👣 🐋 🕍 Webアプリケーションのアクセス権を分離するシステム ⛩️ 👨‍🚀 👂🏻

この記事では、アイデア、データベースの設計、PHPコードの作成、および最終的な最適化のアイデアから完全なサイクルを説明します。できるだけ簡単にすべてについて話そうとします。例としてPHPとMysqlを使用します。同時に私は新人を訓練します:)。

この記事では、質問に触れます。

1. ACLのアイデア

2.データベース設計

3.データベースの正規化

4.コードのリファクタリング

5.作業コードの最適化

この記事は、CMSのアクセス権のバイナリ配布に対する応答です。著者が実用的な部分を書いている間、私はかなり長い間使用してきた私のバージョンを提供したいと思います。

これから説明する内容は、 ACLのように見えます。

アイデアの簡単な説明

アクセス権は、適用する必要があるすべてのオブジェクトに属します。

簡単なニュースページの例（ここで説明します）を検討する場合、アクセス権は次のようになります。

1）メインニュースページ-グローバルアクセス権。「新しいニュースの作成」、「中程度のニュース」、「ページ自体の表示」を意味します。

2）各ニュース-「ニュースの著者を編集する」または「コメントを残さない」機能。

アクセス権システムは次のもので構成されます。

{グループ} + {アクション}または{グループ}-{アクション}

グループは、次の名前のセットです。

1）特定のユーザーの権利（たとえば、「User1」、「User2」...）。たとえば、このユーザーがアクセスできるプライベートメッセージや、サイトで自分のメッセージのみを編集できるようにするために使用されます。

2）特定のアクションに権限を付与する必要があるプライベートページのグループ（またはユーザーグループ）。（例：管理者、スーパーモデレーターなど）

3）追加のプロパティ。（たとえば、フラグはモード切り替えです）

アクション -既存の{Group}を持つユーザーが実行できる一連のアクション。当社のニュースシステムでは、次を使用できます。

N-新しいトピックを追加

D-トピックを削除

E-トピックを編集

V-トピックを参照

C-コメントを残す

B-コメントを削除

±ユーザーにそのような権利を与えるか、アクションへのアクセスを（優先）与えないことを意味します。例：ユーザー+ VC、ユーザー-C =ユーザー+V。

次に、簡単なニュースサイトのアクセス権の例を考えてみましょう。

MainNewsPageオブジェクト：

ユーザー+ VC、モデレーター+ NEDB、管理者+ NEDB

NewsMessageオブジェクト：

User1 + ED（原則として、モデレーターのみが追加できる場合は不要です）

Users-C（コメントを残したくない場合に使用できます）

NewsCommentオブジェクト：

User2 + B（ここでは、すべてのユーザーがコメントを残すことができますが、誰でもコメントを削除できるわけではないため、必要です）

コンピューターのアイデアを理解するためのシステムを簡素化する

まず、オブジェクトの権利を扱うためのデータベースを定義します。

いくつかの権利のリストを取得しているため、このようなデータベースから始めることができます。

RightsID-権利のリストの識別子。

グループ - グループの名前。

サイン -グループサイン。

アクション - アクションの名前。

例1（MainNewsPageのアクセス許可）：

ID	ライシッド	団体	サイン	アクション
1	100	ユーザー	+	V
2	100	ユーザー	+	C
3	100	モデレーター	+	N
4	100	モデレーター	+	E
5	100	モデレーター	+	D
6	100	モデレーター	+	B
7	100	管理者	+	N
8	100	管理者	+	E
9	100	管理者	+	D
10	100	管理者	+	B

例2（NewsMessageに対する権利）：

ID	ライシッド	団体	サイン	アクション
11	101	User1	+	D
12	101	User1	+	E
13	101	ユーザー	-	C

SELECT * FROM `rights_action` WHERE` RightsID` = 100を要求すると、必要なオブジェクトに属するすべての権限を取得します。

