Forum PHP.pl > [ZendFramework] Logowanie użytkownika

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [ZendFramework] Logowanie użytkownika

in5ane

27.06.2009, 22:52:07

Cześć, chciałbym się dowiedzieć, czy idę w dobrym kierunku tworząc logowanie w Zend Frameworku. Tzn. ogólnie rzecz biorąc, czy to jest dopuszczalne takie logowanie i czy to będzie dobrze działać. Proszę o opinie oraz o dodatkowe pomoce, czy jakieś przykłady waszych logowanie lub szablony.

[PHP] pobierz, plaintext 
<?php
function loginAction() {
        $this->view->title = "Twoje konto";
        
        if ($this->_request->isPost()) {
            $filter = new Zend_Filter_StripTags();
            $login = trim($filter->filter($this->_request->getPost('login')));
            $password = md5(trim($filter->filter($this->_request->getPost('password'))));
            
            if ($login != '' && $password != '') {
                $check = new account();
                $select_check = $check->select()->where('login = "'.$login.'" AND password = "'.$password.'"');
                $this->view->patrz = $select_check;
                $row_check = $check->fetchRow($select_check);
                $login = $row_check->login;
                $type = $row_check->type;
                $check = count($row_check);
                if ($check != '') {
                    session_start();
                    if (!isset($_SESSION['zalogowany'])) {
                        ///utworzenie sesji, bla bla bla... do dopisania
                    }
                } else {
                    $this->view->warning = '<font style="color: #ff0000; font-weight: bold;">Wpisane dane są niepoprawne.</font><br /><br />';
                }
            } else {
                $this->view->warning = '<font style="color: #ff0000; font-weight: bold;">Nie wypełniłeś wszystkich pól.</font><br /><br />';
            }
            
        }
 
        $this->view->action = 'login';
        $this->view->buttonText = 'Zaloguj się'; 
    }
?>
[PHP] pobierz, plaintext

luki100011

28.06.2009, 08:18:11

Raczej nie

Masz komponent Zend_Auth który się tym zajmuje.

seth-kk

28.06.2009, 12:50:13

na pierwszy rzut oka ten kod nie jest odpowrny na sql injection
rzuc okiem na przyklady z manuala

melkorm

28.06.2009, 13:57:56

W dodatku zapoznaj się z Zend_Form'em - odpadnie Tobie cała 'ręczna' walidacja i jak już koledzy wspomnieli Zend_Auth.

Kilka uwag:
1. Używasz Zenda, tak ? To dlaczego nie wykorzystujesz jego dobrodziejstw tylko piszesz wszystko na piechte - szczerze na peichte to byś to szybciej napisał bez Zenda

2. Zainteresuj się modelami i Zend_Db_Table i pobieranie danych wykonuj w modelu - po to został on stworzony.
3. Używając Zend_Db_Table razem z Zend_Formem odporny jesteś na SqlInjection.

Sądze że to troche pomoże ... bo np. do loginu możesz dorzucić validator (używając Zend_Form'a) i już sam Zend sparwdzi czy login istnieje w bazie dancyh i w razie co wypluje sam błęda

(odrazy odsyłam do Zend_Translate - jest to opisane przy Validatorach jak tłumaczyć wiadomości rzucane przez Zenda).

in5ane

30.06.2009, 10:13:59

Trochę nie zrozumiałem tego pierwszego zdania. Jeżeli użyję Zend _Form, to już nie muszę używać Zend_Auth?

batman

30.06.2009, 11:07:34

Zend_From używasz do stworzenia formularza, a Zend_Auth do logowania użytkownika.

nospor

30.06.2009, 11:08:20

zend_form - obsluga formularzy, walidacja, itp.
zend_auth - obsluga autoryzacji

jedno nie ma związku z drugim, ale oba mozesz uzywac jendoczesnie. jesli uzywasz ZendFramework, to jest to nawet wskazane, bys uzywal tych obu klas. Ale nadal kazda z nich sluzy do czego innego

nexis

30.06.2009, 11:11:53

Cytat(in5ane @ 30.06.2009, 11:13:59 )

Trochę nie zrozumiałem tego pierwszego zdania. Jeżeli użyję Zend _Form, to już nie muszę używać Zend_Auth?

Zend_Form jak sama nazwa mówi służy do tworzenia formularzy. Do walidacji pól użyj dodatkowo Zend_Validation, który z łatwością integruje się z Zend_Form. A na sam koniec połącz to z Zend_Auth, który przeprowadzi odpowiednie sprawdzenie czy wprowadzone dane zgadzają się z tymi zapisanymi w serwisie.

in5ane

1.07.2009, 11:49:55

Czy logowanie tego typu dobrze będzie (to dopiero początek):

AccountController.php:

[PHP] pobierz, plaintext 
<?php
class AccountController extends Zend_Controller_Action {
 
    function init() {
        $this->view->baseUrl = $this->_request->getBaseUrl();
    }
    
    function getForm() {
        $form = new Zend_Form();
        $form->setAction('/account')->setMethod('post');
 
