Μετάβαση στο περιεχόμενο
XOOPS 2.7 Docs

ADR-006 - Σύστημα αδειών μονάδας

ADR-006: Σύστημα αδειών μονάδας

Ενότητα με τίτλο «ADR-006: Σύστημα αδειών μονάδας»

Λεπτό, ιεραρχικό σύστημα αδειών για μονάδες XOOPS που επιτρέπει τον λεπτομερή έλεγχο πρόσβασης.

Κατάσταση

Ενότητα με τίτλο «Κατάσταση»

Αποδεκτό - Υλοποιήθηκε στο XOOPS 2.5.x και επεκτάθηκε στο XOOPS 4.0

Περιεχόμενο

Ενότητα με τίτλο «Περιεχόμενο»

# Δήλωση προβλήματος

Ενότητα με τίτλο «# Δήλωση προβλήματος»

Οι μονάδες XOOPS χρειάζονται ευέλικτα στοιχεία ελέγχου αδειών που επιτρέπουν:

  1. Δικαιώματα σε επίπεδο μονάδας - Μπορεί ο χρήστης να έχει πρόσβαση σε αυτήν την ενότητα;
  2. Δικαιώματα σε επίπεδο αντικειμένου - Μπορεί ο χρήστης να έχει πρόσβαση σε αυτό το συγκεκριμένο στοιχείο;
  3. Δικαιώματα σε επίπεδο δράσης - Μπορεί ο χρήστης να εκτελέσει αυτήν την ενέργεια;
  4. Προσαρμοσμένα δικαιώματα - Μπορούν οι λειτουργικές μονάδες να ορίσουν τα δικά τους δικαιώματα;

# Τρέχουσα κατάσταση

Ενότητα με τίτλο «# Τρέχουσα κατάσταση»

Το XOOPS 2.5 χρησιμοποιεί το σύστημα XoopsGroupPermission:

<?php
$perm_handler = xoops_getHandler('groupperm');
$isAllowed = $perm_handler->checkRight(
    'modulename',
    'action',
    $itemId,
    $groupId
);

# Προκλήσεις

Ενότητα με τίτλο «# Προκλήσεις»
  1. Σύνθετα ερωτήματα - Οι έλεγχοι αδειών απαιτούν συνδέσεις βάσεων δεδομένων
  2. Περιορισμένη Ιεραρχία - Δύσκολη η δημιουργία ομάδων δικαιωμάτων
  3. Κακή προσωρινή αποθήκευση - Δεν υπάρχει ενσωματωμένη προσωρινή αποθήκευση αδειών
  4. Παραλλαγές ενότητας - Κάθε ενότητα υλοποιείται διαφορετικά
  5. Απόδοση - Πολλαπλά ερωτήματα DB για ελέγχους αδειών

Απόφαση

Ενότητα με τίτλο «Απόφαση»

# Εφαρμογή συστήματος ιεραρχικών αδειών

Ενότητα με τίτλο «# Εφαρμογή συστήματος ιεραρχικών αδειών»

Δημιουργήστε ένα τυποποιημένο, αποθηκευμένο σύστημα αδειών που υποστηρίζει:

  1. Ιεραρχικά δικαιώματα - Κληρονομικότητα από γονικές ομάδες
  2. Πρόσβαση βάσει ρόλων - Δικαιώματα χαρτογράφησης ρόλων (διαχειριστής, επόπτης, χρήστης, επισκέπτης)
  3. Δικαιώματα αντικειμένου - Λεπτός έλεγχος ανά στοιχείο
  4. Caching - Δικαιώματα προσωρινής αποθήκευσης για μείωση των ερωτημάτων
  5. Προσαρμοσμένα δικαιώματα - Οι ενότητες ορίζουν τις δικές τους
  6. Διαδρομή ελέγχου - Αλλαγές δικαιωμάτων καταγραφής

# Ιεραρχία αδειών

Ενότητα με τίτλο «# Ιεραρχία αδειών»
User
  └── Group 1 (Admin)
      └── Permission: admin_module
      └── Permission: edit_all_items
      └── Permission: delete_all_items
  └── Group 2 (Moderator)
      └── Permission: moderate_comments
      └── Permission: edit_own_items
  └── Group 3 (User)
      └── Permission: view_published_items
      └── Permission: edit_own_items
  └── Group 4 (Guest)
      └── Permission: view_published_items

