Gå til indhold
XOOPS 2.7 Docs

ADR-006 - Modul Permission System

ADR-006: Modultilladelsessystem

Sektion kaldt “ADR-006: Modultilladelsessystem”

Finmasket, hierarkisk tilladelsessystem til XOOPS-moduler, der muliggør granulær adgangskontrol.

Status

Sektion kaldt “Status”

Accepteret - Implementeret i XOOPS 2.5.x og udvidet i XOOPS 4.0

Kontekst

Sektion kaldt “Kontekst”

Problemerklæring

Sektion kaldt “Problemerklæring”

XOOPS-moduler har brug for fleksible tilladelseskontroller, der tillader:

  1. Tilladelser på modulniveau - Kan brugeren få adgang til dette modul?
  2. Tilladelser på objektniveau - Kan brugeren få adgang til dette specifikke element?
  3. Tilladelser på handlingsniveau - Kan brugeren udføre denne handling?
  4. Tilpassede tilladelser - Kan moduler definere deres egne tilladelser?

Nuværende tilstand

Sektion kaldt “Nuværende tilstand”

XOOPS 2.5 bruger XoopsGroupPermission-systemet:

<?php
$perm_handler = xoops_getHandler('groupperm');
$isAllowed = $perm_handler->checkRight(
    'modulename',
    'action',
    $itemId,
    $groupId
);

Udfordringer

Sektion kaldt “Udfordringer”
  1. Komplekse forespørgsler - Tilladelsestjek kræver databasetilknytninger
  2. Begrænset hierarki - Svært at oprette tilladelsesgrupper
  3. Dårlig Caching - Ingen indbygget tilladelsescaching
  4. Modulvariationer - Hvert modul implementerer forskelligt
  5. Ydeevne - Flere DB-forespørgsler til kontrol af tilladelser

Beslutning

Sektion kaldt “Beslutning”

Implementer hierarkisk tilladelsessystem

Sektion kaldt “Implementer hierarkisk tilladelsessystem”

Opret et standardiseret, cachelagret tilladelsessystem, der understøtter:

  1. Hierarkiske tilladelser - Nedarvning fra overordnede grupper
  2. Rollebaseret adgang - Kortlæg tilladelser til roller (administrator, moderator, bruger, gæst)
  3. Objekttilladelser - Finkornet kontrol pr
  4. Caching - Cachetilladelser for at reducere forespørgsler
  5. Tilpassede tilladelser - Moduler definerer deres egne
  6. Audit Trail - Log tilladelsesændringer

Tilladelseshierarki

Sektion kaldt “Tilladelseshierarki”
User
  └── Group 1 (Admin)
      └── Permission: admin_module
      └── Permission: edit_all_items
      └── Permission: delete_all_items
  └── Group 2 (Moderator)
      └── Permission: moderate_comments
      └── Permission: edit_own_items
  └── Group 3 (User)
      └── Permission: view_published_items
      └── Permission: edit_own_items
  └── Group 4 (Guest)
      └── Permission: view_published_items

Arkitektur

Sektion kaldt “Arkitektur”
graph TB
    subgraph "Permission System"
        A["Permission Registry<br/>(Define permissions)"]
        B["Permission Checker<br/>(Check access)"]
        C["Permission Cache<br/>(Improve performance)"]
        D["Permission Audit Log<br/>(Track changes)"]
    end


    subgraph "Data Layer"
        E["Group Permissions Table"]
        F["User Groups Table"]
        G["Permission Definitions"]
    end


    A --> E
    B --> E
    B --> C
    C --> E
    D --> E
    F --> B

Kernekomponenter

Sektion kaldt “Kernekomponenter”

1. Tilladelse Definition

Sektion kaldt “1. Tilladelse Definition”
<?php
// Module defines its permissions in xoops_version.php


$modversion['permissions'] = [
    [
        'name' => 'module_view',
        'description' => 'Can view module',
        'level' => 'module',
    ],
    [
        'name' => 'item_view',
        'description' => 'Can view items',
        'level' => 'item',
    ],
    [
        'name' => 'item_create',
        'description' => 'Can create items',
        'level' => 'item',
    ],
    [
        'name' => 'item_edit',
        'description' => 'Can edit items',
        'level' => 'item',
    ],
    [
        'name' => 'item_delete',
        'description' => 'Can delete items',
        'level' => 'item',
    ],
    [
        'name' => 'admin_manage',
        'description' => 'Can manage module',
        'level' => 'admin',
    ],
];


// Default permissions by group
$modversion['group_permissions'] = [
    // Admin group gets all permissions
    '1' => [
        'module_view' => 1,
        'item_view' => 1,
        'item_create' => 1,
        'item_edit' => 1,
        'item_delete' => 1,
        'admin_manage' => 1,
    ],
    // User group
    '3' => [
        'module_view' => 1,
        'item_view' => 1,
        'item_create' => 1,
        'item_edit' => 0,
        'item_delete' => 0,
        'admin_manage' => 0,
    ],
    // Guest group
    '4' => [
        'module_view' => 1,
        'item_view' => 1,
        'item_create' => 0,
        'item_edit' => 0,
        'item_delete' => 0,
        'admin_manage' => 0,
    ],
];

