CakePHP 1.2.0.6311b: Group + ACL + AuthComponent

หลังจากที่ใช้ ACL กับ AuthComponent ได้แล้ว … ก็จะลองเปลี่ยนตัวอย่างเก่าให้ใช้ Group ได้ดู ก็แก้เยอะเหมือน :-P.

ผมเริ่มจากการแก้ database schema ก่อน. หลังจากที่ลองใช้ migration อยู่พักใหญ่แล้วผมก็งงๆ เลยตัดสินใจสละ table: aros และ users ไป.

เริ่มจากลบของใน table: aros และ aros_acos ก่อน ด้วยคำสั่ง:

mysql -u<your_username> -p<your_password> my_project -e 'delete from aros;'
mysql -u<your_username> -p<your_password> my_project -e 'delete from aros_acos;'

แล้วก็แก้ CakeSchema ของ user ใน folder: app/config/sql, ไฟล์: users.php แก้เป็นแบบนี้:

class UsersSchema extends CakeSchema {

    var $name = 'users';

    function before($event = array()) {
        return true;
    }

    function after($event = array()) {
    }

    var $users =
        array('id' => array('type'=>'integer',
                            'null' => false,
                            'key' => 'primary',
                            'extra' => 'auto_increment'),
              'username' =>  array('type'=>'string',
                                   'null' => false,
                                   'length' => 255),
              'password' =>  array('type'=>'string',
                                   'null' => false,
                                   'length' => 255),
              'group_id' => array('type' => 'integer',
                                  'null' => false),
              'indexes' => array('PRIMARY' => array('column' => 'id',
                                                    'unique' => 1)));
    var $groups =
        array('id' => array('type' => 'integer',
                            'null' => false,
                            'key' => 'primary',
                            'extra' => 'auto_increment'),
              'name' => array('type' => 'string',
                              'null' => 'false',
                              'length' => 255,
                              'unique' => true),
              'parent_id' => array('type' => 'integer'),
              'indexes' => array('PRIMARY' => array('column' => 'id',
                                                    'unique' => true),
                                 'GRP_NAME_KEY' => array('column' => 'name',
                                                         'unique' => true)));

ของใหม่อีกอย่างหนึ่งในตัวอย่างนี้คือ AclBehavior ที่จะช่วย sync ระหว่าง users, groups และ acl. แต่เท่าที่ใช้มา AclBehavior ไม่แก้ค่า alias ใน Aro ก็เลยสร้าง AclaBehavior จากการดัดแปลง AclBehavior นิดๆ หน่อยๆ โดยเพิ่มไฟล์ acla.php ลงใน folder: app/model/behaviors แบบข้างล่าง (จริงแล้วต้องเปิด <?php และปิดด้วย ?> ด้วย … แต่ว่าใส่ใน wordpress แล้วเหมือนเพี้ยนๆ ผมก็แก้ไม่เป็นด้วย.)

/* SVN FILE: $Id: acl.php 6311 2008-01-02 06:33:52Z phpnut $ */
/**
 * ACL behavior class.
 *
 * Enables objects to easily tie into an ACL system
 *
 * PHP versions 4 and 5
 *
 * CakePHP :  Rapid Development Framework 
 * Copyright 2006-2008, Cake Software Foundation, Inc.
 *                                1785 E. Sahara Avenue, Suite 490-204
 *                                Las Vegas, Nevada 89104
 *
 * Licensed under The MIT License
 * Redistributions of files must retain the above copyright notice.
 *
 * @filesource
 * @copyright        Copyright 2006-2008, Cake Software Foundation, Inc.
 * @link                http://www.cakefoundation.org/projects/info/cakephp CakePHP Project
 * @package            cake
 * @subpackage        cake.cake.libs.model.behaviors
 * @since            CakePHP v 1.2.0.4487
 * @version            $Revision: 6311 $
 * @modifiedby        $LastChangedBy: phpnut $
 * @lastmodified    $Date: 2008-01-02 00:33:52 -0600 (Wed, 02 Jan 2008) $
 * @license            http://www.opensource.org/licenses/mit-license.php The MIT License
 */
/**
 * Short description for file
 *
 * Long description for file
 *
 * @package        cake
 * @subpackage    cake.cake.libs.model.behaviors
 */
class AclaBehavior extends ModelBehavior {

