tjtjtjのメモ

自分のためのメモです

yiiのアクセス制御を学ぶ アクションで権限チェックしないの巻

前エントリで触れなかったupdateOwnPost関連のアクセス制御について。アクションに書いてしまいがちな権限チェックをフィルタに書いてアクションをシンプルに保っていきたい。

パラメータ付き権限アイテム

ここの図でupdateOwnPostを再確認する。updateOwnPost自身はパラメータ付き権限アイテムで、updatePost がぶら下がっている。

updateOwnPostの権限チェックは次のように実装する。

if(!Yii::app()->user->checkAccess('updateOwnPost', array('post'=>$post)))
  Yii::app()->end();
// または
if(!Yii::app()->user->checkAccess('updatePost', array('post'=>$post)))
  Yii::app()->end();

CAccessControlFilterの権限チェックを調べる

CAccessControlFilterがユーザーと権限をどう扱うか調べた。ユーザーと権限は前エントリ参照。

検証コードの一部

protected/controllers/PostController.php

<?php
public function filters()
{
    return array(
        'accessControl', // perform access control for CRUD operations
    );
}
public function accessRules()
{
    return array(
        array('allow', 
            'actions'=>array('update'),
            'roles'=>array('author'),
            //'roles'=>array('editor'),
            //'roles'=>array('updatePost'),
            //'roles'=>array('updateOwnPost'),

           // ユーザー毎にrolesを切り替えて検証する

        ),
    );
}
検証結果
filter のroles \ user usera userb userc userd
author x o x o
editor x x o o
updatePost x x o o
updateOwnPost x x x x

o : 200 OK, x : 403 forbidden

ロールに updateOwnPost を設定したとき、全ユーザーがアクセス不可。フィルタリング時点では updateOwnPostに必要なパラメータを渡せないから仕方ないか。

問題は userb の updatePost。userbは自身のポストはupdatePostしたいのだが、フィルタにupdatePostを指定すると403になってしまう。これではロールにupdatePost指定できない。
フィルタで権限チェックせず、アクションで権限チェックする手もあるが。。。

<?php
public function accessRules()
{
    return array(
        array('allow',
            'actions'=>array('update'),
            'roles'=>array(), //ロールなし
        ),
        array('deny',  // deny all users
            'users'=>array('*'),
        ),
    );
}
public function update()
{
    // 複雑な権限チェック
    if(!Yii::app()->user->checkAccess('updatePost', array('post'=>$post)))
        Yii::app()->end();

    // updateの仕事
    ...
}

嫌だなー権限チェックはフィルタに任せたい。アクションはアクションの仕事に集中したい。

フィルタでもパラメータ付き権限チェックできる

expressionを使えば!

<?php
public function accessRules()
{
    return array(
        array('allow',
            'actions'=>array('update'),
            'expression'=>array($this, "checkUpdatePost"), 
        ),
        array('deny',  // deny all users
            'users'=>array('*'),
        ),
    );
}
protected function checkUpdatePost($user, $rule)
{
    // 複雑な権限チェック  $user は Yii::app()->user のこと
    return $user->checkAccess('updatePost', array('post'=>$this->loadModel());
}
public function actionUpdate()
{
    // updateの仕事
    ...
}
protected function loadModel() 
{
    ...
}

これでいける。checkUpdatePostでloadしたモデルはアクションで利用できるオマケつきつき。

beforeActionでも

「アクションはアクションの仕事に集中」するならば、beforeActionでチェックしてもいいか。

yiiのアクセス制御を学ぶ CDbAuthManager導入の巻

ロールベースアクセスコントロール(RBAC)を導入するのは面倒で後回しにしてきました。ロールのデザイン、ロール管理の実装、ユーザー管理の実装、権限付与の実装には時間がかかりそうで躊躇してしまうのです。そこでこれらをできる限り省略してRBACを導入することにフォーカスしてみます。

これからやることが想像できない場合はロールベースアクセスコントロールを読む。やりたいことはなんとなくわかった、でもなんだか面倒だなーと思うくらいでOK。とりあえずやってみる。

手順

  1. アプリケーション作成
  2. ユーザー管理
  3. ユーザー認証
  4. 権限付与マネージャの導入
  5. ロール管理
  6. 操作に権限を割り当てる

アプリケーション作成

blogデモを利用します。

  • yii/demo/blogを適当なところにコピー
  • protected/config/main.php にDB設定
  • DBを作成
  • protected/data/schema.mysql.sql とかでスキーマを整える

ユーザー管理

blogデモにはユーザー管理機能がありません。前のポストを参考にしてもいいですが、とりあえずのユーザー生成スクリプトを用意したので使ってください。
4ユーザー usera, userb, userc, userd のパスワードはすべてdemoです。