2. Tilladelseskontrol

Sektion kaldt “2. Tilladelseskontrol”
<?php
declare(strict_types=1);


namespace XoopsCore\Permission;


class PermissionChecker
{
    private PermissionCache $cache;
    private PermissionRepository $repository;


    public function hasPermission(
        User $user,
        string $permissionName,
        ?int $itemId = null
    ): bool {
        // Check cache first
        $cacheKey = "perm_{$user->getId()}_{$permissionName}_{$itemId}";
        if ($this->cache->has($cacheKey)) {
            return $this->cache->get($cacheKey);
        }


        $hasPermission = false;


        // Check all user groups
        foreach ($user->getGroups() as $group) {
            if ($this->checkGroupPermission($group, $permissionName, $itemId)) {
                $hasPermission = true;
                break;
            }
        }


        // Cache result
        $this->cache->set($cacheKey, $hasPermission, 3600);


        // Log high-level access checks
        if ($hasPermission && $this->shouldAuditLog($permissionName)) {
            $this->auditLog('PERMISSION_CHECKED', [
                'user_id' => $user->getId(),
                'permission' => $permissionName,
                'item_id' => $itemId,
                'result' => 'ALLOWED',
            ]);
        }


        return $hasPermission;
    }


    private function checkGroupPermission(
        Group $group,
        string $permissionName,
        ?int $itemId = null
    ): bool {
        $sql = 'SELECT COUNT(*) FROM ' . $this->table . '
                WHERE groupid = ?
                AND permission = ?
                AND itemid = ?
                AND granted = 1';


        $stmt = $this->db->prepare($sql);
        $stmt->execute([$group->getId(), $permissionName, $itemId ?? 0]);


        return $stmt->fetchColumn() > 0;
    }
}

3. Tilladelsesniveauer

Sektion kaldt “3. Tilladelsesniveauer”
<?php
// Different permission levels with different scopes


class PermissionLevel
{
    // Module-level: Affects entire module
    public const LEVEL_MODULE = 'module';


    // Admin-level: Admin panel access
    public const LEVEL_ADMIN = 'admin';


    // Item-level: Specific objects/items
    public const LEVEL_ITEM = 'item';


    // Field-level: Specific object fields
    public const LEVEL_FIELD = 'field';


    // Action-level: Specific actions/operations
    public const LEVEL_ACTION = 'action';
}

4. Tilladelser på objektniveau

Sektion kaldt “4. Tilladelser på objektniveau”
<?php
// Fine-grained control for specific items


class Item extends XoopsObject
{
    /**
     * Check if user can view this item
     */
    public function canView(User $user): bool
    {
        // Public items anyone can view
        if ($this->getVar('status') === 'published') {
            return true;
        }


        // Owner can always view their items
        if ($this->getVar('user_id') === $user->getId()) {
            return true;
        }


        // Check group permissions
        $permChecker = xoops_getActiveModule()->getPermissionChecker();
        return $permChecker->hasPermission(
            $user,
            'item_view',
            $this->getVar('id')
        );
    }


    public function canEdit(User $user): bool
    {
        // Owner can edit their items
        if ($this->getVar('user_id') === $user->getId()) {
            return $permChecker->hasPermission($user, 'item_edit', $this->getVar('id'));
        }


        // Check if user can edit all items
        return $permChecker->hasPermission($user, 'item_edit_all', $this->getVar('id'));
    }


    public function canDelete(User $user): bool
    {
        return $permChecker->hasPermission($user, 'item_delete', $this->getVar('id'));
    }
}

5. Brug i controllere

Sektion kaldt “5. Brug i controllere”
<?php
// Example: Article controller


class ArticleController
{
    private PermissionChecker $permChecker;


    public function view(int $id, User $user): Response
    {
        $article = $this->repository->find($id);


        // Check permission
        if (!$article->canView($user)) {
            throw new AccessDeniedException('Cannot view this article');
        }


        return new HtmlResponse($this->renderArticle($article));
    }


    public function edit(int $id, User $user): Response
    {
        $article = $this->repository->find($id);


        // Check permission
        if (!$article->canEdit($user)) {
            throw new AccessDeniedException('Cannot edit this article');
        }


        // Handle form submission
        if ($this->request->isMethod('POST')) {
            $article->setVar('title', $this->request->getPost('title'));
            $article->setVar('content', $this->request->getPost('content'));
            $this->repository->insert($article);


            $this->auditLog('ARTICLE_EDITED', ['id' => $id, 'user_id' => $user->getId()]);