/**
 * Maps ACL type options to ACL models
 *
 * @var array
 * @access protected
 */
    var $__typeMaps = array('requester' => 'Aro', 'controlled' => 'Aco');
/**
 * Sets up the configuation for the model, and loads ACL models if they haven't been already
 *
 * @param mixed $config
 */
    function setup(&$model, $config = array()) {
        if (is_string($config)) {
            $config = array('type' => $config);
        }
        $this->settings[$model->alias] = array_merge(array('type' => 'requester'), (array)$config);
        $type = $this->__typeMaps[$this->settings[$model->alias]['type']];

        if (!ClassRegistry::isKeySet($type)) {
            uses('model' . DS . 'db_acl');
            $object =& new $type();
        } else {
            $object =& ClassRegistry::getObject($type);
        }
        $model->{$type} =& $object;
        if (!method_exists($model, 'parentNode')) {
            trigger_error("Callback parentNode() not defined in {$model->alias}", E_USER_WARNING);
        }
    }
/**
 * Retrieves the Aro/Aco node for this model
 *
 * @param mixed $ref
 * @return array
 */
    function node(&$model, $ref = null) {
        $type = $this->__typeMaps[strtolower($this->settings[$model->alias]['type'])];
        if (empty($ref)) {
            $ref = array('model' => $model->alias, 'foreign_key' => $model->id);
        }

        return $model->{$type}->node($ref);
    }
/**
 * Creates a new ARO/ACO node bound to this record
 *
 * @param boolean $created True if this is a new record
 */
    function afterSave(&$model, $created) {
        if ($created) {
            $type = $this->__typeMaps[strtolower($this->settings[$model->alias]['type'])];
            $parent = $model->parentNode();

            if (!empty($parent)) {
                $parent = $this->node($model, $parent);
            } else {
                $parent = null;
            }

            $acl_node_alias = null;

            if(method_exists($model, "aclNodeAlias"))
                $acl_node_alias = $model->aclNodeAlias();

            $model->{$type}->create();
            $model->{$type}->save(array(
                'parent_id'        => Set::extract($parent, "0.{$type}.id"),
                'model'            => $model->alias,
                'foreign_key'    => $model->id,
                'alias'         => $acl_node_alias
            ));
        }
    }
/**
 * Destroys the ARO/ACO node bound to the deleted record
 *
 */
    function afterDelete(&$model) {
        $type = $this->__typeMaps[strtolower($this->settings[$model->alias]['type'])];
        $node = Set::extract($this->node($model), "0.{$type}.id");
        if (!empty($node)) {
            $model->{$type}->delete($node);
        }
    }
}

ไม่พอก็ยังต้องแก้ CakeShell ต่อใน folder: app/vendors/shells

แก้ user.php:

uses ('controller'.DS.'components'.DS.'auth');

class UserShell extends Shell {
    var $uses = array("User", "Group");
    function add() {
        $auth = new AuthComponent();
        $username = $this->args[0];
        $password = $auth->password($this->args[1]);
        $grp_name = $this->args[2];
        $grp = $this->get_group($grp_name);
        $data = array("User" =>
                      array("username" => $username,
                            "password" => $password,
                            "group_id" => $grp["id"]));
        if($this->User->save($data))
            print "Success: $username was added\n";
        else
            print "Fail\n";
    }

    function get_group($name) {
        $data = $this->Group->findByName($name);
        if(!$data)
            return null;
        else
            return $data["Group"];

    }
}

สร้าง group.php ขึ้นมาใหม่:

class GroupShell extends Shell {

    var $uses = array("Group", "Aro");

    function add() {
        $name = $this->args[1];
        $parent_name = $this->args[0];
        if($parent_name == '/')
            $parent_id = null;
        else
            $parent_id = $this->get_parent($parent_name);
        $data = array("Group" =>
                      array("parent_id" => $parent_id,
                            "name" => $name));
        if($this->Group->save($data))
            print "Success: group: $name has been added\n";
        else
            print "Fail\n";
    }

    function get_parent($name) {
        $data = $this->Group->findByName($name, null, null, False);
        if(!$data['Group']['id'])
            return null;
        else
            return $data['Group']['id'];
    }
}

