如何使用 ACL 根据特定用户的权限（例如 EDIT）过滤域对象列表？

php symfony acl permissions domain-object

2022-08-30 14:01:40

在 Web 应用程序中使用 Symfony2 中的 ACL 实现时，我们遇到了一个用例，其中建议的使用 ACL 的方式（检查用户对单个域对象的权限）变得不可行。因此，我们想知道是否存在可用于解决问题的ACL API的某些部分。

用例是在控制器中，该控制器准备要在模板中显示的域对象列表，以便用户可以选择要编辑的对象。用户没有编辑数据库中所有对象的权限，因此必须相应地筛选列表。

这可以（除其他解决方案外）根据两种策略完成：

1）一个查询筛选器，它将给定的查询追加到当前用户的 ACL 中对对象（或多个对象）的有效对象 ID。即：

WHERE <other conditions> AND u.id IN(<list of legal object ids here>)

2）一个查询后筛选器，用于在从数据库中检索完整列表后删除用户不具有正确权限的对象。即：

$objs   = <query for objects>
$objIds = <getting all the permitted obj ids from the ACL>
for ($obj in $objs) {
    if (in_array($obj.id, $objIds) { $result[] = $obj; } 
}
return $result;

第一种策略更可取，因为数据库正在执行所有筛选工作，并且两者都需要两个数据库查询。一个用于 ACL，一个用于实际查询，但这可能是不可避免的。

在Symfony2中是否有这些策略之一的实现（或达到预期结果的东西）？

答案 1

假设您有一个要检查的域对象的集合，则可以在调用之前使用服务的方法进行批处理加载。security.acl.providerfindAcls()isGranted()

条件：

数据库填充了测试实体，对象权限为我的数据库中的随机用户，类权限为角色; 对于 ;和和 for .MaskBuilder::MASK_OWNERMASK_VIEWIS_AUTHENTICATED_ANONYMOUSLYMASK_CREATEROLE_USERMASK_EDITMASK_DELETEROLE_ADMIN

测试代码：

$repo = $this->getDoctrine()->getRepository('Foo\Bundle\Entity\Bar');
$securityContext = $this->get('security.context');
$aclProvider = $this->get('security.acl.provider');

$barCollection = $repo->findAll();

$oids = array();
foreach ($barCollection as $bar) {
    $oid = ObjectIdentity::fromDomainObject($bar);
    $oids[] = $oid;
}

$aclProvider->findAcls($oids); // preload Acls from database

foreach ($barCollection as $bar) {
    if ($securityContext->isGranted('EDIT', $bar)) {
        // permitted
    } else {
        // denied
    }
}

结果：

通过调用，探查器显示我的请求包含 3 个数据库查询（作为匿名用户）。$aclProvider->findAcls($oids);

如果没有调用，同一请求包含 51 个查询。findAcls()

请注意，该方法以 30 个为一批进行加载（每批 2 个查询），因此您的查询数将随着更大的数据集而增加。该测试在工作日结束时约15分钟内完成;当我有机会时，我将更彻底地检查并回顾相关方法，以查看ACL系统是否有任何其他有用的用途，并在此处报告。findAcls()

答案 2

如果你有几千个实体，那么对实体进行迭代是不可行的 - 它会越来越慢并消耗更多的内存，迫使你使用教义批处理功能，从而使你的代码更加复杂（并且是无害的，因为毕竟你只需要ids来进行查询 - 而不是内存中的整个acl/实体）

我们解决这个问题的方法是用我们自己的服务替换acl.provider服务，并在该服务中添加一个直接查询数据库的方法：

private function _getEntitiesIdsMatchingRoleMaskSql($className, array $roles, $requiredMask)
{
    $rolesSql = array();
    foreach($roles as $role) {
        $rolesSql[] = 's.identifier = ' . $this->connection->quote($role);
    }
    $rolesSql =  '(' . implode(' OR ', $rolesSql) . ')';

    $sql = <<<SELECTCLAUSE
        SELECT 
            oid.object_identifier
        FROM 
            {$this->options['entry_table_name']} e
        JOIN 
            {$this->options['oid_table_name']} oid ON (
            oid.class_id = e.class_id
        )
        JOIN {$this->options['sid_table_name']} s ON (
            s.id = e.security_identity_id
        )     
        JOIN {$this->options['class_table_nambe']} class ON (
            class.id = e.class_id
        )
        WHERE 
            {$this->connection->getDatabasePlatform()->getIsNotNullExpression('e.object_identity_id')} AND
            (e.mask & %d) AND
            $rolesSql AND
            class.class_type = %s
       GROUP BY
            oid.object_identifier    
SELECTCLAUSE;

    return sprintf(
        $sql,
        $requiredMask,
        $this->connection->quote($role),
        $this->connection->quote($className)
    );

}

然后从获取实体 ID 的实际公共方法调用此方法：

/**
 * Get the entities Ids for the className that match the given role & mask
 * 
 * @param string $className
 * @param string $roles
 * @param integer $mask 
 * @param bool $asString - Return a comma-delimited string with the ids instead of an array
 * 
 * @return bool|array|string - True if its allowed to all entities, false if its not
 *          allowed, array or string depending on $asString parameter.
 */
public function getAllowedEntitiesIds($className, array $roles, $mask, $asString = true)
{

    // Check for class-level global permission (its a very similar query to the one
    // posted above
    // If there is a class-level grant permission, then do not query object-level
    if ($this->_maskMatchesRoleForClass($className, $roles, $requiredMask)) {
        return true;
    }         

    // Query the database for ACE's matching the mask for the given roles
    $sql = $this->_getEntitiesIdsMatchingRoleMaskSql($className, $roles, $mask);
    $ids = $this->connection->executeQuery($sql)->fetchAll(\PDO::FETCH_COLUMN);

    // No ACEs found
    if (!count($ids)) {
        return false;
    }

    if ($asString) {
        return implode(',', $ids);
    }

    return $ids;
}

这样，现在我们可以使用代码将筛选器添加到 DQL 查询：

// Some action in a controller or form handler...

// This service is our own aclProvider version with the methods mentioned above
$aclProvider = $this->get('security.acl.provider');

$ids = $aclProvider->getAllowedEntitiesIds('SomeEntityClass', array('role1'), MaskBuilder::VIEW, true);

if (is_string($ids)) {
   $queryBuilder->andWhere("entity.id IN ($ids)");
}
// No ACL found: deny all
elseif ($ids===false) {
   $queryBuilder->andWhere("entity.id = 0")
}
elseif ($ids===true) {
   // Global-class permission: allow all
}

// Run query...etc

缺点：这种方法必须改进，以考虑到ACL继承和策略的复杂性，但对于简单的用例，它工作正常。还必须实现缓存以避免重复的双重查询（一个具有类级别，另一个具有 objetc 级别）