如何在 Web MVC 应用程序中有效实施访问控制列表 (ACL)？

在 Web MVC 应用程序中实现访问控制列表

问题陈述

第一个问题：

如何ACL可以在MVC应用程序中有效实现吗？现有方法有缺点，例如向每个控制器的方法添加 ACL 代码或将所有控制器的方法保持私有。 ACL 实施的最佳实践是什么？

第二个问题：

使用 ACL 限制个人资料查看权限时，如何确定个人资料的所有者？

解决方案

第一个答案（ACL实现）

推荐的做法是使用装饰器模式将目标对象包装在保护壳中。装饰器对象在目标对象外部处理授权检查，确保关注点分离并遵守单一职责原则 (SRP)。使用 SecureContainer 类提供了此方法的示例。

优点：

• 适用于任何对象，而不仅仅是控制器
• 授权检查发生在目标对象外部
• 受保护的实例在整个过程中保留保护应用程序

但是：

• 验证接口实现或继承可能具有挑战性。

第二个答案（对象的 RBAC）

确定配置文件的所有者，向 ACL 提供相关详细信息。这可以通过以下任一方式完成：

• 将整个对象提供给 ACL，考虑违反 Demeter 定律的后果
• 仅请求并提供必要的数据，例如配置文件的权限

附加注意

• MVC 中的模型是一个层，而不是一个特定的类。领域业务逻辑以及数据访问和存储是模型层的两个主要组件。
• 服务提供涉及多个领域对象和映射器的任务的抽象和简化。服务很薄，不应包含业务逻辑或直接影响视图层。

以上是如何在 Web MVC 应用程序中有效实施访问控制列表 (ACL)？的详细内容。更多信息请关注PHP中文网其他相关文章！