ยังไม่หมดต้องมาแก้ model ต่อใน folder: app/model

แก้ user.php:

class User extends AppModel {
    var $actsAs = array('Acla');
    var $belongsTo = array('Group');

    function parentNode() {
        if(!$this->id)
            return null;

        $data = $this->read();
        if(!$data['Group']['id'])
            return null;
        else
            return array('model' => 'Group',
                         'foreign_key' => $data['Group']['id']); 
    }
}

ตามด้วยเขียน group.php ขึ้นมาใหม่:

class Group extends AppModel {
    var $actsAs = array('Acla');
    var $hasMany = array('User');
    function parentNode() {
        if(!$this->id)
            return null;
        $data = $this->read();
        if(!$data['Group']['parent_id'])
            return null;
        else
            return array('model' => 'Group',
                         'foreign_key' => $data['Group']['parent_id']);
    }

    function aclNodeAlias() {
        if(!$this->id)
            return null;
        $data = $this->read();
        if(!$data['Group']['name'])
            return null;
        else
            return $data['Group']['name'];
    }

}

จาก code ที่แก้มามากมายก็จะเริ่มเรียกใช้แล้ว. โดย cd เข้าไปใน cake/console สั่ง: ./cake schema run create users แล้วก็กด y ไปเรื่อยๆ. เพื่อที่จะ drop table: users เก่าทิ้งไป แล้วสร้าง table: users และ groups ขึ้นมาใหม่.

ตามด้วยสร้าง group ขึ้นมาใหม่แบ่งเป็น admins กับ users ตามนี้:

./cake group add ‘/’ users

./cake group add ‘/’ admins

แล้วก็ add user ไว้ทดลอง group ละ 1 user:

./cake user add myadmin mypassword admins
./cake user add myuser mypassword users

grant ให้ admins ดูได้ทั้ง site (ทุกหน้า, ทุก action):

./cake acl grant admins site ‘*’

grant ให้ users ดู Pages/display (เอาไว้ redirect มาเวลาดูหน้าอื่นไม่ได้). และ ดู Books/display1:

./cake acl grant users ‘Pages/display’ ‘*’

./cake acl grant users ‘Books/display1’ ‘*’

ถ้าลอง login ด้วย myadmin ก็จะดูได้ทุกหน้า. แต่ถ้า login ด้วย myuser ก็จะดู http://localhost/my_project/books/display2 ไม่ได้.

ก็เป็นอันว่า users แต่ละกลุ่ม ก็ดูหน้าเว็บได้ต่างๆ กันตามที่กำหมดไว้ :-).

อ้างอิง:

http://lemoncake.wordpress.com/2007/07/19/acl-with-groups/

Advertisements

CakePHP 1.2.x: Action-based ACL

หลังจากที่ลองใช้ AuthComponent อย่างง่ายไปแล้ว. ผมก็อยากจะลอง ACL (Access control list) บ้าง ไม่รู้ว่าทำถูกวิธีหรือเปล่าด้วย. ผมก็เริ่มจากแก้ app_controller.php ใน cake/libs/controller เลย

class AppController extends Controller {
    var $components = array('Auth', 'Acl');

    function beforeFilter() {
        if(isset($this->Auth)) {
            $this->Auth->authorize = "actions";
            $this->Auth->userModel = 'User';
        }
   }
}

ACL ใน CakePHP ระบุความสัมพันธ์ระหว่าง ARO และ ACO. ARO ใน blog entry นี้ก็คือ user ของเว็บ. ส่วน ACO ของ CakePHP เป็นได้หลายอย่าง ได้แก่ controller, model และ action. ในที่นี้ผมระบุว่าใช้ action $this->Auth->authorize = “actions”; โดย action ก็คงประมาณว่าระบุเลยว่า user เข้าไปใช้หน้าไหนได้บ้างเช่น ระบุว่า user1 เข้าไปใช้ http://localhost/books/display1 ได้หรือเปล่า ระบุเป็นรายหน้าเลย.

