yiiのアクセス制御を学ぶ yii-rightsを導入するの巻
前エントリのロール管理はこれでもロール管理かという代物でした。今回はyii-rightsを使いGUIで管理できるようにします。
blogデモにyii-rightsを組み込んだソースやデモも用意されている。手っ取り早く確認したいならはここから。
導入
- とりあえずドキュメント参照
- ロール関連のテーブルをドロップ (DROP TABLE `authassignment`, `authitem`, `authitemchild`;)
- ダウンロードして protected/modules/rights へ展開
- main.php 修正 ドキュメント参照
- adminロールをつけたいユーザーでログイン
- http://path/to/index.php/rights へアクセスしインストールする( rights/components/RInstaller.php参照)
- main.php 'install'=true を削除
- adminロールを持つユーザーでロール管理する
前エントリの権限を回復したい場合、http://path/to/index.php/site/loadroles へアクセスする。これで簡易ロール管理は不要になる。あるいは、yii-rightsインストール手順をせずにrightsテーブル(rights/data/schema.sql参照)をcreateする。デフォルトでは管理者権限はadminとなっているので異なる場合は注意。
yii-rights管理ページにはdescriptionが表示されるが、前エントリのロールに説明を設定していなかったので加えておく。
protected/coltrollers/SiteController.php
$role=$auth->createRole('reader', 'reader'); ... ↑↑↑↑ $role=$auth->createRole('author', 'author'); ... ↑↑↑↑ $role=$auth->createRole('editor', 'editor'); ... ↑↑↑↑ $role=$auth->createRole('admin', 'admin'); ... ↑↑↑↑
yii-rightsのクラス
書きかけ。後で書き加えたい。
RDbAuthManager
CDbAuthManager を継承している。rightsテーブル weight カラムを使っている
RWebUser
isSuperuser が追加されている。
yiiのアクセス制御を学ぶ アクションで権限チェックしないの巻
前エントリで触れなかったupdateOwnPost関連のアクセス制御について。アクションに書いてしまいがちな権限チェックをフィルタに書いてアクションをシンプルに保っていきたい。
パラメータ付き権限アイテム
ここの図でupdateOwnPostを再確認する。updateOwnPost自身はパラメータ付き権限アイテムで、updatePost がぶら下がっている。
updateOwnPostの権限チェックは次のように実装する。
if(!Yii::app()->user->checkAccess('updateOwnPost', array('post'=>$post))) Yii::app()->end(); // または if(!Yii::app()->user->checkAccess('updatePost', array('post'=>$post))) Yii::app()->end();
CAccessControlFilterの権限チェックを調べる
CAccessControlFilterがユーザーと権限をどう扱うか調べた。ユーザーと権限は前エントリ参照。
検証コードの一部
protected/controllers/PostController.php
<?php public function filters() { return array( 'accessControl', // perform access control for CRUD operations ); } public function accessRules() { return array( array('allow', 'actions'=>array('update'), 'roles'=>array('author'), //'roles'=>array('editor'), //'roles'=>array('updatePost'), //'roles'=>array('updateOwnPost'), // ユーザー毎にrolesを切り替えて検証する ), ); }
検証結果
filter のroles \ user | usera | userb | userc | userd |
---|---|---|---|---|
author | x | o | x | o |
editor | x | x | o | o |
updatePost | x | x | o | o |
updateOwnPost | x | x | x | x |
o : 200 OK, x : 403 forbidden
ロールに updateOwnPost を設定したとき、全ユーザーがアクセス不可。フィルタリング時点では updateOwnPostに必要なパラメータを渡せないから仕方ないか。
問題は userb の updatePost。userbは自身のポストはupdatePostしたいのだが、フィルタにupdatePostを指定すると403になってしまう。これではロールにupdatePost指定できない。
フィルタで権限チェックせず、アクションで権限チェックする手もあるが。。。
<?php public function accessRules() { return array( array('allow', 'actions'=>array('update'), 'roles'=>array(), //ロールなし ), array('deny', // deny all users 'users'=>array('*'), ), ); } public function update() { // 複雑な権限チェック if(!Yii::app()->user->checkAccess('updatePost', array('post'=>$post))) Yii::app()->end(); // updateの仕事 ... }
嫌だなー権限チェックはフィルタに任せたい。アクションはアクションの仕事に集中したい。
フィルタでもパラメータ付き権限チェックできる
expressionを使えば!
