0

我需要一些关于如何处理以下场景的访问控制的建议:

  • 公司
    • 拥有一家或多家公司
    • 有一个或多个 ROLE_CORP_ADMIN
  • 公司
    • 有一个或多个区域。
    • 拥有一个或多个 ROLE_COMPANY_ADMIN。
  • 地区:
    • 拥有零个或多个商店。
    • 有一个或多个 ROLE_REGION_ADMIN。
  • 店铺:
    • 拥有零个或多个资产。
    • 拥有一个或多个 ROLE_STORE_ADMIN。
    • 有零个或多个 ROLE_STORE_EMPLOYEE。
    • 有零个或多个 ROLE_STORE_CUSTOMER(很多更好)。

该应用程序应支持许多公司。

我的直觉是为他们的管理员创建每个实体的多对多关系(例如region_iduser_id)。根据性能,我可以使用带有user_idcorporation_idcompany_idregion_id和的更加非规范化的表store_id。然后我会创建一个选民类(一致策略):

public function vote(TokenInterface $token, $object, array $attributes)
{
    // If SUPER_ADMIN, return ACCESS_GRANTED
    // If User in $object->getAdmins(), return ACCESS_GRANTED
    // Else, return ACCESS_DENIED
}

由于权限是分层的,因此该getAdmins()功能还将检查所有所有者的管理员。例如: $region->getAdmins()还将返回所属公司和公司的管理员。

我觉得我错过了一些明显的东西。根据我实现该getAdmins()功能的方式,这种方法每次投票至少需要一次命中数据库。有没有“更好”的方法来解决这个问题?

在此先感谢您的帮助。

4

1 回答 1

2

我做了我上面提出的事情,而且效果很好。根据Symfony 食谱,投票者很容易实现。多对多<entity>_owners表工作正常。

为了处理分层权限,我在实体中使用了级联调用。不优雅,不高效,但在速度方面还不错。我确信很快会重构它以使用单个 DQL 查询,但级联调用现在可以工作:

class Store implements OwnableInterface
{
    ....

    /**
     * @ORM\ManyToMany(targetEntity="Person")
     * @ORM\JoinTable(name="stores_owners",
     *      joinColumns={@ORM\JoinColumn(name="store_id", referencedColumnName="id", nullable=true)},
     *      inverseJoinColumns={@ORM\JoinColumn(name="person_id", referencedColumnName="id")}
     *      )
     *
     * @var ArrayCollection|Person[]
     */
    protected $owners;

    ...

    public function __construct()
    {
        $this->owners = new ArrayCollection();
    }

    ...

    /**
     * Returns all people who are owners of the object
     * @return ArrayCollection|Person[]
     */
    function getOwners()
    {
        $effectiveOwners = new ArrayCollection();

        foreach($this->owners as $owner){
            $effectiveOwners->add($owner);
        }

        foreach($this->getRegion()->getOwners() as $owner){
            $effectiveOwners->add($owner);
        }

        return $effectiveOwners;
    }

    /**
     * Returns true if the person is an owner.
     * @param Person $person
     * @return boolean
     */
    function isOwner(Person $person)
    {
        return ($this->getOwners()->contains($person));
    }

    ...

}

Region实体也将实现,然后OwnableInterfacegetOwners()会调用getCompany()->getOwners()等。

array_merge如果没有所有者(null)存在问题,所以新的$effectiveOwners ArrayCollection似乎运行良好。

这里是选民。我从KnpRadBundleOwnableInterface窃取了大部分选民代码:OwnerInterface

use Acme\AcmeBundle\Security\OwnableInterface;
use Acme\AcmeBundle\Security\OwnerInterface;
use Acme\AcmeUserBundle\Entity\User;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Authorization\Voter\VoterInterface;

class IsOwnerVoter implements VoterInterface
{

    const IS_OWNER = 'IS_OWNER';

    private $container;

    public function __construct(\Symfony\Component\DependencyInjection\ContainerInterface $container) {
        $this->container = $container;
    }

    public function supportsAttribute($attribute)
    {
        return self::IS_OWNER === $attribute;
    }

    public function supportsClass($class)
    {
        if (is_object($class)) {
            $ref = new \ReflectionObject($class);

            return $ref->implementsInterface('Acme\AcmeBundle\Security\OwnableInterface');
        }

        return false;
    }

    public function vote(TokenInterface $token, $object, array $attributes)
    {
        foreach ($attributes as $attribute) {

            if (!$this->supportsAttribute($attribute)) {
                continue;
            }

            if (!$this->supportsClass($object)) {
                return self::ACCESS_ABSTAIN;
            }

            // Is the token a super user? This will check roles, not user.
            if ( $this->container->get('security.context')->isGranted('ROLE_SUPER_ADMIN') ) {
                return VoterInterface::ACCESS_GRANTED;
            }

            if (!$token->getUser() instanceof User) {
                return self::ACCESS_ABSTAIN;
            }

            // check to see if this token is a user.
            if (!$token->getUser()->getPerson() instanceof OwnerInterface) {
                return self::ACCESS_ABSTAIN;
            }

            // Is this person an owner?
            if ($this->isOwner($token->getUser()->getPerson(), $object)) {
                return self::ACCESS_GRANTED;
            }

            return self::ACCESS_DENIED;
        }

        return self::ACCESS_ABSTAIN;
    }

    private function isOwner(OwnerInterface $owner, OwnableInterface $ownable)
    {
        return $ownable->isOwner($owner);
    }
}
于 2013-08-29T17:41:15.007 回答