หลังจากระบุไปแบบนี้แล้วผมก็ลอง login เพื่อที่จะไปเปิดดูหน้า http://localhost/books/display1 ผมก็คือเจ๊งตอบรูปข้างล่าง:

ที่ยังใช้ไม่ได้เพราะยังไม่ได้ใส่ข้อมูลใน ACL. ดูๆ แล้วการใช้ action-based acl เหมือนจะออกแรงเยอะชอบกล :-P. เหมือนกัน. เราเพิ่ม acl ด้วย command line interface เริ่มจาก cd เข้าไปใน folder: cake/console แล้วใช้คำสั่งต่อไปนี้

./cake acl create aro ‘/’ ‘users’
./cake acl create aco ‘/’ ‘site’
./cake acl create aco ‘site’ ‘Pages’
./cake acl create aco ‘Pages’ ‘display’
./cake acl create aco ‘site’ ‘Books’
./cake acl create aco ‘Books’ ‘display1’
./cake acl create aco ‘Books’ ‘display2’
./cake acl create aco ‘site’ ‘Users’
./cake acl create aco ‘Users’ ‘login’
./cake acl create aco ‘Users’ ‘logout’
./cake acl grant ‘users’ ‘Pages/display’ ‘*’
./cake acl grant ‘users’ ‘Books/display1’ ‘*’

แล้วก็ยังไม่พอต้องเข้าไปแก้ database ตรงๆ อีกนิดหน่อย (ผมใช้ MySQL ในตัวอย่างนี้)

mysql -u<your_username> -p<your_password> my_project -e ‘set @userid = (select id from users where username = “myusername”); update aros set foreign_key = @userid, model = “User” where alias=”users”;’

เท่านี้ก็ลองเข้าไปในเว็บได้แล้ว หลังจาก login ที่หน้า http://localhost/my_project/users/login แล้ว. ก็ลองดูเว็บ page ใน http://localhost/my_project/books/display1 ก็ควรจะเข้าไปดูได้ แต่ถ้าเข้าไปใน http://localhost/my_project/books/display2 ก็จะถูก redirect กลับมาที่ http://localhost/my_project/

การใช้ acl แบบนี้ก็ยังมีปัญหาอยู่บ้าง ที่ว่าต้องมา grant สิทธิให้ user แต่ละคน กับหน้าแทบทุกหน้า เพราะ aco นึง map กับ user 1 คน … ถ้ามี user มากๆ ก็คงไม่เคยเหมาะ. ดังนั้นจึงน่าจะใช้ group เข้ามาช่วยได้ คือให้ aco เชื่อมกับ group แทน และระบุว่า group ไหน มี user คนไหนบ้าง.

อ้างอิง

http://aranworld.com/article/162/cakephp-acl-tutorial-initial-setup

ใช้ AuthComponent ของ CakePHP 1.2.x อย่างง่าย

หลังจากติดตั้ง CakePHP เรียบร้อยแล้ว. นอกจากนั้นเพื่อให้การทดลองเป็นได้โดยสะดวกผมคิดว่าควรจะสร้าง view กับ controller ง่ายๆ ไว้ใช้ในทดลองก่อน. จากนั้นก็สร้าง user table ผ่านทาง CakeSchema. แล้วก็เตรียม model ของ users table พร้อมด้วย add user เข้าไปลองก่อนสัก user. ขั้นตอนต่อไปก็แก้ AppController ที่อยู่ใน  cake/libs/controller/app_controller.php นิดหน่อย พอแก้แล้วหน้าตาก็จะเป็นแบบด้านล่าง:

ทีนี้ก็ลองเข้าเปิดเว็บดูหน้า http://localhost/my_project/books/display1 ถ้า app ของเราทำงานถูกต้องหน้าเว็บจะถูก redirect ไปที่ http://localhost/my_project/users/login แบบข้างล่าง

แล้วก็กรอก username: myusername และ password: mypassword (ตามที่ add ไปก่อนหน้านี้ในการเตรียม model ของ users table พร้อมด้วย add user เข้าไปลองก่อนสัก user. ) แล้วก็กด “submit” ถ้าเข้าได้ปกติมันก็ redirect มาที่ books/display1 ตามที่เข้าไว้ตอนแรก.