        $login = $form->createElement('text', 'login', array('label' => 'Login'));
        $login->setRequired(true)
                ->addValidator('NotEmpty', true, array('messages' => array('isEmpty' => 'Nie wpisałeś/aś loginu.')))
                ->addValidator('stringLength', false, array(6, 12, 'messages' => array('stringLengthTooShort' => 'Wpisany login jest za krótki.', 'stringLengthTooLong' => 'Wpisany login jest za długi.')))
                ->addDecorators(array(array('Label', array('class' => 'zf-label')), array('HtmlTag', array('class' => 'zf-description')), array('Errors', array('class' => 'zf-errors'))));
 
        $password = $form->createElement('password', 'password', array('label' => 'Hasło'));
        $password->setRequired(true)
                ->addValidator('NotEmpty', true, array('messages' => array('isEmpty' => 'Nie wpisałeś/aś hasła.')))
                ->addValidator('stringLength', false, array(6, 12, 'messages' => array('stringLengthTooShort' => 'Wpisane hasło jest za krótkie.', 'stringLengthTooLong' => 'Wpisane hasło jest za długie.')))
                ->addDecorators(array(array('Label', array('class' => 'zf-label')), array('Errors', array('class' => 'zf-errors'))));
 
        $form->addElements(array($login, $password))->addElement('submit', 'log', array('label' => 'Zaloguj się'));
        
        return $form;
    }
    
    function indexAction() {
        $this->view->title = "Twoje konto :: Logowanie";
        
        $form = $this->getForm();
        
        if ($this->_request->isPost()) {
            $formData = $this->_request->getPost();
            if ($form->isValid($formData)) {
                $objDbAdapter = new Zend_Db_Adapter_Pdo_Mysql(array('host' => 'localhost', 'username' => 'root', 'password' => '', 'dbname' => 'zend'));
                $objAuthAdapter = new Zend_Auth_Adapter_DbTable($objDbAdapter, 'users', 'login', 'password', 'MD5(?)');
                $objAuthAdapter->setIdentity($this->_getParam('login'))->setCredential($this->_getParam('password'));
                $objAuth = Zend_Auth::getInstance();
                $objResult = $objAuth->authenticate($objAuthAdapter);
                if ($objResult->isValid()) {
                    $data = $objAuthAdapter->getResultRowObject(null, 'password');
                    $objAuth->getStorage()->write($data);
                    $this->_redirect('/account/login');
                } else {
                    $this->view->message = '<p class="zf-errors" style="margin-bottom: 10px;">Logowanie nie powiodło się.</p>';
                }
 
            }
        }
        
        $this->view->form = $form;
    }
 
    function loginAction() {
        $this->view->title = "Twoje konto :: Zalogowany";
        $this->view->user = Zend_Auth::getInstance()->getIdentity();
    }
 
    function logoutAction() {
        Zend_Auth::getInstance()->clearIdentity();
        $this->_redirect('/');
    }
?>
[PHP] pobierz, plaintext

index.phtml

[PHP] pobierz, plaintext 
<?php echo $this->message; ?>
<?php echo $this->form; ?>
[PHP] pobierz, plaintext

[PHP] pobierz, plaintext 
<?php if($this->user) : ?>
        Jesteś zalogowany jako: <?php echo $this->user->login; ?>.<br /><br />
        <a href="<?php echo $this->baseUrl ?>/account/logout">Wyloguj się.</a>
    <?php endif; ?>
[PHP] pobierz, plaintext

style.css

Kod

w stylach użyłem zf-label, zf-description oraz zf-errors

Czy to co zacząłem jest dobrze?

@edit: dopisałem zend_auth. W sumie wszystko działa, ale jak to wygląda od kodu, jest to dość poprawnie?

pgrzelka

1.07.2009, 12:41:50

czemu tworzysz klasę bazy w kontrolerze ?
nie lepiej w bootstrapie?

potem zapisujesz ją np. w Zend_Registry::set('db', $db);
i w kontrolerze odczytujesz $db = Zend_Registry::get('db');

bazę możesz również odczytać w taki sposób $db = Zend_Db_Table::getDefaultAdapter(); (oczywiście jeśli ustawiłeś wcześniej w boostrapie domyślny adapter bazy)

in5ane

2.07.2009, 14:24:59

OK, a tak to poza tym wszystkim dobrze i ładnie napisane?

Chciałbym się też dowiedzieć, jak za pomocą zend_form, mógłbym sobie ułożyć formularz wedle swojego uznania.

Oraz chciałbym się dowiedzieć, jak mogę ustawić, żeby powiedzmy błędy nie pokazywały się pod danym polem, tylko każdy błąd nad formularzem.

batman

2.07.2009, 14:32:46

Od tego masz dekoratory.

in5ane

6.07.2009, 06:16:59

Cytat(batman @ 2.07.2009, 13:32:46 )

Od tego masz dekoratory.

Trochę średnio rozumiem to, z tej dokumentacji.

Powiedzmy, że ten wygląd zrobię tak (jak jest tam):

[PHP] pobierz, plaintext 
<?php
class My_Decorator_Composite extends Zend_Form_Decorator_Abstract
{
     public function buildLabel()
    {
..........................................................
}
?>
[PHP] pobierz, plaintext

Aha i gdzie mam umieścić ten plik dokładnie?

