CakePHP ACL

研究 CakePHP 時對於其內建的 ACL(Access Control Lists) component 很好奇，同時因為最近的專案可能會利用到，因此提前做了一番習作和研究。

CakePHP ACL 提供的功能其實很單純，只是將 ACO(Access Control Object) 和 ARO(Access Request Object) 兩個樹狀結構進行權屬優先判斷。譬如說一個 A 部門裡面有 A1, A2 兩個人，針對一個物件對象 B1，若設定 A 部門為 allow，但 A2 為 deny，則 A1 可以操作而 A2 則否。進一步若針對 B1 的上層 B 設定 allow/deny，則將會依照「預設拒絕」以及「特定優先」的原則，來判定操作的 true/false。

至於這個 ARO 要怎麼套用到一般的 user 或 group，CakePHP ACL 倒沒有太過干涉，只是提供了int 和 varchar 兩個欄位作為參考索引。同樣的 ACO 怎麼套用到資料物件或網頁操作，也是只有 int 和 varchar 兩個欄位作為索引。

我在 Takor 習作時，是將 ARO 的 id 對應到 users.id，並讓 ACO 採取 ':controller/:action' 的文字欄位作為索引，如此要判斷某某人可不可以在某個 controller 下進行某個 action 動作，就可以很方便地交給 ACL 來幫忙判斷。

另外，一邊在習作一邊在觀察 ARO/ACO 兩個 table 裡面究竟資料結構長得什麼樣子，發現其實不難理解，只是如果想要手動修改樹狀結構，恐怕會有點麻煩，最好還是寫程式來完成較好。譬如說，父層 A=>{lft=>1, rght=>6}，子層 A1=>{lft=>2, rght=>3}, A2=>{lft=>4, rght=>5}，這時候若要插入第三個子層 A3，則得要先將 A 改為 {lft=>1, rght=>8}，然後設定 A3=>{lft=>6, rght=>7}，如此樹狀結構才會把 A3 納入到 A 的範圍以內。同時若要把 A2 底下加入一個孫層 A2a，則不僅 A2 要把 rght 往後挪動以容納 A2a，而且 A3 也會被牽動更改左右鍵值。

目前還沒很用力地去尋找一個視覺化管理 ACL 的範本，但我相信一定有人跟我一樣被這 ACO/ARO 搞得迷迷糊糊的，然後想要寫個簡易的程式管理。