INSERT INTO tbl_user (id, username, password, salt, email) VALUES (901, 'usera','2e5c7db760a33498023813489cfadc0b','28b206548469ce62182048fd9cf91760','webmaster@example.com');
INSERT INTO tbl_user (id, username, password, salt, email) VALUES (902, 'userb','2e5c7db760a33498023813489cfadc0b','28b206548469ce62182048fd9cf91760','webmaster@example.com');
INSERT INTO tbl_user (id, username, password, salt, email) VALUES (903, 'userc','2e5c7db760a33498023813489cfadc0b','28b206548469ce62182048fd9cf91760','webmaster@example.com');
INSERT INTO tbl_user (id, username, password, salt, email) VALUES (904, 'userd','2e5c7db760a33498023813489cfadc0b','28b206548469ce62182048fd9cf91760','webmaster@example.com');

ユーザー認証

blogデモに実装済みなのでパス。パス。

権限付与マネージャの導入

権限付与マネージャには CDbAuthManager と CPhpAuthManager がありますが今回使うのは前者です。

CDbAuthManager の設定
  • config/main.phpに次を追加する

protected/config/main.php

    'components'=>array(
        'authManager'=>array(
            'class'=>'CDbAuthManager',
            'connectionID'=>'db',
        ),
    ),
CDbAuthManager が必要とするテーブルを生成
  • framework/web/auth/schema-*.sql のスクリプトで作成する

ロール管理

yiiガイドにあるロール構造を登録します。権限付与アイテムとは、ロール構造図をあわせて読むと理解しやすい。

権限付与アイテム

権限付与アイテムとは何かをする許可のことです。(例:新しいブログ記事を作る、ユーザを管理する) 粒度と対象者によって、権限付与アイテムはオペレーション、タスク、ロールに分類されます。 ロールは複数のタスクからなり、タスクは複数のオペレーションからなります。 そして、オペレーションが一番小さな許可単位です。

http://www.yiiframework.com/doc/guide/1.1/ja/topics.auth
ロール構造図

ここのロール構造図を参照。

簡易ロール管理

ロール管理はUIで管理したいところですが、今回は SiteController.phpにロールを初期化/登録するアクションを追加します。追加したら http:/path/to/index.php/site/loadroles にアクセスしロール定義をロードします。

protected/controllers/SiteController.php

<?php
    public function actionLoadRoles()
    {
        $auth=Yii::app()->authManager;

        // ロール初期化
        $auth=Yii::app()->clearAll();

        // ロール定義
        $auth->createOperation('createPost','create a post');
        $auth->createOperation('readPost','read a post');
        $auth->createOperation('updatePost','update a post');
        $auth->createOperation('deletePost','delete a post');

        $bizRule='return Yii::app()->user->id==$params["post"]->author_id;';
        $task=$auth->createTask('updateOwnPost','update a post by author himself',$bizRule);
        $task->addChild('updatePost');

        $role=$auth->createRole('reader','reader');
        $role->addChild('readPost');

        $role=$auth->createRole('author','author');
        $role->addChild('reader');
        $role->addChild('createPost');
        $role->addChild('updateOwnPost');

        $role=$auth->createRole('editor','editor');
        $role->addChild('reader');
        $role->addChild('updatePost');

        $role=$auth->createRole('admin','admin');
        $role->addChild('editor');
        $role->addChild('author');
        $role->addChild('deletePost');

        // ユーザーに権限付与
        $auth->assign('reader','1');   //demo
        $auth->assign('reader','901'); //usera
        $auth->assign('author','902'); //userb
        $auth->assign('editor','903'); //userc
        $auth->assign('admin', '904'); //userd
    }

ロール作成時、descriptionを設定しました。

各ユーザーの権限

  • demo 記事の参照
  • usera 記事の参照
  • userb 記事の参照と作成 + 自身が作成した記事の編集
  • userc 記事の参照と作成と編集
  • userd 記事の参照と作成と編集と削除

権限チェック

ここまでできたら次はいよいよユーザーに付与した権限を元にBlogデモが動作するよう改修していきます。ログインユーザーが権限を持っている/いないは CWebUser#checkAccess で得られます。