Później chcę wykorzystać to do wszystkich pól, no to:

[PHP] pobierz, plaintext 
<?php
$form->addElementPrefixPath('My_Decorator', 'My/Decorator/', 'decorator');
?>
[PHP] pobierz, plaintext

No i nic się nie dzieje, a ustawiłem dla testu, że przed każdym errorem powinno się wyświetlić jakieś "asdasd".

Wie ktoś może jak dobrze używać tych własnych dekoratorów?

batman

6.07.2009, 07:47:06

Cytat(in5ane @ 6.07.2009, 07:16:59 )

Wie ktoś może jak dobrze używać tych własnych dekoratorów?

Ja wiem. Ale nie po to podałem Ci linka, byś teraz zawracał 4 litery i podbijał temat. Jeśli coś Ci nie działa, to użyj google, wpisz zend form decorator, poczytaj i dopiero potem zacznij marudzić.

in5ane

6.07.2009, 10:38:48

Cytat(batman @ 6.07.2009, 06:47:06 )

Kolego, no właśnie w tym rzecz, że szukałem i nic nie mogłem znaleźć, a że topic spadał sporo w dół, to go podbijałem, bo możliwe, że ktoś nie zauważył i mi dlatego nie mógł pomóc. Jeszcze spróbuję poszukać, ale jakby co, to proszę o pomoc.

melkorm

6.07.2009, 10:45:43

nie umiesz dekoratorów , nie rozumiesz manuala, to zrób inaczej, przeklej do tmpl to co ywpluwa Tobie Zend_Form dorzuć reportowanie błędów przez:

[PHP] pobierz, plaintext 
<?php
$form->getElement('nazwa_pola')->getMessages(); //zwraca tablicę
?>
[PHP] pobierz, plaintext

Wystarczy że ozstawisz dobre nazy pól inputów / forma i Zend_Form będzie działał tak smao jakbyś zrobił:

[PHP] pobierz, plaintext 
<?php
echo $this->form;
?>
[PHP] pobierz, plaintext

I teraz możesz sobie to normalnie stylwoac bez przeszkód.

Szczerze nie odpowiadałem na ten wątek bo nie miałem czasu i troche chęci, troche ciężko co chwila komuś tłumaczyć manuala

in5ane

6.07.2009, 10:51:42

@up: właśnie mnie chodzi o to, aby ogarnąć te dekoratory. Ale z tego manuala, źle je zrozumiałem ;/

melkorm

6.07.2009, 10:55:35

Ja sam nie używam dekoratorów (jeszcze nie zdażyło mi się użyc

), po stronie admina używam Zend_Form (przerobiłem go na własne potrzeby) normalnie, ale po stronie frontendu wpisuje ręcznie - o wiele łatwiej wtedy to ostylować.

A jak nie rozumiesz dekoratorów (imho jest krok po kroku napsiane co i jak) no to nie oczekuj od Nas że będziemy Tobie wszystko tłumaczyć

Jeżeli nie ogarniasz Zenda to daj sobie spokój i weź się za jakiś prostrzy framework bo Zend jest ciężki (może to troche za dużo powiedziane ...) ;]

batman

6.07.2009, 11:25:13

Cytat(in5ane @ 6.07.2009, 11:38:48 )

no właśnie w tym rzecz, że szukałem i nic nie mogłem znaleźć

Pierwszy wynik - http://devzone.zend.com/article/3450
trzeci wynik - http://bethgranter.wordpress.com/2008/04/2...tom-decorators/

Coś kiepsko szukałeś. Wszystko jest jasno i dokładnie opisane. Jedyne co trzeba zrobić to poszukać.

in5ane

7.07.2009, 09:23:07

Dzięki. A mam pytanie, czy to logowanie, które napisałem jest już poprawne i zabezpieczone:

[PHP] pobierz, plaintext 
<?php
function getForm() {
        $form = new Zend_Form();
        $form->setAction('/account')->setMethod('post');        
 
        $login = $form->createElement('text', 'login', array('label' => 'Login'));
        $login->setRequired(true)
                ->addValidator('NotEmpty', true, array('messages' => array('isEmpty' => 'Nie wpisałeś/aś loginu.')))
                ->addValidator('stringLength', false, array(6, 12, 'messages' => array('stringLengthTooShort' => 'Wpisany login jest za krótki.', 'stringLengthTooLong' => 'Wpisany login jest za długi.')))
                ->addDecorators(array(array('Label', array('class' => 'zf-label')), array('HtmlTag', array('class' => 'zf-htmltag')), array('Errors', array('class' => 'zf-errors'))));
 
        $password = $form->createElement('password', 'password', array('label' => 'Hasło'));
        $password->setRequired(true)
                ->addValidator('NotEmpty', true, array('messages' => array('isEmpty' => 'Nie wpisałeś/aś hasła.')))
                ->addValidator('stringLength', false, array(6, 20, 'messages' => array('stringLengthTooShort' => 'Wpisane hasło jest za krótkie.', 'stringLengthTooLong' => 'Wpisane hasło jest za długie.')))
                ->addDecorators(array(array('Label', array('class' => 'zf-label')), array('HtmlTag', array('class' => 'zf-htmltag')), array('Errors', array('class' => 'zf-errors'))));
 