# Αρχιτεκτονική

Ενότητα με τίτλο «# Αρχιτεκτονική»
graph TB
    subgraph "Permission System"
        A["Permission Registry<br/>(Define permissions)"]
        B["Permission Checker<br/>(Check access)"]
        C["Permission Cache<br/>(Improve performance)"]
        D["Permission Audit Log<br/>(Track changes)"]
    end


    subgraph "Data Layer"
        E["Group Permissions Table"]
        F["User Groups Table"]
        G["Permission Definitions"]
    end


    A --> E
    B --> E
    B --> C
    C --> E
    D --> E
    F --> B

Βασικά εξαρτήματα

Ενότητα με τίτλο «Βασικά εξαρτήματα»

# 1. Ορισμός άδειας

Ενότητα με τίτλο «# 1. Ορισμός άδειας»
<?php
// Module defines its permissions in xoops_version.php


$modversion['permissions'] = [
    [
        'name' => 'module_view',
        'description' => 'Can view module',
        'level' => 'module',
    ],
    [
        'name' => 'item_view',
        'description' => 'Can view items',
        'level' => 'item',
    ],
    [
        'name' => 'item_create',
        'description' => 'Can create items',
        'level' => 'item',
    ],
    [
        'name' => 'item_edit',
        'description' => 'Can edit items',
        'level' => 'item',
    ],
    [
        'name' => 'item_delete',
        'description' => 'Can delete items',
        'level' => 'item',
    ],
    [
        'name' => 'admin_manage',
        'description' => 'Can manage module',
        'level' => 'admin',
    ],
];


// Default permissions by group
$modversion['group_permissions'] = [
    // Admin group gets all permissions
    '1' => [
        'module_view' => 1,
        'item_view' => 1,
        'item_create' => 1,
        'item_edit' => 1,
        'item_delete' => 1,
        'admin_manage' => 1,
    ],
    // User group
    '3' => [
        'module_view' => 1,
        'item_view' => 1,
        'item_create' => 1,
        'item_edit' => 0,
        'item_delete' => 0,
        'admin_manage' => 0,
    ],
    // Guest group
    '4' => [
        'module_view' => 1,
        'item_view' => 1,
        'item_create' => 0,
        'item_edit' => 0,
        'item_delete' => 0,
        'admin_manage' => 0,
    ],
];

# 2. Έλεγχος αδειών

Ενότητα με τίτλο «# 2. Έλεγχος αδειών»
<?php
declare(strict_types=1);


namespace XoopsCore\Permission;


class PermissionChecker
{
    private PermissionCache $cache;
    private PermissionRepository $repository;


    public function hasPermission(
        User $user,
        string $permissionName,
        ?int $itemId = null
    ): bool {
        // Check cache first
        $cacheKey = "perm_{$user->getId()}_{$permissionName}_{$itemId}";
        if ($this->cache->has($cacheKey)) {
            return $this->cache->get($cacheKey);
        }


        $hasPermission = false;


        // Check all user groups
        foreach ($user->getGroups() as $group) {
            if ($this->checkGroupPermission($group, $permissionName, $itemId)) {
                $hasPermission = true;
                break;
            }
        }


        // Cache result
        $this->cache->set($cacheKey, $hasPermission, 3600);


        // Log high-level access checks
        if ($hasPermission && $this->shouldAuditLog($permissionName)) {
            $this->auditLog('PERMISSION_CHECKED', [
                'user_id' => $user->getId(),
                'permission' => $permissionName,
                'item_id' => $itemId,
                'result' => 'ALLOWED',
            ]);
        }


        return $hasPermission;
    }


    private function checkGroupPermission(
        Group $group,
        string $permissionName,
        ?int $itemId = null
    ): bool {
        $sql = 'SELECT COUNT(*) FROM ' . $this->table . '
                WHERE groupid = ?
                AND permission = ?
                AND itemid = ?
                AND granted = 1';


        $stmt = $this->db->prepare($sql);
        $stmt->execute([$group->getId(), $permissionName, $itemId ?? 0]);


        return $stmt->fetchColumn() > 0;
    }
}

# 3. Επίπεδα αδειών

Ενότητα με τίτλο «# 3. Επίπεδα αδειών»
<?php
// Different permission levels with different scopes


class PermissionLevel
{
    // Module-level: Affects entire module
    public const LEVEL_MODULE = 'module';


    // Admin-level: Admin panel access
    public const LEVEL_ADMIN = 'admin';


    // Item-level: Specific objects/items
    public const LEVEL_ITEM = 'item';


    // Field-level: Specific object fields
    public const LEVEL_FIELD = 'field';