テーブルの正規化。ユーザー権限を追加します。

ページを表示するユーザーは、所有する権利を持っている必要があります。それらに基づいて、ユーザーにアクションの権利があるかどうかを知ることができます。

例：User2、Users、Moderator。

これを行うには、権利テーブルを定義します。

RightsID-ユーザー権利のリストの識別子。

グループ -ユーザーがメンバーになっているグループの名前。

例：

ID	ライシッド	団体
1	10	User1
2	10	ユーザー
3	10	モデレーター

次に、両方のテーブルを通常の形式にします。（ wiki ）

その結果、IDキーが削除され、3つのテーブルが取得されます。

rights_action-オブジェクトの権利

RightsID：整数（pk） -権利リストの識別子。

GroupID：整数（pk） -グループの名前。

サイン：tinyint（1） -グループのサイン。

アクション：列挙（pk） -アクションの名前。

rights_group-ユーザー権限

RightsID：整数（pk） -ユーザー権利のリストの識別子。

GroupID：整数（pk） -ユーザーがメンバーになっているグループの識別子。

rights_names-グループ名

GroupID：整数（pk） -グループ識別子。

name-グループの名前。

主キー「ID」を他のキーに置き換えました。場合によっては、テーブル内のいくつかのフィールドで構成されています。

グループの符号は、0（+）または1（-）になりました。これにより、グループへのアクセスが容易になるためです。

GroupID識別子は、rights_namesの名前を直接指します。

実際、 rights_namesテーブルは、必要なアクションに対する権利を識別するために使用されない付録です。このテーブルは、結果を「人間化」するためだけに役立ちます。

私たちが得たものの例：

rights_name
Groupid	お名前
10	ユーザー
11	モデレーター
12	管理者
1001	User1
1002	User2
1003	User3
rights_group
ライシッド	Groupid
1	1001
1	10
1	11
rights_action
ライシッド	Groupid	サイン	アクション
100	10	0	message_view
100	10	0	comment_create
100	11	0	message_create
100	11	0	message_edit
100	11	0	message_delete
100	11	0	comment_delete
100	12	0	message_create
100	12	0	message_edit
100	12	0	message_delete
100	12	0	comment_delete
101	1001	0	message_edit
101	1001	0	message_delete
101	10	1	comment_create

それはあまり明白ではありません-人にとって。数値で動作するコンピューターは、テーブルの処理がはるかに簡単になりました。

これで、任意のアクションのテーブル内の任意のオブジェクトに権限を追加できます。アクションはENUM（フィールド「アクション」）の形式でテーブルに書き込まれるようになりました。これにより、プロジェクトの理解と開発が容易になります。アクション自体は文字列のようなもので、好きなように呼び出すことができます。

`rights_group`はユーザーに結び付けられるべきであり、ユーザーが所有する権利について話します。

`rights_action`はオブジェクトにバインドし、ユーザーが実行できる権限、アクションを指定する必要があります。

例（ニュースサイトの場合）：

news_page（メインニュースページのパラメーター）
PageID	ライシッド	お名前
1	100	ニュースページ
news_message（ニュースページに投稿）
Msgid	PageID	ライシッド	ヘッダー	メッセージ
1	1	101	やばい、私たちはメインです!!!	しかし、これはほんの始まりに過ぎません。そのため、Habrの管理に近づくと...
2	1	101	先週のニュース	メインに沿って整然と行進しているにもかかわらず、計画が途切れたようです...

アクセス権ライブラリの開発

そして、これらのテーブルをまとめるために必要なものを確認し、必要な結果を選択する必要があります。

アクションの可能性をチェックするときのアクションのアルゴリズム：

1）データベースから、必要なオブジェクトの権利の選択を取得します。（100：ユーザー+ VC、モデレーター+ NEDB、管理者+ NEDB）

2）必要なアクション（アクション）を選択します。（V：ユーザー+ V）

3）ユーザーのアクセス権と選択したものを比較します。（ユーザー、ユーザー1 <=>ユーザー+）

4）結果がない場合は、falseを返します。

5）結果がマイナスで構成されている場合、falseを返します。それ以外の場合は、trueを返します。

注目すべきもう1つのポイントは、親（ニュースページ）から子（この場合はメッセージ）へのアクセス許可です。つまり、ページ+ 'message_view'で指定すると、すべてのメッセージは自動的にそのような権利（読み取り）になります。アルゴリズムのパラグラフ1でこの状況を使用して検証します。

