phpGACL中文手册(九)扩展权限对象
在 phpGACL 中可以通过配置扩展权限对象( AXO 对象)为第三方添加权限。我们已经知道了 phpGACL 是如何将 ARO 对象和 ACO 对象组成一个访问控制策略指令的,这主要用于简单的权限要求如:
Luke ( ARO 对象)要求访问"武器室"( ACO 对象)的权限
如果这是你所需要的,那么 AXO 对象就完全是可选的了!
但是由于所有的 ACO 对象都是相同的,因此如果它们存在很多的话那管理起来将是困难的。如果是这样情况的话,我们可以通过改变思考权限对象方式来使其管理起来更加容易。
AXO 对象在许多方面同 ARO 对象是一样的。这有一个 AXO 树(是从 ARO 树中分离出来的)有着自己的组和 AXO 对象。在处理 AXO 对象时,以看待 ACO 对象的方式来看待 AXO 对象(即"需要权限控制的事物"),而改变看待 ACO 对象的方式,从"需要权限控制的事物"变成"被要求的运作"。
看待只有 ARO 和 ACO 对象的方式:
看待 ARO 、 ACO 和 AXO 对象的方式:
例如:
一个网站管理员想要管理访问该网站中项目的权限。一个由所有用户组成的
ARO
树如下所示:
Website
(网站)
├─Administrators
(管理者)
│ ├─Alice
│ └─Carol
└─Users
(用户)
├─Bob
└─Alan
在
AXO
树中通过操作系统分类项目被组织成:
Projects
(项目)
├─Linux
│ ├─SpamFilter2
│ └─AutoLinusWorshipper
└─Windows
├─PaperclipKiller
└─PopupStopper
对于每个项目而言,动作是"观看"和"编辑"。这些是 ACO 对象。
现在我们想要 Bob 对所有的 Linux 项目有"观看"的权限,因此可以添加一个 ADP 将 Bob 的 ARO 对象与观看的 ACO 对象和 Linux 的 AXO 对象连接在一起。于是我们可以问一个问题:
Bob ( ARO 对象)要求对一个叫 Linux 的项目( AXO 对象)有"观看"( ACO 对象)的权限
记住 AXO 是可选的,如果你在调用 acl_check() 函数时没有指明 AXO 对象或匹配到一个没有 AXO 对象的 ADP ,这是允许的。然而如果只有 AXO 对象的 APD 而你却调用没有 AXO 对象的 acl_check() 函数,那么系统将失败。
所以一旦你在调用 acl_check() 函数时指定了 AXO 对象的话, acl_check() 函数就只搜索含有 AXO 对象的 ACL 列表。如果 AXO 对象没有被指定,那么只有不含有 AXO 对象的列表才会被搜索。基于上述理论也使系统在性能上有所提升。