        $submit = $form->createElement('submit', 'log', array('label' => 'Zaloguj się'));
        $submit->addDecorators(array(array('HtmlTag', array('class' => 'zf-htmltag-submit'))));
 
        $form->addElements(array($login, $password, $submit));
        
        return $form;
    }
    
    function indexAction() {
        $this->view->title = "Twoje konto :: Logowanie";
        
        $form = $this->getForm();
        
        if ($this->_request->isPost()) {
            $formData = $this->_request->getPost();
            if ($form->isValid($formData)) {
                $objDbAdapter = new Zend_Db_Adapter_Pdo_Mysql(array('host' => 'localhost', 'username' => 'root', 'password' => '', 'dbname' => 'zend'));
                $objAuthAdapter = new Zend_Auth_Adapter_DbTable($objDbAdapter, 'users', 'login', 'password', 'MD5(?)');
                $objAuthAdapter->setIdentity($this->_getParam('login'))->setCredential($this->_getParam('password'));
                $objAuth = Zend_Auth::getInstance();
                $objResult = $objAuth->authenticate($objAuthAdapter);
                if ($objResult->isValid()) {
                    $data = $objAuthAdapter->getResultRowObject(null, 'password');
                    $objAuth->getStorage()->write($data);
                    $this->_redirect('/account/');
                } else {
                    $this->view->message = '<p class="zf-errors" style="margin-bottom: 10px;">Logowanie nie powiodło się.</p>';
                }
            }
        }
        
        $this->view->form = $form;
        $this->view->user = Zend_Auth::getInstance()->getIdentity();
    }
?>
[PHP] pobierz, plaintext

Aha i jeszcze jedno pytanko, bo z tego co wiem, to dzięki temu zend_auth można wypisać różnego rodzaju błędy. W jaki sposób się to tworzy? No bo ja mam tylko else, w którym jest napis, że logowanie nie powiodło się.

Sabistik

7.07.2009, 10:27:18

[PHP] pobierz, plaintext 
<?php
$objResult->getCode();
?>
[PHP] pobierz, plaintext

Dostajesz odpowiedni kod błędu.

in5ane

8.07.2009, 06:43:13

Cytat(Sabistik @ 7.07.2009, 09:27:18 )

[PHP] pobierz, plaintext 
<?php
$objResult->getCode();
?>
[PHP] pobierz, plaintext

Dostajesz odpowiedni kod błędu.

Dzięki, a ogólnie skrypt dobrze napisany?

Wziąłem się teraz za zend_acl. Utworzyłem sobie kod (przy pomocy manuala):

[PHP] pobierz, plaintext 
<?php
require_once 'Zend/Acl.php';
$acl = new Zend_Acl();
require_once 'Zend/Acl/Role.php';
 
$acl->addRole(new Zend_Acl_Role('guest'));
$acl->addRole(new Zend_Acl_Role('user'), 'guest');
$acl->addRole(new Zend_Acl_Role('administrator'));
 
$acl->allow('guest', null, 'index');
$acl->allow('user', null, array('announcements', 'contact'));
$acl->allow('administrator');
?>
[PHP] pobierz, plaintext

I co ja teraz tak naprawdę mam z nim zrobić? Gdzie go wklepać? Jak sprawdzać role (typ) użytkownika? Proszę o nakierowanie, bo tego w dokumentacji nie było.

viking

8.07.2009, 07:22:29

http://weierophinney.net/matthew/archives/...-to-Models.html

in5ane

8.07.2009, 09:48:50

Cytat(viking @ 8.07.2009, 06:22:29 )

http://weierophinney.net/matthew/archives/...-to-Models.html

No ogólnie przejrzałem i ładnie jest opisane, ale nie zostało uwzględnione w jakich plikach mam to zawrzeć. Ja osobiście myślę, że trzeba to zawrzeć jakoś w bootstraperze, ponieważ on jest (tak jakby) dołączany do każdej podstrony.

W moim skrypcie wszystko wygląda tak:
IndexController (jedna podstrona)
AccountController (logowanie, rejestracja)
AnnouncementsController (wyświetlanie ogłoszeń, wyświetlanie poszczególnego ogłoszenie [podstrona w tej pierwsze podstronie), dodawanie ogłoszeń)
AdminController (jedna podstrona z informacjami typu: bla bla bla, później będę rozbudowywał)
ContactController (jedna podstrona)

Swoje logowanie oczywiście mam w tym Account, i tam mam w indexAction sprawdzanie formularza i logowanie za pomocą Zend_Auth i domyślam się, że tam trzeba jakoś to połączyć z Zend_Acl.

viking

8.07.2009, 10:04:48

Cytat(in5ane @ 8.07.2009, 10:48:50 )

Zastanów się przez chwilę. Jakie jest mapowanie ścieżek dla autoloadera?
I zobacz http://code.google.com/p/zendframeworkstor...anches/chapters

in5ane

8.07.2009, 18:51:24

No mapowanie ścieżek jest takie (przykład): Jakas_Tam_Sobie_Klasa <-- nazwa klasy i ścieżka, jakas/tam/sobie/klasaClass.php. Ale co mi to daje? Chciałbym się dowiedzieć jak mogę Zend_Acl zintegrować ze swoim systemem logowania.

