В Кохане встроен модуль авторизации пользователей. В базе уже есть таблица с ролями. Но пошарив по пространствам интернета я так и не нашел как же удобно сделать разграничение прав доступа. Поэтому предлагаю Вам свое решение этой задачи.
Начнем
Все контроллеры я наследую от одного общего Common.php В нем прописываю базовые настройки проекта: подключение css, js, заголовков, контента, загрузка всех конфигов, и т.д. В зависимости что нужно от проекта.
Для начала объявляем все то, что нам пригодится в других контроллерах.
<?php defined('SYSPATH') or die('No direct script access.');
class Controller_Common extends Controller_Template {
public $sys_mes, $auth, $session, $user, $class_id;
public $user_roles = array();
public $security = array();
public $template = 'v_common';
public $layout = 'v_column_12';
public $css = array('bootstrap.min', 'style');
public $js = array('jquery-2.0.0.min', 'bootstrap.min');
public $configs = array('order_control', 'payment_method');
}
Далее пишем функцию которая срабатывает до загрузки контролера любой страницы. Ниже описаны только те настройки, которые нам понадобятся. Список ролей можно записать в сессию.
Функция которая делает разграничение — _check_permission()
public function before()
{ parent::before();
# Установка
$this->auth = Auth::instance();
$this->session = Session::instance();
$this->class_id = Get_class($this);
# Проверка на авторизованность
if($this->auth->logged_in())
{
# Индификационные данные
$this->user = $this->auth->get_user();
# Получаем список ролей пользователя
$this->user_roles = Model::factory('User')->user_roles($this->user->id);
}
# Проверка прав доступа
$this->_check_permission();
# Загрузка конфигов
foreach($this->configs as $config)
{
$this->template->set_global($config, Kohana::$config->load($config)->as_array());
}
}
Модель для получения списка ролей. Тут все просто понятно.
class Model_User extends Model_Auth_User {
public function user_roles($user_id)
{
$result = array();
$db = DB::select(array('roles.name', 'name'));
# SELECT -> ROLES_USERS
$db->from('roles_users');
$db->where('roles_users.user_id', '=', $user_id);
# SELECT -> ROLES
$db->join('roles');
$db->on('roles.id', '=', 'roles_users.role_id');
$roles = $db->execute()->as_array();
foreach($roles as $role)
{
array_push($result, $role['name']);
}
}
Сама функция, которая разграничивает доступ. Не зависимо от директории контроллера, она все равно отработает как надо.
private function _check_permission()
{
$check_permission = FALSE;
$config_security = Kohana::$config->load('security')->as_array();
$action = Request::current()->action();
if(isset($config_security[$this->class_id][$action]))
{
foreach($config_security[$this->class_id][$action] as $users_role)
if(in_array($users_role, $this->user_roles) || in_array($users_role, array('public')))
$check_permission = TRUE;
}
if(isset($config_security[$this->class_id]['all_actions']))
{
foreach($config_security[$this->class_id]['all_actions'] as $users_role)
if(in_array($users_role, $this->user_roles))
$check_permission = TRUE;
}
if($check_permission != TRUE)
exit('Access deny - 403 ');
}
Конфиг лежит здесь application/config/security.php
В нем мы пишем разрешение на доступ к экшену, иначе получай 403.
<?php defined('SYSPATH') or die('No direct script access.');
return array(
# Order
'Controller_Orders' => array(
'index' => array('root', 'manager', 'admin'),
'by_organization' => array('root'),
'add' => array('admin', 'manager'),
'edit' => array('admin', 'manager'),
# Auth
'Controller_Auth' => array(
'all_actions' => array('login'),
'login' => array('public'),
),
# Organization
'Controller_Organization' => array(
'all_actions' => array('root'),
),
);
Controller_Orders — название контроллера.
index — экшен который отрабатывает (если нужно открыть доступ для всех то пишем 'all_actions')
array('admin', 'manager') — список ролей, которым разрешен доступ.
Интересно узнать Ваше мнение об этом методе решения проблемы.
