Zend Framework - Zend_Acl編

■ 概要

アクセス制御リスト（ＡＣＬ）をオブジェクト化した時点では、すべてが制限されている状態です。

とは言ってもまだそこには制限対象もなにも設定されてないのでまずはリソース（アクセス制限エリア）を追加登録していくことになります。

<?php require_once 'Zend/Acl.php'; $acl = new Zend_Acl(); // アクセス制御リストのオブジェクト作成 $acl->addResource('fooArea'); // リソース"fooArea"追加登録 $acl->addResource('barArea'); // リソース"barArea"追加登録 　　　　　　：つづく

これでアクセスが制限されたエリアが出来ました。

でも一体何がこのエリアへの制限を受けるのか？　ということを次に定義していくことになります。

アクセス制限を受ける階級（ロールと呼ぶ）を作成し、これに制限を割り当てます。

　　　　　　： $acl->addRole('guest'); // 非会員（ゲストさん） $acl->addRole('member'); // 会員 $acl->allow('guest', 'fooArea'); // guestのfooAreaへのアクセスを許可 $acl->allow('member', 'barArea'); // memberのbarAreaへのアクセスを許可

これでどういったエリア（リソース）があって、どういう階級（ロール）がいて、どの階級がどのエリアへのアクセスが許可されているかの定義（設定）ができました。

そうしたら「私は○○階級なんだけど、ＸＸエリアへのアクセスはできるのかね？」といった問い合わせをＡＣＬに確認した結果をアクセス制御に利用できることになります。

if ($acl->isAllowed('guest', 'fooArea')) echo "ok!";

isで始まるメソッド名は「真」か「偽」を返すのでif文でチェックができます。

$acl->addRole('foo');

$acl->addResource('barArea');

上記はそれぞれ以下のように書くこともできます。

require_once 'Zend/Acl/Role.php';
$acl->addRole(new Zend_Acl_Role('foo'));

require_once 'Zend/Acl/Resource.php';
$acl->addResource(new Zend_Acl_Resource('barArea')); または $acl->add(new Zend_Acl_Resource('barArea'));

でもクラス呼び出しの記述の冗長さを考えると、前述のように内部で自動的にオブジェクト作成してもらった方が見やすいと思います。

ここで一旦、用語をまとめます。

リソース（アクセス制限エリア）
ロール（階級　guest, member, staff, editor, vip, classA, classS, administratorなど分かりやすいものを付ける）

■ シンプルな使い方

エリアごとにアクセス制限を行う

<?php require_once 'Zend/Acl.php'; // ACLオブジェクト作成 $acl = new Zend_Acl(); // ロール作成（階級） $acl->addRole('guest'); // "guest"という階級を作成 $acl->addRole('member', 'guest'); // 受け継ぐ（guestへの制限でできることを） $acl->addRole('admin'); // どの階級も受け継がない // リソース作成（制限エリア） $acl->addResource('publicArea'); // 誰でも閲覧できるエリア $acl->addResource('memberArea'); // memberのみが閲覧できるエリア $acl->addResource('adminArea'); // 管理人専用のエリア // エリアへのアクセス権限の設定 $acl->allow('guest', 'publicArea'); // これでguestを受け継いだmemberもpublicAreaへのアクセスが許可 $acl->allow('member', 'memberArea'); $acl->allow('admin'); // 全エリアを許可 // エリア指定部分にnullを書くと、全エリアを対象にできるので以下のように書いても同じ // $acl->allow('admin', null); // アクセス制御の確認（ＡＣＬへの問い合わせ） if ($acl->isAllowed( 'guest', 'publicArea')) echo "guest->publicArea: ok<br />\n"; if ($acl->isAllowed( 'guest', 'memberArea')) echo "guest->memberArea: ok<br />\n"; if ($acl->isAllowed( 'guest', 'adminArea')) echo "guest->adminArea: ok<br />\n"; if ($acl->isAllowed('member', 'publicArea')) echo "member->publicArea: ok<br />\n"; if ($acl->isAllowed('member', 'memberArea')) echo "member->memberArea: ok<br />\n"; if ($acl->isAllowed('member', 'adminArea')) echo "member->adminArea: ok<br />\n"; if ($acl->isAllowed( 'admin', 'publicArea')) echo "admin->publicArea: ok<br />\n"; if ($acl->isAllowed( 'admin', 'memberArea')) echo "admin->memberArea: ok<br />\n"; if ($acl->isAllowed( 'admin', 'adminArea')) echo "admin->adminArea: ok<br />\n";

