yiiのアクセス制御を学ぶ アクションで権限チェックしないの巻
前エントリで触れなかったupdateOwnPost関連のアクセス制御について。アクションに書いてしまいがちな権限チェックをフィルタに書いてアクションをシンプルに保っていきたい。
パラメータ付き権限アイテム
ここの図でupdateOwnPostを再確認する。updateOwnPost自身はパラメータ付き権限アイテムで、updatePost がぶら下がっている。
updateOwnPostの権限チェックは次のように実装する。
if(!Yii::app()->user->checkAccess('updateOwnPost', array('post'=>$post))) Yii::app()->end(); // または if(!Yii::app()->user->checkAccess('updatePost', array('post'=>$post))) Yii::app()->end();
CAccessControlFilterの権限チェックを調べる
CAccessControlFilterがユーザーと権限をどう扱うか調べた。ユーザーと権限は前エントリ参照。
検証コードの一部
protected/controllers/PostController.php
<?php public function filters() { return array( 'accessControl', // perform access control for CRUD operations ); } public function accessRules() { return array( array('allow', 'actions'=>array('update'), 'roles'=>array('author'), //'roles'=>array('editor'), //'roles'=>array('updatePost'), //'roles'=>array('updateOwnPost'), // ユーザー毎にrolesを切り替えて検証する ), ); }
検証結果
filter のroles \ user | usera | userb | userc | userd |
---|---|---|---|---|
author | x | o | x | o |
editor | x | x | o | o |
updatePost | x | x | o | o |
updateOwnPost | x | x | x | x |
o : 200 OK, x : 403 forbidden
ロールに updateOwnPost を設定したとき、全ユーザーがアクセス不可。フィルタリング時点では updateOwnPostに必要なパラメータを渡せないから仕方ないか。
問題は userb の updatePost。userbは自身のポストはupdatePostしたいのだが、フィルタにupdatePostを指定すると403になってしまう。これではロールにupdatePost指定できない。
フィルタで権限チェックせず、アクションで権限チェックする手もあるが。。。
<?php public function accessRules() { return array( array('allow', 'actions'=>array('update'), 'roles'=>array(), //ロールなし ), array('deny', // deny all users 'users'=>array('*'), ), ); } public function update() { // 複雑な権限チェック if(!Yii::app()->user->checkAccess('updatePost', array('post'=>$post))) Yii::app()->end(); // updateの仕事 ... }
嫌だなー権限チェックはフィルタに任せたい。アクションはアクションの仕事に集中したい。
フィルタでもパラメータ付き権限チェックできる
expressionを使えば!
<?php public function accessRules() { return array( array('allow', 'actions'=>array('update'), 'expression'=>array($this, "checkUpdatePost"), ), array('deny', // deny all users 'users'=>array('*'), ), ); } protected function checkUpdatePost($user, $rule) { // 複雑な権限チェック $user は Yii::app()->user のこと return $user->checkAccess('updatePost', array('post'=>$this->loadModel()); } public function actionUpdate() { // updateの仕事 ... } protected function loadModel() { ... }
これでいける。checkUpdatePostでloadしたモデルはアクションで利用できるオマケつきつき。
beforeActionでも
「アクションはアクションの仕事に集中」するならば、beforeActionでチェックしてもいいか。
yiiのアクセス制御を学ぶ CDbAuthManager導入の巻
ロールベースアクセスコントロール(RBAC)を導入するのは面倒で後回しにしてきました。ロールのデザイン、ロール管理の実装、ユーザー管理の実装、権限付与の実装には時間がかかりそうで躊躇してしまうのです。そこでこれらをできる限り省略してRBACを導入することにフォーカスしてみます。
これからやることが想像できない場合はロールベースアクセスコントロールを読む。やりたいことはなんとなくわかった、でもなんだか面倒だなーと思うくらいでOK。とりあえずやってみる。
手順
- アプリケーション作成
- ユーザー管理
- ユーザー認証
- 権限付与マネージャの導入
- ロール管理
- 操作に権限を割り当てる
アプリケーション作成
blogデモを利用します。
ユーザー管理
blogデモにはユーザー管理機能がありません。前のポストを参考にしてもいいですが、とりあえずのユーザー生成スクリプトを用意したので使ってください。
4ユーザー usera, userb, userc, userd のパスワードはすべてdemoです。
