。支持

西安PHPer

编辑预留

西安PHPer

feelone

好东西
留名占位