            // Invalidate permission cache
            $this->permChecker->clearCache($user->getId());


            return new RedirectResponse('/article/' . $id);
        }


        return new HtmlResponse($this->renderForm($article));
    }


    public function delete(int $id, User $user): Response
    {
        $article = $this->repository->find($id);


        if (!$article->canDelete($user)) {
            throw new AccessDeniedException('Cannot delete this article');
        }


        $this->repository->delete($article);


        $this->auditLog('ARTICLE_DELETED', ['id' => $id, 'user_id' => $user->getId()]);


        // Invalidate cache
        $this->permChecker->clearCache($user->getId());


        return new JsonResponse(['success' => true]);
    }
}

Konsekvenser

Sektion kaldt “Konsekvenser”

Positive effekter

Sektion kaldt “Positive effekter”
  1. Granular Control - Finjusteret administration af tilladelser
  2. Standardiseret - Konsistent på tværs af moduler
  3. Cached - Forbedret ydeevne med caching
  4. Auditable - Spor, hvem der ændrede hvad
  5. Fleksibel - Understøtter tilpassede tilladelser
  6. Skalerbar - Håndterer komplekse tilladelseshierarkier
  7. Testbar - Let at enhedsteste

Negative effekter

Sektion kaldt “Negative effekter”
  1. Kompleksitet - Mere kode at administrere
  2. Databaseoverhead - Flere tabeller og joinforbindelser
  3. Cache-invalidering - Skal rydde cachen ved ændringer
  4. Læringskurve - Udviklere skal forstå systemet
  5. Ydeevne - Hvis cachen ikke er korrekt konfigureret

Risici og begrænsninger

Sektion kaldt “Risici og begrænsninger”
RisikoSværhedsgradAfbødning
Alt for komplekse tilladelserMediumGode ​​standardindstillinger, dokumentation
Cache forældede dataHøjTTL, smart invalidering
PræstationsregressionMediumBenchmark, optimer forespørgsler
Omgå tilladelseHøjSikkerhedsrevision, test

Tilladelsesdesignmønstre

Sektion kaldt “Tilladelsesdesignmønstre”

Mønster 1: Ejerbaserede tilladelser

Sektion kaldt “Mønster 1: Ejerbaserede tilladelser”
<?php
// User can edit their own items but not others'


public function canEdit(User $user): bool
{
    // Owner can always edit
    if ($this->isOwner($user)) {
        return true;
    }


    // Check group permissions for editing others' items
    return $this->permChecker->hasPermission($user, 'edit_all_items');
}


private function isOwner(User $user): bool
{
    return $this->getVar('user_id') === $user->getId();
}

Mønster 2: Statusbaserede tilladelser

Sektion kaldt “Mønster 2: Statusbaserede tilladelser”
<?php
// Different permissions based on status


public function canView(User $user): bool
{
    switch ($this->getVar('status')) {
        case 'published':
            // Anyone with module permission can view
            return $this->permChecker->hasPermission($user, 'item_view');


        case 'draft':
            // Only owner or admin can view
            return $this->isOwner($user) ||
                   $this->permChecker->hasPermission($user, 'admin_manage');


        case 'archived':
            // Only admin can view
            return $this->permChecker->hasPermission($user, 'admin_manage');


        default:
            return false;
    }
}

Mønster 3: Rollebaserede tilladelser

Sektion kaldt “Mønster 3: Rollebaserede tilladelser”
<?php
// Check against specific roles


public function hasAdminRole(User $user): bool
{
    return $user->getGroups()->contains('admin_group');
}


public function hasModeratorRole(User $user): bool
{
    return $user->getGroups()->contains('moderator_group') ||
           $this->hasAdminRole($user);
}


public function canModerate(User $user): bool
{
    return $this->hasModeratorRole($user);
}

Relaterede beslutninger

Sektion kaldt “Relaterede beslutninger”
  • ADR-001: Modulær arkitektur - Moduler definerer tilladelser
  • ADR-004: Sikkerhedssystem - Fundament for sikkerhed
  • ADR-005: Middleware - Kan håndhæve tilladelser

Referencer

Sektion kaldt “Referencer”

Tilladelsesmodeller

Sektion kaldt “Tilladelsesmodeller”

Implementering

Sektion kaldt “Implementering”

Implementeringstjekliste

Sektion kaldt “Implementeringstjekliste”
  • Definer standard tilladelsesniveauer
  • Opret PermissionChecker klasse
  • Implementer caching-strategi
  • Tilføj revisionslogning
  • Opret hjælpefunktioner
  • Skriv omfattende tests
  • Dokument til udviklere
  • Opdater alle moduler
  • Ydelsesoptimering
  • Sikkerhedsgennemgang

Versionshistorik| Version | Dato | Ændringer |

Sektion kaldt “Versionshistorik| Version | Dato | Ændringer |”

|--------|-------|--------| | 1.0.0 | 2024-01-28 | Oprindeligt dokument |

#xoops #adr #tilladelser #autorisation #rbac #sikkerhed