INSERT INTO tbl_user (id, username, password, salt, email) VALUES (901, 'usera','2e5c7db760a33498023813489cfadc0b','28b206548469ce62182048fd9cf91760','webmaster@example.com'); INSERT INTO tbl_user (id, username, password, salt, email) VALUES (902, 'userb','2e5c7db760a33498023813489cfadc0b','28b206548469ce62182048fd9cf91760','webmaster@example.com'); INSERT INTO tbl_user (id, username, password, salt, email) VALUES (903, 'userc','2e5c7db760a33498023813489cfadc0b','28b206548469ce62182048fd9cf91760','webmaster@example.com'); INSERT INTO tbl_user (id, username, password, salt, email) VALUES (904, 'userd','2e5c7db760a33498023813489cfadc0b','28b206548469ce62182048fd9cf91760','webmaster@example.com');
ユーザー認証
blogデモに実装済みなのでパス。パス。
権限付与マネージャの導入
権限付与マネージャには CDbAuthManager と CPhpAuthManager がありますが今回使うのは前者です。
CDbAuthManager の設定
- config/main.phpに次を追加する
protected/config/main.php
'components'=>array( 'authManager'=>array( 'class'=>'CDbAuthManager', 'connectionID'=>'db', ), ),
CDbAuthManager が必要とするテーブルを生成
- framework/web/auth/schema-*.sql のスクリプトで作成する
ロール管理
yiiガイドにあるロール構造を登録します。権限付与アイテムとは、ロール構造図をあわせて読むと理解しやすい。
権限付与アイテム
権限付与アイテムとは何かをする許可のことです。(例:新しいブログ記事を作る、ユーザを管理する) 粒度と対象者によって、権限付与アイテムはオペレーション、タスク、ロールに分類されます。 ロールは複数のタスクからなり、タスクは複数のオペレーションからなります。 そして、オペレーションが一番小さな許可単位です。
http://www.yiiframework.com/doc/guide/1.1/ja/topics.auth
ロール構造図
ここのロール構造図を参照。
簡易ロール管理
ロール管理はUIで管理したいところですが、今回は SiteController.phpにロールを初期化/登録するアクションを追加します。追加したら http:/path/to/index.php/site/loadroles にアクセスしロール定義をロードします。
protected/controllers/SiteController.php
<?php public function actionLoadRoles() { $auth=Yii::app()->authManager; // ロール初期化 $auth=Yii::app()->clearAll(); // ロール定義 $auth->createOperation('createPost','create a post'); $auth->createOperation('readPost','read a post'); $auth->createOperation('updatePost','update a post'); $auth->createOperation('deletePost','delete a post'); $bizRule='return Yii::app()->user->id==$params["post"]->author_id;'; $task=$auth->createTask('updateOwnPost','update a post by author himself',$bizRule); $task->addChild('updatePost'); $role=$auth->createRole('reader','reader'); $role->addChild('readPost'); $role=$auth->createRole('author','author'); $role->addChild('reader'); $role->addChild('createPost'); $role->addChild('updateOwnPost'); $role=$auth->createRole('editor','editor'); $role->addChild('reader'); $role->addChild('updatePost'); $role=$auth->createRole('admin','admin'); $role->addChild('editor'); $role->addChild('author'); $role->addChild('deletePost'); // ユーザーに権限付与 $auth->assign('reader','1'); //demo $auth->assign('reader','901'); //usera $auth->assign('author','902'); //userb $auth->assign('editor','903'); //userc $auth->assign('admin', '904'); //userd }
ロール作成時、descriptionを設定しました。
各ユーザーの権限
- demo 記事の参照
- usera 記事の参照
- userb 記事の参照と作成 + 自身が作成した記事の編集
- userc 記事の参照と作成と編集
- userd 記事の参照と作成と編集と削除
権限チェック
ここまでできたら次はいよいよユーザーに付与した権限を元にBlogデモが動作するよう改修していきます。ログインユーザーが権限を持っている/いないは CWebUser#checkAccess で得られます。
Yii::app()->user->checkAccess('createPost')
view上で判定する
protected/components/views/userMenu.php
<?php <ul> <?php if (Yii::app()->user->checkAccess('createPost')) : ?> <li><?php echo CHtml::link('Create New Post',array('post/create')); ?></li> <?php endif; ?> <?php if (Yii::app()->user->checkAccess('admin')) : ?> <li><?php echo CHtml::link('Manage Posts',array('post/admin')); ?></li> <?php endif; ?> <?php if (Yii::app()->user->checkAccess('editor')) : ?> <li><?php echo CHtml::link('Approve Comments',array('comment/index')) . ' (' . Comment::model()->pendingCommentCount . ')'; ?></li> <?php endif; ?> <li><?php echo CHtml::link('Logout',array('site/logout')); ?></li> </ul>