    // Action-level: Specific actions/operations
    public const LEVEL_ACTION = 'action';
}

# 4. Δικαιώματα σε επίπεδο αντικειμένου

Ενότητα με τίτλο «# 4. Δικαιώματα σε επίπεδο αντικειμένου»
<?php
// Fine-grained control for specific items


class Item extends XoopsObject
{
    /**
     * Check if user can view this item
     */
    public function canView(User $user): bool
    {
        // Public items anyone can view
        if ($this->getVar('status') === 'published') {
            return true;
        }


        // Owner can always view their items
        if ($this->getVar('user_id') === $user->getId()) {
            return true;
        }


        // Check group permissions
        $permChecker = xoops_getActiveModule()->getPermissionChecker();
        return $permChecker->hasPermission(
            $user,
            'item_view',
            $this->getVar('id')
        );
    }


    public function canEdit(User $user): bool
    {
        // Owner can edit their items
        if ($this->getVar('user_id') === $user->getId()) {
            return $permChecker->hasPermission($user, 'item_edit', $this->getVar('id'));
        }


        // Check if user can edit all items
        return $permChecker->hasPermission($user, 'item_edit_all', $this->getVar('id'));
    }


    public function canDelete(User $user): bool
    {
        return $permChecker->hasPermission($user, 'item_delete', $this->getVar('id'));
    }
}

# 5. Χρήση σε ελεγκτές

Ενότητα με τίτλο «# 5. Χρήση σε ελεγκτές»
<?php
// Example: Article controller


class ArticleController
{
    private PermissionChecker $permChecker;


    public function view(int $id, User $user): Response
    {
        $article = $this->repository->find($id);


        // Check permission
        if (!$article->canView($user)) {
            throw new AccessDeniedException('Cannot view this article');
        }


        return new HtmlResponse($this->renderArticle($article));
    }


    public function edit(int $id, User $user): Response
    {
        $article = $this->repository->find($id);


        // Check permission
        if (!$article->canEdit($user)) {
            throw new AccessDeniedException('Cannot edit this article');
        }


        // Handle form submission
        if ($this->request->isMethod('POST')) {
            $article->setVar('title', $this->request->getPost('title'));
            $article->setVar('content', $this->request->getPost('content'));
            $this->repository->insert($article);


            $this->auditLog('ARTICLE_EDITED', ['id' => $id, 'user_id' => $user->getId()]);


            // Invalidate permission cache
            $this->permChecker->clearCache($user->getId());


            return new RedirectResponse('/article/' . $id);
        }


        return new HtmlResponse($this->renderForm($article));
    }


    public function delete(int $id, User $user): Response
    {
        $article = $this->repository->find($id);


        if (!$article->canDelete($user)) {
            throw new AccessDeniedException('Cannot delete this article');
        }


        $this->repository->delete($article);


        $this->auditLog('ARTICLE_DELETED', ['id' => $id, 'user_id' => $user->getId()]);


        // Invalidate cache
        $this->permChecker->clearCache($user->getId());


        return new JsonResponse(['success' => true]);
    }
}

Συνέπειες

Ενότητα με τίτλο «Συνέπειες»

# Θετικές επιδράσεις

Ενότητα με τίτλο «# Θετικές επιδράσεις»
  1. Granular Control - Βελτιωμένη διαχείριση αδειών
  2. Τυποποιημένο - Συνεπές σε όλες τις ενότητες
  3. Cached - Βελτιωμένη απόδοση με την προσωρινή αποθήκευση
  4. Ελεγχόμενο - Παρακολουθήστε ποιος άλλαξε τι
  5. Εύκαμπτο - Υποστήριξη προσαρμοσμένων αδειών
  6. Κλιμακόμενα - Χειρίζεται σύνθετες ιεραρχίες αδειών
  7. Δοκιμή - Εύκολη δοκιμή μονάδας

# Αρνητικές Επιδράσεις

Ενότητα με τίτλο «# Αρνητικές Επιδράσεις»
  1. Πολυπλοκότητα - Περισσότερος κώδικας για διαχείριση
  2. Επιβάρυνση βάσης δεδομένων - Περισσότεροι πίνακες και ενώσεις
  3. Ακύρωση προσωρινής μνήμης - Πρέπει να εκκαθαριστεί η προσωρινή μνήμη στις αλλαγές
  4. Καμπύλη μάθησης - Οι προγραμματιστές πρέπει να κατανοούν το σύστημα
  5. Απόδοση - Εάν η προσωρινή μνήμη δεν έχει ρυθμιστεί σωστά