実装に移りましょう：

実際、正しい選択をするためにPHPは必要ありません。 mysqlですべてを行います。

アイテム1

この場合、複数のオブジェクトから「rightsID」データを読み取り、テーブルからそれらを選択する必要があります。

ページに対する権限とページ上の個々の投稿に対する権限があるため、いくつかのオブジェクト。両方の権利は互いに補完します。（子パディング親）

たとえば、ページ上のメッセージの権利：

SELECT * FROM `rights_action` WHERE` RightsID` = 100 または ` RightsID` = 101 、ここで

100-ページ権限のID

101-ページ上のメッセージの権利のID

PHPでの通信を容易にするために、構文を少し最適化します。

SELECT * FROM `rights_action` WHERE` RightsID` IN （100、101）

アイテム2

必要なアクションを選択すると、すべてが簡単になります。

SELECT * FROM `rights_action` WHERE` action` = 'message_view'

アイテム3

そして、ここでいくつかのSELECTを組み合わせる必要があります。まず、ユーザーのアクセス権を選択してから、必要なものと比較します。これらのアクションを1つにまとめると、以下が得られます。

SELECT * FROM `rights_action` WHERE` GroupID` IN （SELECT` GroupID` FROM` rights_group` WHERE `RightsID` = 1）

アイテム1-3。

1つの複雑なクエリですべて一緒になりました：

SELECT * FROM `rights_action` WHERE` RightsID` IN （100、101）AND` action` = 'message_view' AND` GroupID` IN （ SELECT `GroupID` FROM` rights_group` WHERE` RightsID` = 1）

この例では、ユーザー権利＃1、オブジェクト＃100および＃101の権利、アクション 'メッセージの表示'（message_view）を取得し、結果（符号+および-）を生成します。

項目1-5。

これをPHP実装に貼り付け、同時にチェックを追加します。

function check( /*array(int,int,...)*/ $obj_rights, /*integer*/ $user_rightsID, /*string*/ $action){ $result = mysql_query( "SELECT * FROM `rights_action` WHERE `RightsID` IN (" . implode( "," ,$obj_rights) . ") AND `action`= '$action' AND `GroupID` IN (SELECT `GroupID` FROM `rights_group` WHERE `RightsID` = $user_rightsID)" ); if (!$result) return false ; $tmp=array(); while ($t = mysql_fetch_assoc($result)){ // (Users, User1, Moderator) // + (0) - (1) ( ). if (!isset($tmp[$t[ 'groupID' ]])) $tmp[$t[ 'groupID' ]] = $t[ 'sign' ]; else $tmp[$t[ 'groupID' ]] |= $t[ 'sign' ]; } mysql_free_result($result); if ($tmp) // + , true. false. return (array_search(0, $tmp) !== FALSE); // $tmp == false return false ; } * This source code was highlighted with Source Code Highlighter .

これはほんの始まりであり、最初のステップです。

アクセス権クラスを作成する

何が必要ですか？

クラスで作業する例を開発します。

1）最初に、使用する権利を持つユーザーの権利を指定する必要があります。また、クラス自体を特定のユーザーにバインドする必要があります。

2）プロパティを追加して、子の権利のクラスにオブジェクトを追加します。

3）さまざまなアクション（アクション）のアクセスを確認します。

意見と考え：

__constructでクラスを作成するときにユーザー権限を指定できます。

クラスのプロパティが失われないように新しいプロパティを追加する場合、新しいクラスを作成する必要があります（プロパティを追加して古いクラスを複製します）。

これをすべて実装してみましょう。

class Rights{ private $usrID; //User rights ID function __construct($user_rightsID){ $ this ->usrID=$user_rightsID; } }

