W uproszczeniu, zgodnie ze wzorcem MVC, w aplikacji można wydzielić Router, który odpala jakiś kontroler, który przy użyciu modelu, generuje widok. W (pseudo)kodzie można wyrazić to tak:

[PHP] pobierz, plaintext 
class Router {
	public function route() {
		$controler = new Controler();
		$controler->run();
	}
}
 
class Controler {
	public function run() {
		$view = new View($data);
		$view->render();
	}
}
 
class View {
	public function render($data) {
		if (/* użytkownik jest administratorem */) {
			echo html_for_admin_from_data($data);
		}
 
		if (/* użytkownik jest moderatorem */) {
			echo html_for_user_from_data($data);
		}
 
		// Przekieruj do strony logowania
	}
}
[PHP] pobierz, plaintext 

Ale co powinno być w if'ie? To co wydaje się najrozsądniejsze z mojego punktu widzenia i dobrze wpisuje się w OOP, to coś takiego:

[PHP] pobierz, plaintext 
if ($guard->hasAccess($user, 'administrator_panel')) {
[PHP] pobierz, plaintext 

Dzięki temu możemy wiele różnych Guard'ów dla np. każdego kontrolera lub grupy kontrolerów. Ale w takim razie jak taki guard ma się znaleźć w funkcji renderującej? Przekazanie go przez argument funkcji jest moim zdaniem bez sensu, bo co jeśli będę potrzebował kolejnego obiektu np. LoginManager, który posiada funkcję redirect_to_login_page? Też przez argument? Potem będę przekazywał 10 różnych obiektów do każdego widoku, a korzystał w danym widoku z jednego lub dwóch. Nie wspomnę już o obiekcie User, który najlepiej gdyby był tworzony raz na początku skryptu np. w funkcji route. Czy zatem mam go przekazać do funkcji Controler:run, a z niej do View::render ?

Więc może inaczej:

[PHP] pobierz, plaintext 
if (CurrentUser::hasAccess('backend', 'administrator_panel')) {
[PHP] pobierz, plaintext 

Wygląda to bardzo czytelnie. Obiekt CurrentUser może być częściowo inicjowany w Router'ze:

[PHP] pobierz, plaintext 
CurrentUser::setUser(User::findById($_SESSION['id']));
[PHP] pobierz, plaintext 

A częściowo w Controler'ze:

[PHP] pobierz, plaintext 
CurrentUser::setGuard('backend', new BackendGuard());
[PHP] pobierz, plaintext 

Funkcja CurrentUser::hasAccess mogłaby wyglądać tak:

[PHP] pobierz, plaintext 
public static function hasAccess($module, $access) {
	return self::$guard[$module]->hasAccess(self::$user, $access);
}
[PHP] pobierz, plaintext 

Jest tylko jedno ale. Taki twór działa globalnie, co moim zdaniem nie jest zbyt dobre. W końcu dążymy do hermetyzacji. Odplamy dwa routery równolegle (trochę abstrakcja i klapa.

Mam nadzieję, że dosyć dobrze nakreśliłem problem. Przedsawiłem dwa rozwiązania, które jako tako mogłyby być, ale szukam czegoś lepszego.

Normalnie uprawnienia w widoku przydziela "helper" widoku. Czyli w widoku if (helper.acl==gość or helper.acl=użytkownik) wyświetl coś. A gdzieś globalnie w poziomie aplikacji sprawdzane są i przydzielane uprawnienia z których ten helper czerpie dane.