Доступ Symfony2 ACL к нескольким объектам для нескольких пользователей

Я занят приложением Symfony2, которому нужны некоторые разрешения ACL.

Я новичок в Symfony2, поэтому не уверен, правильно ли я смотрю на это.

У меня несколько клиентов, каждый с несколькими учетными записями.

У меня есть суперадминистратор (ROLE_SUPER_ADMIN), который имеет доступ ко всем клиентам и всем учетным записям. Затем у меня есть роль администратора (ROLE_ADMIN), которой будет разрешен доступ только к определенному клиенту и ко всем учетным записям для этих клиентов. Затем есть агенты (ROLE_AGENT), которые должны иметь разрешение только на определенные учетные записи для клиентов.

Я видел в документах Symfony, что для предоставления пользователю доступа к определенному объекту я могу использовать следующий код:

// creating the ACL
$aclProvider = $this->get('security.acl.provider');
$objectIdentity = ObjectIdentity::fromDomainObject($account);
$acl = $aclProvider->createAcl($objectIdentity);

// retrieving the security identity of the currently logged-in user
$securityContext = $this->get('security.context');
$user = $securityContext->getToken()->getUser();
$securityIdentity = UserSecurityIdentity::fromAccount($user);

// grant owner access    
$acl->insertObjectAce($securityIdentity, MaskBuilder::MASK_OWNER);
$aclProvider->updateAcl($acl);

Поэтому при создании новой учетной записи я могу предоставить текущему вошедшему в систему пользователю доступ к вновь созданной учетной записи. Но как предоставить доступ всем остальным пользователям клиента к аккаунту?

Я не хочу перебирать всех пользователей и запускать приведенный выше код для каждого пользователя.

Так, например, при просмотре всех клиентов мне нужно знать, к каким клиентам у пользователя есть доступ, или при просмотре учетных записей мне нужно знать, к каким учетным записям имеет доступ пользователь.

Кроме того, при добавлении нового пользователя в клиент ему автоматически требуется доступ ко всем учетным записям этого клиента.

В качестве примечания мне нужно только знать, есть ли у пользователя доступ к учетной записи/клиенту. Если у пользователя есть доступ, то ему автоматически разрешается просматривать/редактировать/удалять и т.д.


permissions symfony acl symfony-2.1
person Pierre    schedule 28.08.2012    source источник
comment
Если вам нужно назначить разрешения каждому пользователю в определенной роли, вы должны вместо этого использовать ACL на основе ролей... что очень похоже на учетной записи. Я должен быть в состоянии написать пример кода (в ближайшие несколько часов). Однако, если вам не нужны роли, вам ** нужно будет ** перебирать каждого пользователя, которому вы хотите назначить разрешение....   -  person Jovan Perovic    schedule 26.11.2012

Ответы (1)


arrow_upward
0
arrow_downward

В этом случае я использовал специальную службу безопасности, которая проверяет отношения ManyToMany между сущностями. Это не идеальное решение, но имейте в виду.

Сначала нам нужно сделать прослушиватель, который будет срабатывать при каждом действии контроллера.

class SecurityListener
{
    protected $appSecurity;

    function __construct(AppSecurity $appSecurity)
    {
        $this->appSecurity = $appSecurity;
    }

    public function onKernelController(FilterControllerEvent $event)
    {
        $c = $event->getController();

        /*
         * $controller passed can be either a class or a Closure. This is not usual in Symfony2 but it may happen.
         * If it is a class, it comes in array format
         */
        if (!is_array($c)) {
            return;
        }

        $hasAccess = $this->appSecurity->hasAccessToContoller($c[0], $c[1], $event->getRequest());

        if(!$hasAccess) {
            throw new AccessDeniedHttpException('Access denied.');
        }

    }
}

В сервисе у нас есть доступ к запросу, экземпляру контроллера и вызываемому действию. Таким образом, мы можем принять решение, иметь доступ пользователя или нет.

class AppSecurity
{
    protected $em;
    protected $security;
    /** @var $user User */
    protected $user;

    public function __construct(EntityManager $em, SecurityContext $security)
    {
        $this->em = $em;
        $this->security = $security;

        if($security->getToken() !== null && !$security->getToken() instanceof AnonymousToken) {
            $this->user = $security->getToken()->getUser();
        }
    }

    /**
     * @param $controller
     * @param string $action
     */
    public function hasAccessToContoller($controller, $action, Request $request)
    {
        $attrs = $request->attributes->all();
        $client = $attrs['client'];

        /* db query to check link between logged user and request client */
    }
}

Если вы используете очень неприятные аннотации, такие как ParamConverter, вы можете легко извлечь готовые к использованию сущности из запроса.

person Alexey B.    schedule 09.08.2013