<?php public function accessRules() { return array( array('allow', 'actions'=>array('update'), 'expression'=>array($this, "checkUpdatePost"), ), array('deny', // deny all users 'users'=>array('*'), ), ); } protected function checkUpdatePost($user, $rule) { // 複雑な権限チェック $user は Yii::app()->user のこと return $user->checkAccess('updatePost', array('post'=>$this->loadModel()); } public function actionUpdate() { // updateの仕事 ... } protected function loadModel() { ... }
これでいける。checkUpdatePostでloadしたモデルはアクションで利用できるオマケつきつき。
beforeActionでも
「アクションはアクションの仕事に集中」するならば、beforeActionでチェックしてもいいか。
yiiのアクセス制御を学ぶ CDbAuthManager導入の巻
ロールベースアクセスコントロール(RBAC)を導入するのは面倒で後回しにしてきました。ロールのデザイン、ロール管理の実装、ユーザー管理の実装、権限付与の実装には時間がかかりそうで躊躇してしまうのです。そこでこれらをできる限り省略してRBACを導入することにフォーカスしてみます。
これからやることが想像できない場合はロールベースアクセスコントロールを読む。やりたいことはなんとなくわかった、でもなんだか面倒だなーと思うくらいでOK。とりあえずやってみる。
手順
- アプリケーション作成
- ユーザー管理
- ユーザー認証
- 権限付与マネージャの導入
- ロール管理
- 操作に権限を割り当てる
アプリケーション作成
blogデモを利用します。
ユーザー管理
blogデモにはユーザー管理機能がありません。前のポストを参考にしてもいいですが、とりあえずのユーザー生成スクリプトを用意したので使ってください。
4ユーザー usera, userb, userc, userd のパスワードはすべてdemoです。
INSERT INTO tbl_user (id, username, password, salt, email) VALUES (901, 'usera','2e5c7db760a33498023813489cfadc0b','28b206548469ce62182048fd9cf91760','webmaster@example.com'); INSERT INTO tbl_user (id, username, password, salt, email) VALUES (902, 'userb','2e5c7db760a33498023813489cfadc0b','28b206548469ce62182048fd9cf91760','webmaster@example.com'); INSERT INTO tbl_user (id, username, password, salt, email) VALUES (903, 'userc','2e5c7db760a33498023813489cfadc0b','28b206548469ce62182048fd9cf91760','webmaster@example.com'); INSERT INTO tbl_user (id, username, password, salt, email) VALUES (904, 'userd','2e5c7db760a33498023813489cfadc0b','28b206548469ce62182048fd9cf91760','webmaster@example.com');
ユーザー認証
blogデモに実装済みなのでパス。パス。
権限付与マネージャの導入
権限付与マネージャには CDbAuthManager と CPhpAuthManager がありますが今回使うのは前者です。
CDbAuthManager の設定
- config/main.phpに次を追加する
protected/config/main.php
'components'=>array( 'authManager'=>array( 'class'=>'CDbAuthManager', 'connectionID'=>'db', ), ),
CDbAuthManager が必要とするテーブルを生成
- framework/web/auth/schema-*.sql のスクリプトで作成する
ロール管理
yiiガイドにあるロール構造を登録します。権限付与アイテムとは、ロール構造図をあわせて読むと理解しやすい。
権限付与アイテム
権限付与アイテムとは何かをする許可のことです。(例:新しいブログ記事を作る、ユーザを管理する) 粒度と対象者によって、権限付与アイテムはオペレーション、タスク、ロールに分類されます。 ロールは複数のタスクからなり、タスクは複数のオペレーションからなります。 そして、オペレーションが一番小さな許可単位です。
http://www.yiiframework.com/doc/guide/1.1/ja/topics.auth
ロール構造図
ここのロール構造図を参照。
簡易ロール管理
ロール管理はUIで管理したいところですが、今回は SiteController.phpにロールを初期化/登録するアクションを追加します。追加したら http:/path/to/index.php/site/loadroles にアクセスしロール定義をロードします。
protected/controllers/SiteController.php