W końcu wiem, że to (patrz niżej) trzeba umieścić w index.php (bootstraperze):

[PHP] pobierz, plaintext 
<?php
$acl = new Zend_Acl();
$acl->add(new Zend_Acl_Resource('index'));
$acl->add(new Zend_Acl_Resource('account'));
$acl->add(new Zend_Acl_Resource('announcements'));
$acl->add(new Zend_Acl_Resource('admin'));
$acl->add(new Zend_Acl_Resource('contact'));
$acl->addRole(new Zend_Acl_Role('guest')); 
$acl->addRole(new Zend_Acl_Role('member'), 'guest');
$acl->addRole(new Zend_Acl_Role('admin'), 'member');
$acl->allow('guest', 'index');
$acl->allow('guest', 'contact');
$acl->allow('member', 'account');
$acl->allow('member', 'announcements');
$acl->allow('admin');
?>
[PHP] pobierz, plaintext

Co dalej muszę zrobić? Jakie pliki i gdzie utworzyć? Proszę o pomoce, nakierowanie - nie gotowce.

Poczytałem jeszcze trochę i już więcej wykombinowałem:

W library dwa pliczki:

[PHP] pobierz, plaintext 
<?php
class My_Controller_Helper_Acl {
    public $acl;
    
    public function __construct() {
        $this->acl = new Zend_Acl();
    }
    
    public function setRoles() {
        $this->acl->addRole(new Zend_Acl_Role('guest'));
        $this->acl->addRole(new Zend_Acl_Role('user'));
        $this->acl->addRole(new Zend_Acl_Role('admin'));
    }
    
    public function setResources() {
        $this->acl->add(new Zend_Acl_Resource('index'));
        $this->acl->add(new Zend_Acl_Resource('account'));
        $this->acl->add(new Zend_Acl_Resource('announcements'));
        $this->acl->add(new Zend_Acl_Resource('admin'));
        $this->acl->add(new Zend_Acl_Resource('contact'));
    }
 
    public function setPrivilages() {
        $this->acl->allow('guest', null, 'index');
        $this->acl->allow('user', array('account', 'announcements', 'contact'));
        $this->acl->allow('admin');
    }
    
    public function setAcl() {
        Zend_Registry::set('acl', $this->acl);
    }
}
?>
[PHP] pobierz, plaintext

oraz

[PHP] pobierz, plaintext 
<?php
class My_Controller_Plugin_Acl extends Zend_Controller_Plugin_Abstract {
    public function preDispatch(Zend_Controller_Request_Abstract $request) {
    
        $application = new Zend_Session_Namespace('myApplication');
        $acl = Zend_Registry::get('acl');
        
        if($application->currentRole == '') {
            $roleName = 'guest'; // jezeli w sesji obecna role (typ) uzytkownika jest pusty, zostanie ustawione guest
        } else {
            $roleName = $application->currentRole; // w przeciwnym wypadku zapisujemy w zmiennej $roleName nasza role (typ) uzytkownika
        }
        
        $privilageName = $application->loggedUser;
        if(!$acl->isAllowed($roleName, null, $privilageName)) {
            // cos tam, nie wejdziesz tutaj, bla bla...
        }
 
    }
}
?>
[PHP] pobierz, plaintext

i w bootstraper (index.php):

[PHP] pobierz, plaintext 
<?php
// acl
$helper= new My_Controller_Helper_Acl();
$helper->setRoles();
$helper->setResources();
$helper->setPrivilages();
$helper->setAcl();
$frontController->registerPlugin(new My_Controller_Plugin_Acl());
?>
[PHP] pobierz, plaintext

No i to ani nie popsuło strony, ani nie działa. Pewnie trzeba jakoś do tego acl wysłać role (typ) użytkownika (czy to użytkownik, czy to admin).

@edit: poprawiłem ten drugi plik Acl.php, starałem się zrobić, żeby dostawał w sesji role i nazwę, no ale nadal coś nie śmiga mi to. Może teraz mnie ktoś nakieruje?
Aha i dodałem też w logowaniu w kontrolerze:

[PHP] pobierz, plaintext 
<?php
protected $_application; // przed funkcjami
 
 
$this->view->baseUrl = $this->_request->getBaseUrl(); // w init
$this->_application = new Zend_Session_Namespace('myApplication'); // w init
 
 
$this->_application->currentRole = $this->user->role; // w indexAction, jak juz sie zaloguje
$this->_application->loggedUser = $this->user->login; // w indexAction, jak juz sie zaloguje
?>
[PHP] pobierz, plaintext

No i i tak po każdej stronie można latać jak się chce ;/

omeck

8.07.2009, 21:39:14

Cytat(in5ane @ 8.07.2009, 19:51:24 )

[PHP] pobierz, plaintext 
<?php
       
        $privilageName = $application->loggedUser;
        if(!$acl->isAllowed($roleName, null, $privilageName)) {
            // cos tam, nie wejdziesz tutaj, bla bla...
        }
 
    }
}
?>
[PHP] pobierz, plaintext

Dlaczego $privilegeName wyciągasz z sesji? To powinien być zasób (u Ciebie index, account itd.). Możesz wyciągnąć np. nazwę kontrolera z request object i wtedy porównywać.