表示結果

guest->publicArea: ok
member->publicArea: ok
member->memberArea: ok
admin->publicArea: ok
admin->memberArea: ok
admin->adminArea: ok

ここで先ほどのACL設定では使っていなかったdeny（allowと対になる設定）を使ってエリアへのアクセス権限を奪い取りたいと思います。

　　　　　　　　：つづき $acl->deny('guest', 'publicArea'); // guestのpublicAreaへのアクセス権を奪う // deny結果の確認 if ($acl->isAllowed( 'guest', 'publicArea')) echo "guest->publicArea: ok<br />\n"; if ($acl->isAllowed( 'guest', 'memberArea')) echo "guest->memberArea: ok<br />\n"; if ($acl->isAllowed( 'guest', 'adminArea')) echo "guest->adminArea: ok<br />\n"; if ($acl->isAllowed('member', 'publicArea')) echo "member->publicArea: ok<br />\n"; if ($acl->isAllowed('member', 'memberArea')) echo "member->memberArea: ok<br />\n"; if ($acl->isAllowed('member', 'adminArea')) echo "member->adminArea: ok<br />\n"; if ($acl->isAllowed( 'admin', 'publicArea')) echo "admin->publicArea: ok<br />\n"; if ($acl->isAllowed( 'admin', 'memberArea')) echo "admin->memberArea: ok<br />\n"; if ($acl->isAllowed( 'admin', 'adminArea')) echo "admin->adminArea: ok<br />\n";

表示結果

member->memberArea: ok
admin->publicArea: ok
admin->memberArea: ok
admin->adminArea: ok

これを見るとguestのpublicAreaへのアクセス権を奪ったことにより、それを引き継いだmemberもまたpublicAreaへのアクセス権を奪われたのが分かります。

guestを引き継いでいないadminにはなにも影響はありません。

■ リソースに対する権限を設ける

先ほどはエリア（リソース）に対して、ある階級（ロール）がアクセスできるかできないかどちらかでした。
同じエリア内でもある階級では閲覧する権限は持っていて、編集する権限は持っていないといった場合があります。

ということで閲覧や編集などの作業内容に名前（権限名）を付けてそれを階級（ロール）に付与していきます。

権限名は作業内容が分かりやすいように動詞を付けるのがコツです。

search （検索する権限）
create （作成する権限）
delete （削除する権限）
update （更新する権限）
insert （追加する権限）
view   （閲覧する権限）
edit   （編集する権限）
submit （実行する権限）

みたいな感じになると思います。

権限付与のやり方は、階級（ロール）を作成した後で先ほども使ったallow()やdeny()メソッドを使い、第三引数で指定します。

例えばエリア（リソース）を作成しないで階級（ロール）にview権限を与えると、すべてのリソースに対するview権限を与えることになります。

$acl->allow('guest', null, 'view');

これはguestにすべてのリソース（null指定）に対するview権限を付与する指定。

もし階級（ロール）に加えてエリア（リソース）も作成していれば、そのエリアで扱える権限を与えることができます。

$acl->allow('member', array('fooArea', 'barArea'), array('view', 'edit'));

これはmemberに"fooArea"と"barArea"エリアに対するview権限とedit権限を付与する指定。

このように複数を配列で指定することもできます。

この他いろいろな制限方法があります。

$acl->allow('guest', 'barArea', 'view');                // guest階級のbarAreaエリアでのview権限を許可
$acl->allow('guest', null, 'view');                     // guest階級の全エリアでのview権限を許可
$acl->allow(null, array('barArea', 'bazArea'), 'view'); // 全階級のbarAreaとbazAreaエリアでのview権限を許可

$acl->deny('guest', 'barArea', 'view');                 // guest階級のbarAreaエリアでのview権限を剥奪
$acl->deny('guest', null, 'view');                      // guest階級の全エリアでのview権限を剥奪
$acl->deny(null, array('barArea', 'bazArea'), 'view');  // 全階級のbarAreaとbazAreaエリアでのview権限を剥奪