<?php public function actionLoadRoles() { $auth=Yii::app()->authManager; // ロール初期化 $auth=Yii::app()->clearAll(); // ロール定義 $auth->createOperation('createPost','create a post'); $auth->createOperation('readPost','read a post'); $auth->createOperation('updatePost','update a post'); $auth->createOperation('deletePost','delete a post'); $bizRule='return Yii::app()->user->id==$params["post"]->author_id;'; $task=$auth->createTask('updateOwnPost','update a post by author himself',$bizRule); $task->addChild('updatePost'); $role=$auth->createRole('reader','reader'); $role->addChild('readPost'); $role=$auth->createRole('author','author'); $role->addChild('reader'); $role->addChild('createPost'); $role->addChild('updateOwnPost'); $role=$auth->createRole('editor','editor'); $role->addChild('reader'); $role->addChild('updatePost'); $role=$auth->createRole('admin','admin'); $role->addChild('editor'); $role->addChild('author'); $role->addChild('deletePost'); // ユーザーに権限付与 $auth->assign('reader','1'); //demo $auth->assign('reader','901'); //usera $auth->assign('author','902'); //userb $auth->assign('editor','903'); //userc $auth->assign('admin', '904'); //userd }
ロール作成時、descriptionを設定しました。
各ユーザーの権限
- demo 記事の参照
- usera 記事の参照
- userb 記事の参照と作成 + 自身が作成した記事の編集
- userc 記事の参照と作成と編集
- userd 記事の参照と作成と編集と削除
権限チェック
ここまでできたら次はいよいよユーザーに付与した権限を元にBlogデモが動作するよう改修していきます。ログインユーザーが権限を持っている/いないは CWebUser#checkAccess で得られます。
Yii::app()->user->checkAccess('createPost')
view上で判定する
protected/components/views/userMenu.php
<?php <ul> <?php if (Yii::app()->user->checkAccess('createPost')) : ?> <li><?php echo CHtml::link('Create New Post',array('post/create')); ?></li> <?php endif; ?> <?php if (Yii::app()->user->checkAccess('admin')) : ?> <li><?php echo CHtml::link('Manage Posts',array('post/admin')); ?></li> <?php endif; ?> <?php if (Yii::app()->user->checkAccess('editor')) : ?> <li><?php echo CHtml::link('Approve Comments',array('comment/index')) . ' (' . Comment::model()->pendingCommentCount . ')'; ?></li> <?php endif; ?> <li><?php echo CHtml::link('Logout',array('site/logout')); ?></li> </ul>
Postコントローラーのアクセスコントロールフィルター
protected/controllers/PostController.php
<?php public function accessRules() { return array( array('allow', 'actions'=>array('index','view'), 'roles'=>array('readPost'), ), array('allow', 'actions'=>array('create'), 'roles'=>array('createPost'), ), array('allow', 'actions'=>array('update'), 'roles'=>array('updatePost'), ), array('allow', 'actions'=>array('delete'), 'roles'=>array('deletePost'), ), array('deny', // deny all users 'users'=>array('*'), ), ); }
まとめ
説明しきれていないことが多々あるけれど、CDbAuthManagerは導入できたと思う。
- 権限付与マネージャは CDbAuthManager と CPhpAuthManager がある
- 権限アイテムにはロール、タスク、オペレーションがある。オペレーションが最小単位。
- ロール管理は権限付与マネージャを使う。が、将来的にはyii-Rightsなどのエクステンションを使って管理すると思う
- 権限チェックは CwebUser#checkAccess からできる
- アクセスコントロールフィルターから権限チェックを利用できる
blogデモにユーザー管理機能を設ける
blogデモにユーザー管理機能を追加したときのメモ。gii-Crud GeneratorでUserモデルメンテナンス機能を生成し、生成したコードを調整します。
Userモデルメンテナンス機能を生成する
gii を有効にする
ついでにgiiにたどり着けるよう urlManager も調整する。なんか勘違いしていた。
protected/config/main.php