Postコントローラーのアクセスコントロールフィルター
protected/controllers/PostController.php
<?php public function accessRules() { return array( array('allow', 'actions'=>array('index','view'), 'roles'=>array('readPost'), ), array('allow', 'actions'=>array('create'), 'roles'=>array('createPost'), ), array('allow', 'actions'=>array('update'), 'roles'=>array('updatePost'), ), array('allow', 'actions'=>array('delete'), 'roles'=>array('deletePost'), ), array('deny', // deny all users 'users'=>array('*'), ), ); }
まとめ
説明しきれていないことが多々あるけれど、CDbAuthManagerは導入できたと思う。
- 権限付与マネージャは CDbAuthManager と CPhpAuthManager がある
- 権限アイテムにはロール、タスク、オペレーションがある。オペレーションが最小単位。
- ロール管理は権限付与マネージャを使う。が、将来的にはyii-Rightsなどのエクステンションを使って管理すると思う
- 権限チェックは CwebUser#checkAccess からできる
- アクセスコントロールフィルターから権限チェックを利用できる
yiiのアクセス制御を学ぶ ログインの巻
YiiFrameworkのアクセスコントロールを学習したときのメモ。
ログインから始めロールベースアクセスコントロール、YiiRightsに辿り着きたい。素直にcookbook買うべきなのかもしれない。
ログイン
ユーザー認証。これがなくちゃ話にならない。最初に注意すべきなのは
情報: identity クラスと user アプリケーションコンポーネントはしばしば混同されます。前者は認証を行う方法のことであり、後者は現在のユーザに関する情報をあらわします。
http://www.yiiframework.com/doc/blog/1.1/ja/prototype.auth
というところか。
identity クラスとはCUserIdentityのこと。user アプリケーションコンポーネントとは CWebUserのこと。そして config/main.php の user ってのは、CWebUser のこと。
protected/config/main.php
<?php 'components'=>array( 'user'=>array( // enable cookie-based authentication 'allowAutoLogin'=>true, ), ),
userはアプリケーションでひとつだけだが、identity:認証方法は複数持てる。
認証の流れはガイド/チュートリアル/Blogデモ実装されているから迷わない。。。と思ったら迷った。SiteController#actionLogin -> LoginForm#login -> UserIdentity#authenticate, CWebuser#login と辿るうちに login の多さにめまいがする。Yii::app()->user->login() している protected/models/LoginForm.php を軸に辿れば迷わない。
protected/models/LoginForm.php
<?php public function login() { if($this->_identity===null) { $this->_identity=new UserIdentity($this->username,$this->password); // 認証情報を「認証方法」に渡す $this->_identity->authenticate(); // 認証 } if($this->_identity->errorCode===UserIdentity::ERROR_NONE) // 結果を判断 { $duration=$this->rememberMe ? 3600*24*30 : 0; // 30 days Yii::app()->user->login($this->_identity,$duration); // 「認証方法」からユーザー情報を引き渡す return true; } else return false; }
CUserIdentity を介してuser.id, user.name を CWebUser.login に引き渡していることが理解できればOKだと思う。
ログアウト
CWebUserのLogoutメソッドをコールする。これはコントローラに実装されている。
protected/controllers/SiteController.php
<?php public function actionLogout() { Yii::app()->user->logout(); $this->redirect(Yii::app()->homeUrl); }
ログイン済/未ログインの判断
次のコードで判断できる
<?php if (Yii::app()->user->isGuest) { echo '未ログイン:'.Yii::app()->user->name; } else { echo 'ログイン済:'.Yii::app()->user->name; }
この判断は layouts/main.php などで見られる。
protected/views/layouts/main.php
<div id="mainmenu"> <?php $this->widget('zii.widgets.CMenu',array( 'items'=>array( array('label'=>'Home', 'url'=>array('post/index')), array('label'=>'About', 'url'=>array('site/page', 'view'=>'about')), array('label'=>'Contact', 'url'=>array('site/contact')), array('label'=>'Login', 'url'=>array('site/login'), 'visible'=>Yii::app()->user->isGuest), array('label'=>'Logout ('.Yii::app()->user->name.')', 'url'=>array('site/logout'), 'visible'=>!Yii::app()->user->isGuest) ), )); ?> </div><!-- mainmenu -->