Yii::app()->user->checkAccess('createPost')

view上で判定する

protected/components/views/userMenu.php

<?php
<ul>
    <?php if (Yii::app()->user->checkAccess('createPost')) : ?>
        <li><?php echo CHtml::link('Create New Post',array('post/create')); ?></li>
    <?php endif; ?>
    <?php if (Yii::app()->user->checkAccess('admin')) : ?>
        <li><?php echo CHtml::link('Manage Posts',array('post/admin')); ?></li>
    <?php endif; ?>
    <?php if (Yii::app()->user->checkAccess('editor')) : ?>
        <li><?php echo CHtml::link('Approve Comments',array('comment/index')) . ' (' . Comment::model()->pendingCommentCount . ')'; ?></li>
    <?php endif; ?>
    <li><?php echo CHtml::link('Logout',array('site/logout')); ?></li>
</ul>
Postコントローラーのアクセスコントロールフィルター

protected/controllers/PostController.php

<?php
    public function accessRules()
    {
        return array(
            array('allow',
                'actions'=>array('index','view'),
                'roles'=>array('readPost'),
            ),
            array('allow',
                'actions'=>array('create'),
                'roles'=>array('createPost'),
            ),
            array('allow',
                'actions'=>array('update'),
                'roles'=>array('updatePost'),
            ),
            array('allow',
                'actions'=>array('delete'),
                'roles'=>array('deletePost'),
            ),
            array('deny',  // deny all users
                'users'=>array('*'),
            ),
        );
    }

まとめ

説明しきれていないことが多々あるけれど、CDbAuthManagerは導入できたと思う。

  • 権限付与マネージャは CDbAuthManager と CPhpAuthManager がある
  • 権限アイテムにはロール、タスク、オペレーションがある。オペレーションが最小単位。
  • ロール管理は権限付与マネージャを使う。が、将来的にはyii-Rightsなどのエクステンションを使って管理すると思う
  • 権限チェックは CwebUser#checkAccess からできる
  • アクセスコントロールフィルターから権限チェックを利用できる

yiiのアクセス制御を学ぶ ログインの巻

YiiFrameworkのアクセスコントロールを学習したときのメモ。
ログインから始めロールベースアクセスコントロール、YiiRightsに辿り着きたい。素直にcookbook買うべきなのかもしれない。

ログイン

ユーザー認証。これがなくちゃ話にならない。最初に注意すべきなのは

情報: identity クラスと user アプリケーションコンポーネントはしばしば混同されます。前者は認証を行う方法のことであり、後者は現在のユーザに関する情報をあらわします。

http://www.yiiframework.com/doc/blog/1.1/ja/prototype.auth

というところか。

identity クラスとはCUserIdentityのこと。user アプリケーションコンポーネントとは CWebUserのこと。そして config/main.php の user ってのは、CWebUser のこと。
protected/config/main.php

<?php
	'components'=>array(
		'user'=>array(
			// enable cookie-based authentication
			'allowAutoLogin'=>true,
		),
	),

userはアプリケーションでひとつだけだが、identity:認証方法は複数持てる。

認証の流れはガイド/チュートリアル/Blogデモ実装されているから迷わない。。。と思ったら迷った。SiteController#actionLogin -> LoginForm#login -> UserIdentity#authenticate, CWebuser#login と辿るうちに login の多さにめまいがする。Yii::app()->user->login() している protected/models/LoginForm.php を軸に辿れば迷わない。

protected/models/LoginForm.php

<?php
	public function login()
	{
		if($this->_identity===null)
		{
			$this->_identity=new UserIdentity($this->username,$this->password);   // 認証情報を「認証方法」に渡す
			$this->_identity->authenticate();                                     // 認証
		}
		if($this->_identity->errorCode===UserIdentity::ERROR_NONE)                    // 結果を判断
		{
			$duration=$this->rememberMe ? 3600*24*30 : 0; // 30 days
			Yii::app()->user->login($this->_identity,$duration);                  // 「認証方法」からユーザー情報を引き渡す
			return true;
		}
		else
			return false;
	}

CUserIdentity を介してuser.id, user.name を CWebUser.login に引き渡していることが理解できればOKだと思う。

ログアウト

CWebUserのLogoutメソッドをコールする。これはコントローラに実装されている。
protected/controllers/SiteController.php

<?php
	public function actionLogout()
	{
		Yii::app()->user->logout();
		$this->redirect(Yii::app()->homeUrl);
	}

ログイン済/未ログインの判断

次のコードで判断できる

<?php
if (Yii::app()->user->isGuest) {
	echo '未ログイン:'.Yii::app()->user->name;
} else {
	echo 'ログイン済:'.Yii::app()->user->name;
}

この判断は layouts/main.php などで見られる。
protected/views/layouts/main.php

    <div id="mainmenu">
        <?php $this->widget('zii.widgets.CMenu',array(
            'items'=>array(
                array('label'=>'Home', 'url'=>array('post/index')),
                array('label'=>'About', 'url'=>array('site/page', 'view'=>'about')),
                array('label'=>'Contact', 'url'=>array('site/contact')),
                array('label'=>'Login', 'url'=>array('site/login'), 'visible'=>Yii::app()->user->isGuest),
                array('label'=>'Logout ('.Yii::app()->user->name.')', 'url'=>array('site/logout'), 'visible'=>!Yii::app()->user->isGuest)
            ),
        )); ?>
    </div><!-- mainmenu -->