<?php 'modules'=>array( 'gii'=>array( 'class'=>'system.gii.GiiModule', 'password'=>'gii', // If removed, Gii defaults to localhost only. Edit carefully to taste. ), ),
user の crud を作成
http://path/to/index.php/gii へアクセスしuser の crud を作成する。
giiで生成したコードを調整する
password, saltは表示したくない。saltは入力したくないので次を修正する。
protected/views/user/_form.php
saltは入力不要。salt をカット
protected/views/user/_search.php
saltは表示不要。salt をカット
protected/views/user/_view.php
password, saltは表示不要。password, salt をカット
protected/views/user/admin.php
password, saltは表示不要。password, salt をカット
protected/views/user/view.php
password, saltは表示不要。password, salt をカット
protected/models/user.php
saltは入力しないので rules から salt をカット。beforeSave を追加する。
<?php public function rules() { return array( array('username, password, email', 'required'), array('username, password, email', 'length', 'max'=>128), array('profile', 'safe'), ); } protected function beforeSave() { $this->salt = $this->generateSalt(); $this->password = $this->hashPassword($this->password, $this->salt); return true; }
使い方
一覧表示 : http://path/to/index.php/user
詳細表示 : http://path/to/index.php/user/view?id=999
作成 : http://path/to/index.php/user/create
変更 : http://path/to/index.php/user/update?id=999
削除 : http://path/to/index.php/user/delete?id=999
コンテキストメニュー等の修正はパス。
yiiのアクセス制御を学ぶ ログインの巻
YiiFrameworkのアクセスコントロールを学習したときのメモ。
ログインから始めロールベースアクセスコントロール、YiiRightsに辿り着きたい。素直にcookbook買うべきなのかもしれない。
ログイン
ユーザー認証。これがなくちゃ話にならない。最初に注意すべきなのは
情報: identity クラスと user アプリケーションコンポーネントはしばしば混同されます。前者は認証を行う方法のことであり、後者は現在のユーザに関する情報をあらわします。
http://www.yiiframework.com/doc/blog/1.1/ja/prototype.auth
というところか。
identity クラスとはCUserIdentityのこと。user アプリケーションコンポーネントとは CWebUserのこと。そして config/main.php の user ってのは、CWebUser のこと。
protected/config/main.php
<?php 'components'=>array( 'user'=>array( // enable cookie-based authentication 'allowAutoLogin'=>true, ), ),
userはアプリケーションでひとつだけだが、identity:認証方法は複数持てる。
認証の流れはガイド/チュートリアル/Blogデモ実装されているから迷わない。。。と思ったら迷った。SiteController#actionLogin -> LoginForm#login -> UserIdentity#authenticate, CWebuser#login と辿るうちに login の多さにめまいがする。Yii::app()->user->login() している protected/models/LoginForm.php を軸に辿れば迷わない。
protected/models/LoginForm.php
<?php public function login() { if($this->_identity===null) { $this->_identity=new UserIdentity($this->username,$this->password); // 認証情報を「認証方法」に渡す $this->_identity->authenticate(); // 認証 } if($this->_identity->errorCode===UserIdentity::ERROR_NONE) // 結果を判断 { $duration=$this->rememberMe ? 3600*24*30 : 0; // 30 days Yii::app()->user->login($this->_identity,$duration); // 「認証方法」からユーザー情報を引き渡す return true; } else return false; }
CUserIdentity を介してuser.id, user.name を CWebUser.login に引き渡していることが理解できればOKだと思う。
ログアウト
CWebUserのLogoutメソッドをコールする。これはコントローラに実装されている。
protected/controllers/SiteController.php
<?php public function actionLogout() { Yii::app()->user->logout(); $this->redirect(Yii::app()->homeUrl); }