in5ane

8.07.2009, 21:42:42

Do końca nie wiem, jak ma działać ta instrukcja warunkowa (wiem, że musi zabronić danemu użytkownikowi dostępu do podstrony), była ona zawarta w kilku tutorialach, które czytałem (tyle, że w każdym trochę inna).

omeck

8.07.2009, 22:08:50

Jeśli korzystasz z MVC, to do isAllowed przekaż kolejno parametry: rolę i zasób (w swoim systemie chyba nie chcesz sprawdzać bardziej szczegółowego dostępu np. do akcji, ale nie wiem :-))
U Ciebie w kodzie rolę chyba dobrze wyciągasz - z sesji użytkownika (zakładając, że ją dobrze przypisujesz

). W takim razie należy sprawdzić, czy dana rola ma dostęp do zasobu. Zasoby zdefiniowałeś chyba w index.php (Zend_Acl_Resource) oraz potem przypisałeś role do zasobów (metoda allow). Czy zasobami mają być nazwy kontrolerów? Jeśli tak, to coś takiego może Ci zadziałać:

[PHP] pobierz, plaintext 
<?php
$resource = $request->getParam('controller');
 
if(!$acl->isAllowed($roleName, $resource)) {
           // cos tam, nie wejdziesz tutaj, bla bla...
}
?>
[PHP] pobierz, plaintext

pisane z palca, nie daje 100% gwarancji ;-)

Metoda z 3 argumentami świetnie nadaje się np. do sprawdzania dostępu jakiejś roli do konkretnej akcji konkretnego kontrolera

in5ane

8.07.2009, 22:13:39

Dzięki, no ale nie blokuje nic ;/

Tzn. zawsze IF przejdzie bez niczego i wyświetli z niego treść itp.. (czyli to bla bla...) i każda podstrona jest dostępna dla gościa. Możliwe, że z tymi danymi w sesji jest problem.

omeck

8.07.2009, 22:19:32

Cytat(in5ane @ 8.07.2009, 23:13:39 )

Ale wchodzi Ci do if'a? Czy nigdy? Co w ogóle masz w if? Jeśli wchodzi, to musisz wewnątrz np. zrobić przekierowanie do jakiejś akcji logowania

in5ane

8.07.2009, 22:22:16

No wchodzi mi do IF, dodałem sobie tam dla testu echo 'asd'; i zawsze wyświetla (na każdej podstronie). Ale dodałem też echo $application->currentRole; i nie wyświetla tego, więc chyba będzie jakiś problem z sesjami.

omeck

8.07.2009, 22:25:11

Czy w bootstrapie dałeś:

[PHP] pobierz, plaintext 
<?php
Zend_Session::start();
?>
[PHP] pobierz, plaintext

Aha, w pluginie powinieneś odczytywać wartość sesji, a nie ją tworzyć ;-)

in5ane

8.07.2009, 22:27:12

Tak, dałem. Zobaczyłem też, jak na sztywno dałem w $roleName guest albo admin, to nadal ten IF cały czas działał. Najpierw trzeba coś zrobić z tym IF'em, później z sesjami (bo na razie w $roleName mogę na sztywno wpisywać).

omeck

8.07.2009, 22:36:15

Cytat(in5ane @ 8.07.2009, 23:27:12 )

No dobra, ale:

[PHP] pobierz, plaintext 
<?php
$this->acl->allow('guest', null, 'index');
       $this->acl->allow('user', array('account', 'announcements', 'contact'));
       $this->acl->allow('admin');
?>
[PHP] pobierz, plaintext

Gość ma dostęp wyłącznie do domyslnego modułu oraz zasobu index - przy każdym inny zasobie będzie Ci wchodził do If. Admin z kolei nie ma żadnych uprawnień...

in5ane

9.07.2009, 05:55:06

No dobra, wiem o co Ci chodziło, doszedłem do tego, że jest w sumie dobrze, poza sesjami, mój kod teraz wygląda tak:

[PHP] pobierz, plaintext 
<?php
class My_Controller_Helper_Acl {
    public $acl;
    
    public function __construct() {
        $this->acl = new Zend_Acl();
    }
    
    public function setRoles() {
        $this->acl->addRole(new Zend_Acl_Role('guest'));
        $this->acl->addRole(new Zend_Acl_Role('user'), 'guest');
        $this->acl->addRole(new Zend_Acl_Role('admin'), 'user');
    }
    
    public function setResources() {
        $this->acl->add(new Zend_Acl_Resource('index'));
        $this->acl->add(new Zend_Acl_Resource('account'));
        $this->acl->add(new Zend_Acl_Resource('announcements'));
        $this->acl->add(new Zend_Acl_Resource('admin'));
        $this->acl->add(new Zend_Acl_Resource('contact'));
    }
 
    public function setPrivilages() {
        $this->acl->allow('guest', 'index');
        $this->acl->allow('user', array('account', 'announcements', 'contact'));
        $this->acl->allow('admin', 'admin');
    }
    
    public function setAcl() {
        Zend_Registry::set('acl', $this->acl);
    }
}
?>
[PHP] pobierz, plaintext

Oczywiście muszę jeszcze te uprawnienia do podstron ustawić (do jakich podstron).

