ACLは難しい

「ACL難しい」という話は結構良く聞きますし、実際僕もそう思っていました。今まではあまり細かな権限管理を要求される事も無かった事もあって、ACLは使わずに簡易的な権限管理機能を自作していました。先日たまたまACL Plugin 2.2.0がリリースされているのを発見したので、今後の為にと試用してみました。実際試してみると、「難しい」というより「少し面倒」といった程度な感じでした。一度使い始めると本当に手放せない機能だと実感してます。ただ、実際に使うには結構準備が大変なので、簡単にACL Pluginを手元の環境で体験できるサンプルを作りました。

GitHub - ACL Plugin Sample

以下で実際の設置方法や注意点等を紹介します。

ACL Plugin sampleの設定

1. サンプルプロジェクトの配置
設置したいディレクトリで以下の手順で、サンプルプロジェクトを配置します。

$ git clone https://github.com/kaz29/acl_plugin_sample.git
$ cd acl_plugin_sample
$ chmod -R go+w ./app/tmp
$ cp ./app/Config/database.php.default ./app/Config/database.php
$ vim ./app/Config/database.php => データベースの設定

2. サンプル用テーブルの作成
以下の様な手順で、サンプルで使用するテーブルを作成します。私はPostgreSQL使いなので以下はPostgreSQLの例ですが、MySQL用のファイルも"schema_mysql.sql" という名前で用意してありますので、適宜読み替えてください。

$ psql データベース名 < ./app/Config/Schema/schema_postgres.sql

今回使用するテーブルは以下の２つです。

3. ACL用テーブルの作成
ACLで利用するテーブルはSchemaファイルが用意されているので以下の様に作成します。

$ ./app/Console/cake schema create DbAcl

ACL Plugin sampleを試す

設定が終わったら、http://localhost/admin/にアクセスしてみましょう。

1. ユーザーの作成

ユーザーが存在しない状態でアクセスをすると、ユーザー作成画面に遷移するのでユーザーを作成します。この時点でグループが存在しない場合、「サイト管理者」と「一般ユーザー」の２つのグループが自動的に作成されます。

2. ログイン

ユーザー作成が完了すると、ログインページに遷移するので先ほど作成したアカウントでログインします。

3. ACO(Access Control Object)の初期化(*1)

ログイン後、acosテーブルにデータが存在しない場合、ACL Pluginのaco同期処理(/admin/acl/acos/synchronize)に遷移します。現在定義されているコントローラ/アクションとacosテーブルの内容をチェックし、存在しない項目がリストアップされます。

画面の下の方にある"Synchronize"をクリックし、acoを作成します。

4. アクセス権限(ARO)の設定

次に、アクセス権限の設定をします。画面上の"Permissions" => "Roles permissions"をクリックしグループ毎の権限設定画面を表示します。

初期状態ではアクセス権限が設定されていないので、サイト管理者の横にある緑のチェックマークをクリックし、サイト管理者にすべての機能へのアクセス権を与えます。

設定が完了すると以下の様に、すべてのアクションへのアクセス権限が付与された事が分かります。

ACLが正常に機能しているかを確認する為に、Groups->admin_indexへのアクセス権を削除してみましょう。下記の画像の赤丸の部分をクリックします。

処理が完了すると、以下の様に表示が切り替わります。

5. 権限が無い機能にアクセスしてみる

この状態で、http://localhost/admin/groups/ にアクセスすると権限が無いため以下の様にエラーが表示されます。

ACL Pluginを使うととても簡単に権限の管理が可能です。グループ単位の設定の他、ユーザー毎にアクセスを許可したり、拒否したりといった事も簡単に出来ますので色々と試してみてください。

実際のカスタマイズ内容はGitHubのCommitログを見ていただければ参考になるかと思います。幾つかコメントも書いておいたので、気づいた点等あれば適宜追記していただければと思います。

ACL Plugin を使う上でのちょっとした注意点

Acl/Config/bootstrap.php 47行目〜
<?php
...
/*
 * You can add here role id(s) that are always allowed to access the ACL plugin (by bypassing the ACL check)
 * (This may prevent a user from being rejected from the ACL plugin after a ACL permission update)
 */
Configure :: write('acl.role.access_plugin_role_ids', array());

/*
 * You can add here users id(s) that are always allowed to access the ACL plugin (by bypassing the ACL check)
 * (This may prevent a user from being rejected from the ACL plugin after a ACL permission update)
 */
Configure :: write('acl.role.access_plugin_user_ids', array(1));

まとめ

如何でしたでしょうか？ACL Pluginを使う事でかなり簡単にACLを利用出来る事がお分かりいただけたかと思います。是非一度試してみてください。

明日は、@konsanの「Chosen + Search + Collectionableの３つのプラグインの組み合わせ」です。楽しみ！

おまけ

<?php
class AppController extends Controller {
	public $components = array(
            'Acl',
            'Auth' => array(
                .....
                'flash' => array(
                    'element' => 'alert',
                    'params' => array(
                        'plugin' => 'TwitterBootstrap',
                        'class' => 'alert-error'
                    ),
                    'key' => 'flash',
                ),
            ),
....
        );
....
}

関連リンク

• ACL Plugin
• 公式ドキュメント
• GitHub - ACL Plugin Sample