ログイン済/未ログインの判断
次のコードで判断できる
<?php if (Yii::app()->user->isGuest) { echo '未ログイン:'.Yii::app()->user->name; } else { echo 'ログイン済:'.Yii::app()->user->name; }
この判断は layouts/main.php などで見られる。
protected/views/layouts/main.php
<div id="mainmenu"> <?php $this->widget('zii.widgets.CMenu',array( 'items'=>array( array('label'=>'Home', 'url'=>array('post/index')), array('label'=>'About', 'url'=>array('site/page', 'view'=>'about')), array('label'=>'Contact', 'url'=>array('site/contact')), array('label'=>'Login', 'url'=>array('site/login'), 'visible'=>Yii::app()->user->isGuest), array('label'=>'Logout ('.Yii::app()->user->name.')', 'url'=>array('site/logout'), 'visible'=>!Yii::app()->user->isGuest) ), )); ?> </div><!-- mainmenu -->
yiiext/twig-renderer でビューをフラグメントキャッシュしたい
{{void(...)}}でなく{%do...%}で
前のエントリで{{void(this.endWedgit)}}と書きましたが、{%do this.endWidget %}でいいことがわかり修正しました。ごめんなさい。
フラグメントキャッシュとは
フラグメントキャッシュはページの断片をキャッシュする事を指します。 たとえば、ページ中に年間売り上げサマリの表がある場合、 リクエスト毎にこれを生成する時間をなくすために、この表をキャッシュに保持できます。
http://www.yiiframework.com/doc/guide/1.1/ja/caching.fragment
yiiのフラグメントキャッシュのいいところは1テンプレート内にキャッシュされるところ/されないところが混在できるのでキャッシュの都合でテンプレートを分離せず済むことです。CakePHPのエレメントキャッシュではテンプレートを分離しなければならなかった、ような記憶があるような。
twig-rendererでもフラグメントキャッシュが働くかどうか、テンプレートとして読みやすいかどうかを検証します。
書き換え
php のフラグメントキャッシュ
<?php if($this->beginCache($id)) { ?> ...キャッシュされるコンテンツ... <?php $this->endCache(); } ?>
twig-renderer のフラグメントキャッシュ
{% if (this.beginCache(id)) %} ...キャッシュされるコンテンツ... {% do this.endCache %} {% endif %}
いびつなコードですね。できれば beginCache/endCache だけで書きたいところです。テンプレートとしては読みにくいですか。
検証コード
protected/config/main.php - ファイルキャッシュを有効にする
'components'=>array( 'cache'=>array( 'class'=>'system.caching.CFileCache', ), ),
protected/views/site/index.twig - フラグメントキャッシュのテスト
<h3>予想</h3> #1 : uncached == cached<br> #2 : uncached != cached<br> #3 : uncached != cached<br> #4 : ..<br> uncache : {{ date|date('Y-m-d\TH:i:sP') }} {% if (this.beginCache(1)) %} cached : {{ date|date('Y-m-d\TH:i:sP') }} {% do this.endCache %} {% endif %}
検証結果
予想通り、1回目の表示では2つの日時が一致し、2回目以降は2つの日時がズレる、のように動作すると思います。
というわけで、twig-renderer でもフラグメントキャッシュが機能することがわかりました。テンプレートとしてはちょっと読みにくいか。
yiiext/twig-rendererのビューで独自の書式を使いたい
twig-rendererのfiltersに関数を指定するとtwigのfilter構文でその関数が使えるようになります。twigのfilterとバッティングしたらどうなるんだろ。
こんな感じ。
'viewRenderer'=>array( 'class'=>'ext.etwigviewrenderer.ETwigViewRenderer', 'filters' => array( 'bold' => 'bold', ), ),
function bold ($value) { return "<b>".$value."</b>"; }
{% set value = "hogehoge" %} {{ value |bold}} ↓ <b>hogehoge</b>
独自の書式を使えると便利
Yiiのビューで独自の書式が欲しいときは CFormatter を拡張するといい | tipshare.infoのMyFormatterのstaticメソッドがフィルター構文で使えると便利ですよね。warekiをfiltersに登録するとこうなります。
'viewRenderer'=>array( 'class'=>'ext.etwigviewrenderer.ETwigViewRenderer', 'filters' => array( 'wareki' => 'MyFormatter::wareki', ), ),
<?php echo Yii::app()->format->wareki($date)); ?> ↓↓↓↓ {{ date|wareki }}
これは便利!!