これで、コンストラクトを使用できます。

$UserRights = new Rights($CurrentUser->rightsID);

さらに別のプログラムで$ UserRightsを使用します。

確認するために適切なオブジェクトを追加することを検討してください。

class Rights{ private $group=array(); // function include_right($grp){ $clone=clone $ this ; // , $clone->group[]=$grp; // return $clone; } //... constructor }

異なるメッセージ（子）からの権利（親）を追加するため、オブジェクトを台無しにする必要はないことを思い出させてください。

次に、 チェック関数を書き直してクラスに導入し、何が起こったかを確認します。

class Rights{ private $usrID; //User rights ID private $group=array(); // function __construct($user_rightsID){ $ this ->usrID=$user_rightsID; } function include_right($grp){ $clone=clone $ this ; // , $clone->group[]=$grp; // return $clone; } function check($action){ $result = mysql_query( "SELECT * FROM `rights_action` WHERE `RightsID` IN (" . implode( "," ,$ this ->group) . ") AND `action`= '$action' AND `GroupID` IN (SELECT `GroupID` FROM `rights_group` WHERE `RightsID` = " . $ this ->usrID . ")" ); if (!$result) return false ; $tmp=array(); while ($t = mysql_fetch_assoc($result)){ // (Users, User1, Moderator) // + (0) - (1) ( ). if (!isset($tmp[$t[ 'groupID' ]])) $tmp[$t[ 'groupID' ]] = $t[ 'sign' ]; else $tmp[$t[ 'groupID' ]] |= $t[ 'sign' ]; } mysql_free_result($result); if ($tmp) // + , true. false. return (array_search(0, $tmp) !== FALSE); // $tmp == false return false ; } } * This source code was highlighted with Source Code Highlighter .

現在行っていること（関数をクラスに再追加し、より使いやすく、より汎用的にすること）は、リファクタリングと呼ばれます。（ wiki ）

これで、このクラスを次のように使用できます。

// $UserRights = new Rights($CurrentUser->rightsID); // , . $PageRights = $UserRights->include_right($MainPage->rightsID); //, ? if ($PageRights->check( 'messages_view' )){ //, . ? // foreach ($MainPage->Messages as $msg){ // (parent), (child) $MsgRights = $PageRights->include_right($msg->rightsID); // if ($MsgRights->check( 'messages_view' )){ // , ? if ($MsgRights->check( 'messages_edit' )) $msg->editable_flag = 1; // ? if ($MsgRights->check( 'messages_delete' )) $msg->delete_flag = 1; DrawMessage($msg); } } }

$ CurrentUserは、ページを表示しているユーザーの構造です。

$ MainPage-ユーザーが表示しているページ構造。

$ MainPage-> Messages-ページに表示されるメッセージの配列。

以前は、構造はデータベースから読み込まれていました。

最適化

ライブラリの品質と機能には満足していますが、生産性の問題が生じます。

最初に目を引くのは、新しい「アクション」を使用したチェックごとに、実行不可能なSQLクエリが発生することです。修正してみましょう。

まず、リクエストごとに変化しないものを見てみましょう。これを最適化します。

SELECT * FROM `rights_action` WHERE` RightsID` IN （.implode（"、 "、$ this-> group ））AND` action` = '$ action' AND `GroupID` IN （SELECT` GroupID` FROM` rights_group` WHERE `RightsID` =。$ This-> usrID）

まず、 SELECTクエリ`GroupID` FROM` rights_group` WHERE` RightsID` = =のたびに。それから始めましょう。

UserRightsを宣言するとき、このクエリを1回実行すると、結果が既にSQLクエリに挿入されます。

function __construct($grp){ $result=mysql_query( "SELECT `group_rights`.groupID FROM `group_rights` WHERE `group_rights`.rightsID=$grp" ); $ this ->usrID=array(); while ($t=mysql_fetch_assoc($result)){ $ this ->usrID[]=$t[ 'groupID' ]; } mysql_free_result($result); $ this ->usrID=implode( "," ,$ this ->usrID); }