[PHP] pobierz, plaintext 
<?php
class My_Controller_Plugin_Acl extends Zend_Controller_Plugin_Abstract {
    public function preDispatch(Zend_Controller_Request_Abstract $request) {
    
        $application = new Zend_Session_Namespace('myApplication');        
        if('user' == '') {
            $roleName = 'guest'; // jezeli w sesji obecna role (typ) uzytkownika jest pusty, zostanie ustawione guest
        } else {
            $roleName = 'user'; // w przeciwnym wypadku zapisujemy w zmiennej $roleName nasza role (typ) uzytkownika
        }
        
        $acl = Zend_Registry::get('acl');
        $resource = $request->getParam('controller');
        if(!$acl->isAllowed($roleName, $resource)) {
            // cos tam, nie wejdziesz tutaj, bla bla...
            echo 'as';
        }
        
    }
}
?>
[PHP] pobierz, plaintext

W tym ustawiłem na sztywno w tym IF'ie 'user' == '' oraz $roleName = 'user';.

I to echo 'as'; przy tych parametrach user wyświetla mi tylko w podstronie admin, więc ogólnie to działa. Ale trzeba coś z tymi sesjami zrobić. Prawdopodobnie jest problem z ich wysłaniem.

@edit: poradziłem sobie, dziękuje wszystkim za zainteresowanie.

@edit2: chciałbym się jeszcze dowiedzieć jak zrobić, żeby np. announcements było dostępne dla guest, ale announcements/add już tylko dla user?

omeck

9.07.2009, 12:24:57

Możesz swój kod rozszerzyć w ten sposób (zakładam, że zasoby to nazwy kontrolerów?)

[PHP] pobierz, plaintext 
<?php
   public function setPrivilages() {
        $this->acl->allow('guest', 'kontroler1', array('akcja1', 'akcja2'));
        $this->acl->allow('guest', 'kontroler2', array('akcja1'));
        $this->acl->allow('user', 'kontroler1', array('account', 'announcements', 'contact'));
        $this->acl->allow('admin', 'admin');
    }
?>
[PHP] pobierz, plaintext

Więcej kodu, ale uzyskasz bardziej szczegółowa listę dostępu. Definiuj więc pozwolenia dla jakieś roli i zasobu, a w 3 parametrze podawaj tablicę akcji do których dana rola będzie miała dostęp.

Wówczas musisz jeszcze zmienić plugin... muszę zaraz wychodzić, więc nie mam czasu na wyjaśnienie - zobacz mój, może Cię oświeci ;-) Smacznego!

[PHP] pobierz, plaintext 
<?php
/**
 * Plugin kontrolera sprawdzający autoryzację i autentykację
 * @author omeck
 * @version $Id$
 */
class Acl_Plugin extends Zend_Controller_Plugin_Abstract
{
    /**
     * Dostęp do obiektu uwierzytelniania
     * @var Zend_Auth
     */
    protected $_auth = null;
    
    /**
     * Dostęp do ACL
     * @var Zend_Acl
     */
    protected $_acl = null;
 
    public function __construct(Zend_Auth $auth, Zend_Acl $acl)
    {
        $this->_auth = $auth;
        $this->_acl = $acl;
    }
    
    public function preDispatch(Zend_Controller_Request_Abstract $request)
    {
        // sprawdz, czy user jest zalogowany...
        if ($this->_auth->hasIdentity()) {
            // zalogowany, pobierz nazwę roli z obiektu Auth
            $role = $this->_auth->getIdentity()->role;
        } else {
            // niezalogowany, daj mu uprawnienia gościa
            $role = 'guest';
        }
       
        // okreslenie bierzacego modułu
        // będzie to albo null (czyli default), albo admin
        $resource = $request->module;
        
        if ($resource == 'admin') {
            // jesli modulem, do którego użytkownik chce się dostac jest admin,
            // wtedy sprawdzany jest dostęp po module i roli użytkownika,
            // czyli rola i moduł muszą nazwyac się 'admin'
            $resource = 'admin';
            $assert = null;            
        } else {
            // wywołanie na stronie publicznej w module default 
            // tutaj sprawdzany jest kontroler i akcja 
            $resource = $request->getParam('controller');
            $assert = $request->getParam('action');
        }
        
        // sprawdź dostęp przez ACL
        if (!$this->_acl->isAllowed($role, $resource, $assert)) {
            if ($this->_auth->hasIdentity()) {
                // zalogowany, dostęp zabroniony, przekieruj na index
                $request->setModuleName('default');
                $request->setControllerName('index');
                $request->setActionName('index');
            } else {
                // nie zalogowany, przekieruj do formularza logowania
                $request->setModuleName('default');
                $request->setControllerName('login');
                $request->setActionName('index');
            }
        }
    }
}
?>
[PHP] pobierz, plaintext

in5ane

9.07.2009, 23:05:28

Hehe, dzięki. Ale właśnie w tym samym czasie udało mi się to samemu osiągnąć. Ale dzięki za pomoc ;-)

@edit:
Żeby nie tworzyć nowego tematu. Chciałbym się dowiedzieć czy to moje obecne logowanie (kod niżej) jest dobrze napisane i czy nie jest podatne na włamania (w szczególności sql incjection). Z góry dziękuję za zerknięcie w kod.

