¿Cómo debo implementar mi ACL en una aplicación web?

Question

He estado pensando en la aplicación web que estoy a punto de comenzar a desarrollar y me pregunto si mi enfoque habitual podría mejorarse.

En mis últimas aplicaciones he creado una tabla (ver a continuación) de roles (como CREATE POST, EDIT POST etc.) que tienen un campo de bits aplicado a cada uno de ellos, así que puedo asignarle ciertos derechos de registro y verifíquelos más adelante (p. ej., $user->hasRight(CREATE_POST)).

Me pregunto si hay un mejor enfoque para esto. Ciertamente es confuso cuando los derechos no están específicamente vinculados al usuario (podría tener una tabla donde cada derecho es una columna booleana, pero eso solo suena como una pequeña mejora), y ¿qué sucede si cambio algo?

No busco utilizar bibliotecas estándar (la aplicación en sí misma es una experiencia de aprendizaje para mí: uso de postgresql, git, etc.) aunque estoy muy feliz de inspirarme en ellas para construir la mía, así que si hay algo especial que crees que debería echarle un vistazo por favor dímelo :)

Answer 1

Eso es básicamente el mismo enfoque que tomo en mis propias aplicaciones web (y un poco de prueba y error se ha metido en eso para mí). La única diferencia es que probablemente use una tabla que tenga los diferentes permisos como columnas, de modo que si desea agregar más permisos más adelante, puede hacerlo. Usar bits en un entero te limita a un número fijo de permisos, es decir, tantos bits como hay en el entero. Normalmente, eso sería 32, lo que supongo que probablemente sea suficiente, pero prefiero no limitarme de esa manera.

Por lo que vale la pena, que es también el modelo que utiliza phpBB (permisos como columnas de la tabla), y si es lo suficientemente bueno para posiblemente el más popular aplicación web PHP, que es probablemente lo suficientemente bueno para ti ;-)

Answer 2

Estoy seguro de que ya has encontrado phpgacl, pero aquí hay un enlace en caso de que no lo hayas hecho. Puede ser un poco difícil al principio entenderse, y sin duda la biblioteca es complicada (lleva mucho tiempo) para implementar en un proyecto, pero la documentación y la demostración son puntos de referencia EXCELENTES.

PHP Generic Access Control Lists

Answer 3

Se puede echar un vistazo a la documentación de la primavera de Seguridad (antes Acegi), que es un marco de Java ACL ampliamente utilizado.

La documentación es exhaustiva y también describe las diversas consideraciones hechas en el diseño de autenticación y autorización de bots. Incluso sin usar Java, es digno de leer.

Puede ver el index page para obtener una visión general y una impresión de lo que Acegi hace (y no hace). También puede saltear directamente al authorization concepts o incluso al database schema.

Answer 4

El Zend Framework tiene un ACL que es similar a lo que está tratando de hacer.

Answer 5

Enfoques de ACL en aplicaciones web, en general, se han discutido, por ejemplo here.