ถ้ามี warning ว่าเขียน app/tmp ไม่ได้ขึ้นมาแบบในตัวอย่างผมก็แก้ permission เอา โดยใช้คำสั่ง chmod -R 777 app/tmp ทำให้ทุก user เขียนได้ … อาจจะมีใช่วิธีแก้ปัญหาที่ดีแต่มันก็ทำ warning หายไป :-P.

เวลาจะ logout ก็แค่เข้าไปที่ http://localhost/my_project/users/logout

ก็เป็นอันว่าเว็บที่สร้างขึ้นมามีระบบ login แล้ว แต่ก็แยกได้แค่ว่า login หรือไม่ login. ใคร login ก็ดูได้ทุกหน้า ไม่ login ก็ดูอะไรไม่ได้. การจะทำอะไรซับซ้อนกว่านี้ใช้ Access control list (ACL) ช่วยได้.

เตรียม model (+ db) สำหรับ AuthComponent ใน CakePHP 1.2.x

ก่อนที่จะใช้ AuthComponent ได้ก็ต้องมีการเตรียมการสร้าง database และ model กันนิดๆ หน่อยๆ หลังจากติดตั้ง CakePHP เรียบร้อยแล้ว. นอกจากนั้นเพื่อให้การทดลองเป็นได้โดยสะดวกผมคิดว่าควรจะสร้าง view กับ controller ง่ายๆ ไว้ใช้ในทดลองก่อน. จากนั้นก็สร้าง user table ผ่านทาง CakeSchema. แล้วก็ต่อด้วยสร้าง table ของ acl (access control list) โดยเข้าไปใน folder: cake/console แล้วสั่ง ./cake schema run create DbAcl แล้วตามด้วยการกด y ไปเรื่อยๆ เพื่อลบ table เก่าถ้ามี แล้วสร้างใหม่. ต่อด้วยการสร้าง model ของ user ใน app/models ในไฟล์ user.php:

ต่อจากนั้นก็ add user เข้าไปสักคนเพื่อเป็นการทดลอง เพื่อความสะดวกในการ add user ผมก็สร้าง CakeShell ไว้ใน folder: app/vendors/shells ชื่อไฟล์ว่า user.php:

args[0];
        $password = $auth->password($this->args[1]);       
        $data = array("User" =>
                      array("username" => $username,
                            "password" => $password));
        if($this->User->save($data)) {
            print "Success: $username was added\n";
        } else {
            print "Fail\n";
        }
    }
}

จากนั้นก็เข้าไปใน folder: cake/console แล้วก็เรียก ./cake user add myusername mypassword

อาจจะสั้นๆ ไปหน่อย นอกจากนั้นก็ปล่อยให้ CakePHP จัดการ.

ใช้ CakePHP จาก command line interface (terminal, console, etc.)

ใน CakePHP เราสามารถสั่งคำสังต่างใน shell ได้อยู่แล้ว เช่น ./cake bake (ต้องเข้า cd เข้าไปใน folder cake/console ก่อน) ที่มีไว้สร้าง controller, view และอื่นๆ อันโนมัติ.

มากไปกว่านั้นเรายังสร้างคำสั่งบน shell แบบนี้ขึ้นมาให้เองได้ง่ายๆ อีกด้วย. ในกรณีผมต้องการสร้าง shell ขึ้นมาเพื่อ encode password เพื่อใช้กับ AuthComponent ซึ่งจำเป็นต้องใช้ค่า Security.salt ใน app/config/core.php มาคำนวณด้วย ซึ่งแต่ละ app (project) สามารถแตกต่างกันได้. อย่างไรก็ตามเราไม่ต้องเขียนรายละเอียดเอง เพียงแต่เรียก function ชื่อ password จาก AuthComponent. ผมก็เลยเขียน encode.php ไว้ใน /app/vendors/shells แบบข้างล่าง.

password($this->args[0]);
    }
}
?>

เวลาจะเรียกใช้งานก็ cd เข้าไปใน folder cake/console แล้วก็เรียก ./cake encode <password ที่ต้องการ encode>

อ้างอิง

1. http://cakebaker.42dh.com/2007/05/07/writing-a-custom-cakephp-console-script/
2. http://api.cakephp.org/1.2/cake_8php-source.html