これで$ this-> usrIDには、SELECTa全体ではなく、クエリに直接挿入できる既製の文字列があります。

すでに簡単になっていますが、それでも各リクエストに対してデータベース全体で検索が行われます。どうすればこれを取り除くことができますか？ほとんどの場合、アクションのみに依存する予備的な結果を作成します-「RightsID」と「GroupID」の選択は変更されないためです。

オブジェクトのグループが追加されると、データベースからすべての結果が配列に読み込まれます。配列は「アクション」の値のみに依存します。

SELECT * FROM `rights_action` WHERE `RightsID` IN (...) AND `GroupID` IN (...)

次に、配列内の各「アクション」を既にソートして、必要な要素を探しています。同時に、データベースにはこれ以上のクエリはありません-新しい権限を持つ次のオブジェクトまで。

最適化の結果、クラスは次のようになります。

class Rights{ private $group= "" ; private $usrID=array(); private $temptable= "" ; function include_right($grp){ $clone=clone $ this ; $clone->group[]=$grp; $result=mysql_query( "SELECT * FROM `action_rights` WHERE `action_rights`.groupID IN ({$this->usrID}) AND `action_rights`.rightsID IN (" .implode( "," ,$clone->group). ")" ); $tmp=array(); while ($t=mysql_fetch_assoc($result)){ $tmp[]=$t; } mysql_free_result($result); $clone->temptable=$tmp; return $clone; } function check($action){ $tmp=array(); foreach ($ this ->temptable as $t){ if ($t[ 'action' ]==$action){ if (!isset($tmp[$t[ 'groupID' ]])) $tmp[$t[ 'groupID' ]]=$t[ 'sign' ]; else $tmp[$t[ 'groupID' ]]|=$t[ 'sign' ]; } } if ($tmp){ return (array_search(0,$tmp)!==FALSE); } return false ; } function __construct($grp){ $result=mysql_query( "SELECT `group_rights`.groupID FROM `group_rights` WHERE `group_rights`.rightsID=$grp" ); $ this ->usrID=array(); while ($t=mysql_fetch_assoc($result)){ $ this ->usrID[]=$t[ 'groupID' ]; } mysql_free_result($result); $ this ->usrID=implode( "," ,$ this ->usrID); } } * This source code was highlighted with Source Code Highlighter .

さらに高速ですか？

はい、できます。

1）たとえば、メッセージ（子）の空の権限グループを考慮する場合、既に使用されている一時テーブルは変更されません。この場合、新たに作成することなく使用できます。検証のために、もう1つだけSELECTカウント（*）FROM `action_rights` WHERE` GroupID` = ...を追加する必要があります。これはインデックスを通過して結果を返します。

2）テーブル「action_rights」と「group_rights」のインデックスを正しく配置します。

ここではわかりません。 専門家は、彼らが私を修正することを願っています。 個人的に作成されたPK-「rightsID」、「action」、「groupID」、INDEX-「groupID」、「rightsID」

3）一時テーブルを作成した後、 'action'でインデックスを追加します： ALTER TABLE `{$ this-> temptable}` ADD INDEX （ `action`）。

確かに、この方法が効果的かどうかはわかりません。 専門家、献身してください。 :)

4）キャッシュを使用します。しかし、それは別の話です:)

実施例

今日はこれで十分なコードだと思います。仕組みは次のとおりです。

作業例 -明確さの欠如をおIび申し上げます。

test.php（動作例）-SQLデータベースで動作する私のライブラリがここで使用されていますが、驚かないでください。きっとご理解いただけると思います。

rights.phpは私たちのライブラリです。

拡張性

プロジェクトで使用する新しいアクションはすべて、「アクション」ENUMに追加されます。

特定のアクションに関連付けてリアルタイムで追加したくない場合は、「アクション」ENUMを整数に置き換え、action_nameで別のactionID対応表を作成する必要があります。（グループの名前で行ったように）

更新：継続がありました： Webアプリケーションのアクセス権の分離システムの最適化

Webアプリケーションのアクセス権を分離するシステム