[PHP] pobierz, plaintext 
<?php
function getForm() {
        $form = new Zend_Form();
        $form->setMethod('post');
 
        $login = $form->createElement('text', 'login', array('label' => 'Login'));
        $login->setRequired(true)
                ->addValidator('NotEmpty', true, array('messages' => array('isEmpty' => 'Nie wpisałeś/aś loginu.')))
                ->addDecorators(array(array('HtmlTag', array('class' => 'zf-htmltag')), array('Label', array('class' => 'zf-label')), array('Errors', array('class' => 'zf-errors'))));
 
        $password = $form->createElement('password', 'password', array('label' => 'Hasło'));
        $password->setRequired(true)
                ->addValidator('NotEmpty', true, array('messages' => array('isEmpty' => 'Nie wpisałeś/aś hasła.')))
                ->addDecorators(array(array('Label', array('class' => 'zf-label')), array('HtmlTag', array('class' => 'zf-htmltag')), array('Errors', array('class' => 'zf-errors'))));
 
        $submit = $form->createElement('submit', 'log', array('label' => 'Zaloguj się'));
        $submit->addDecorators(array(array('HtmlTag', array('class' => 'zf-htmltag-submit'))));
 
        $form->addElements(array($login, $password, $submit));
        
        return $form;
    }
    
    function indexAction() {
        $this->view->title = "Twoje konto";
    
        $form = $this->getForm();
    
        if ($this->_request->isPost()) {
            $formData = $this->_request->getPost();
            if ($form->isValid($formData)) {
                $dbAdapter = Zend_Registry::get('dbAdapter');
                $objAuthAdapter = new Zend_Auth_Adapter_DbTable($dbAdapter, 'users', 'login', 'password', 'MD5(?)');
                $objAuthAdapter->setIdentity($this->_getParam('login'))->setCredential($this->_getParam('password'));
                $objAuth = Zend_Auth::getInstance();
                $objResult = $objAuth->authenticate($objAuthAdapter);
                if ($objResult->isValid()) {
                    $data = $objAuthAdapter->getResultRowObject(null, 'password');                    
                    $objAuth->getStorage()->write($data);                    
                    $this->_application->currentRole = Zend_Auth::getInstance()->getIdentity()->role;
                    $this->_redirect('/account');
                } else {
                    $this->view->message = '<p class="zf-errors" style="margin-bottom: 10px;">Błędna nazwa użytkownika, albo hasło.</p>';
                }
            }
        }
        
        $this->view->form = $form;
        $this->view->user = Zend_Auth::getInstance()->getIdentity();
    }
 
    function logoutAction() {
        Zend_Auth::getInstance()->clearIdentity();
        $this->_application->currentRole = 'guest';
        $this->_redirect('/account');
    }
?>
[PHP] pobierz, plaintext

omeck

10.07.2009, 11:11:53

Raczej jest ok, jeśli sam bezpośrednio nie wywołujesz zapytań z nieprzefiltrowanymi danymi to, klasy z "pakietu" Zend_Db w miarę je filtrują.

BTW
nie byłoby Ci wygodniej (biorąc pod uwagę dalszy rozwój aplikacji przenieść inicjowanie Zend_Auth, adaptera bazy, a formularza do osobnej klasy? Sory, że się czepiam ;-)

in5ane

10.07.2009, 13:23:52

Cytat(omeck @ 10.07.2009, 10:11:53 )

No spoko, że mi podpowiadasz. Adapter bazy już przeniosłem do bootstrapera. Inicjowanie Zend_Auth gdzie przenieść? A formularz, po co do osobnej klasy (nie wiem dlaczego, skoro to jest formularz tylko logowania)?

omeck

10.07.2009, 14:18:04

Cytat(in5ane @ 10.07.2009, 14:23:52 )

Inicjowanie Zend_Auth gdzie przenieść? A formularz, po co do osobnej klasy (nie wiem dlaczego, skoro to jest formularz tylko logowania)?

W sumie niczego nie musisz przenosić, ale jeśli będziesz rozbudowywał aplikację, to wygodniej Ci będzie rozdzielić kod ;-)
Ja mam np. Zend_Auth zainicjowany w bootstrapie:

[PHP] pobierz, plaintext 
<?php
public static function setupAcl()
{
        $auth = Zend_Auth::getInstance();
        $acl = new Acl_Access();
        // dwie poniższe linijki nie sa teraz potrzebne, ale może kiedyś się przydadzą ;-)
        //self::$frontController->setParam('auth', $auth);
        //self::$frontController->setParam('acl', $acl);
        self::$frontController->registerPlugin(new Acl_Plugin($auth, $acl));
        
}
?>
[PHP] pobierz, plaintext

Pluginek wcześniej wkleiłem. Moja klasa Acl_Access ustawia po prostu uprawnienia: role -> (kontroler, akcja)

Dodatkowo stosuję kontroler, który zajmuje się wyłącznie logowaniem (ustawienie adaptera i proces logowania).

Co do formularzy to każdy (prawie każdy) trzymam w osobnym pliku (klasie) dziedziczącej w Zend_Form, ale w sumie u Ciebie jak masz jeden form to może nie będzie trzeba tego robić.

Jest na prawdę sporo rozwiązań - masz pełną swobodę, za co niezwykle cenię Zenda

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.