# Κίνδυνοι και μετριασμούς

Ενότητα με τίτλο «# Κίνδυνοι και μετριασμούς»
ΚίνδυνοςΣοβαρότηταΜετριασμός
Υπερβολικά πολύπλοκα δικαιώματαΜεσαίαΚαλές προεπιλογές, τεκμηρίωση
Προσωρινά μπαγιάτικα δεδομέναΥψηλήTTL, έξυπνη ακύρωση
Παλινδρόμηση απόδοσηςΜεσαίαΣυγκριτική αξιολόγηση, βελτιστοποίηση ερωτημάτων
Παράκαμψη άδειαςΥψηλήΈλεγχος ασφαλείας, δοκιμές

Μοτίβα σχεδίασης άδειας

Ενότητα με τίτλο «Μοτίβα σχεδίασης άδειας»

# Μοτίβο 1: Δικαιώματα βάσει κατόχων

Ενότητα με τίτλο «# Μοτίβο 1: Δικαιώματα βάσει κατόχων»
<?php
// User can edit their own items but not others'


public function canEdit(User $user): bool
{
    // Owner can always edit
    if ($this->isOwner($user)) {
        return true;
    }


    // Check group permissions for editing others' items
    return $this->permChecker->hasPermission($user, 'edit_all_items');
}


private function isOwner(User $user): bool
{
    return $this->getVar('user_id') === $user->getId();
}

# Μοτίβο 2: Δικαιώματα βάσει κατάστασης

Ενότητα με τίτλο «# Μοτίβο 2: Δικαιώματα βάσει κατάστασης»
<?php
// Different permissions based on status


public function canView(User $user): bool
{
    switch ($this->getVar('status')) {
        case 'published':
            // Anyone with module permission can view
            return $this->permChecker->hasPermission($user, 'item_view');


        case 'draft':
            // Only owner or admin can view
            return $this->isOwner($user) ||
                   $this->permChecker->hasPermission($user, 'admin_manage');


        case 'archived':
            // Only admin can view
            return $this->permChecker->hasPermission($user, 'admin_manage');


        default:
            return false;
    }
}

# Μοτίβο 3: Δικαιώματα βάσει ρόλου

Ενότητα με τίτλο «# Μοτίβο 3: Δικαιώματα βάσει ρόλου»
<?php
// Check against specific roles


public function hasAdminRole(User $user): bool
{
    return $user->getGroups()->contains('admin_group');
}


public function hasModeratorRole(User $user): bool
{
    return $user->getGroups()->contains('moderator_group') ||
           $this->hasAdminRole($user);
}


public function canModerate(User $user): bool
{
    return $this->hasModeratorRole($user);
}

Σχετικές Αποφάσεις

Ενότητα με τίτλο «Σχετικές Αποφάσεις»
  • ADR-001: Modular Architecture - Οι ενότητες ορίζουν δικαιώματα
  • ADR-004: Σύστημα Ασφαλείας - Θεμέλιο για την ασφάλεια
  • ADR-005: Middleware - Μπορεί να επιβάλει δικαιώματα

Αναφορές

Ενότητα με τίτλο «Αναφορές»

# Μοντέλα αδειών

Ενότητα με τίτλο «# Μοντέλα αδειών»

# Υλοποίηση

Ενότητα με τίτλο «# Υλοποίηση»

Λίστα ελέγχου υλοποίησης

Ενότητα με τίτλο «Λίστα ελέγχου υλοποίησης»
  • Ορίστε τυπικά επίπεδα αδειών
  • Δημιουργία κλάσης PermissionChecker
  • Εφαρμογή στρατηγικής προσωρινής αποθήκευσης
  • Προσθήκη καταγραφής ελέγχου
  • Δημιουργία βοηθητικών λειτουργιών
  • Γράψτε ολοκληρωμένες δοκιμές
  • Έγγραφο για προγραμματιστές
  • Ενημέρωση όλων των μονάδων
  • Βελτιστοποίηση απόδοσης
  • Έλεγχος ασφαλείας

Ιστορικό έκδοσης

Ενότητα με τίτλο «Ιστορικό έκδοσης»
ΈκδοσηΗμερομηνίαΑλλαγές
1.0.028-01-2024Αρχικό έγγραφο

XOOPS #adr #permissions #authorization #rbac #security

Ενότητα με τίτλο «XOOPS #adr #permissions #authorization #rbac #security»