dr.e.

Der Kern des APF "kennt" weder Benutzer, Rollen noch Gruppen. Das ist auch nicht der Fokus. Die oben beschriebene Funktion ist lediglich im mitgelieferten Modul "umgt" enthalten. Letzteres beherrscht Rollen und Gruppen.

Gruppen werden in der Regel zur Vergabe von Berechtigungen auf Objekte einer Anwendung verwendet, Rollen kommen dann zum Einsatz, wenn Berechtigungen auf das ausführen von Funktionen vergeben werden sollen. Zur Granularisierung und Wiederverwendbarkeit von "Funktionsberechtigungen" wurden Berechtigungsschemen eingeführt. Diese können wiederum mehrere Berechtigungen kapseln und werden selbst einer Rolle zugewiesen.

__________________
Viele Grüße,
Dr.E.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Think about software design before you start to write code!
2. Discuss and review it together with experts!
3. Choose good tools (-> Adventure PHP Framework (APF))!
4. Write clean and reusable software only!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Mister Ad

#Avedo

@Manko
Vielen vielen Dank für den Link ist eine wirklich geniale Seite und ein toller Artikel.

Zurück zum Thema...

Wenn ich das richtig verstanden haben schließen sich Gruppen und Rollen nicht aus sondern ergänzen sich viel mehr. Rollen weisen einem Benutzer spezifische Rechte, die in einer Rolle gebündelt werden, zu. Moderatoren dürfen zum Beispiel lesen, bearbeiten und sperren, Administratoren an den Einstellungen pfuschen. Ein Nutzer kann zu einem bestimmten Zeitpunkt immer nur eine einzige Rolle und die damit verbundenen Rechte besitzen. Jedoch kann eine Rolle aus mehreren anderen Rollen zusammengesetzt sein. So kann man entweder "normaler" Benutzer oder Moderator oder Supermoderator sein aber nicht mehreres. Die Rolle des Supermoderators kann sich aber aus den verschiedenen einzelnen Moderator Rollen, die nur die Sperr und Editier-Rechte für ein einzelnes Forum vergeben zusammensetzen. Wie kommen dann aber Gruppen ins Spiel? Wenn ich das richtig verstanden habe sind Gruppen in einem Rollen basierten System eigentlich nur kleine Helferlein. Einige Benutzer eines Forums können sich zum Beispiel zu einer Arbeitsgruppe zusammenschließen. Arbeitet ein Nutzer nun innerhalb der Arbeitsgruppe, schreibt News oder Artikel, so erhält er durch eine Role festgelegte Rechte. Verlässt er den Bereich der Arbeitsgruppe nimmt er entweder wieder seine "Standard" Rolle ein oder wechselt in eine andere, durch eine Gruppe zugewiesene Rolle.

Ich hoffe ich habe alles richtig verstanden. Nun die Frage nach einem passenden Datenbank Schema. Ich muss also eine Tabelle für die Nutzer, eine für die Rollen, die Gruppen und eine für die Rechte haben. Wie kann ich es aber speichern, dass sich eine Rolle aus mehreren anderen zusammensetzt. Wie kennzeichne ich außerdem später wann man im Rahmen einer Gruppe aktiv ist?

MfG, Andy

__________________
I'm so tired of slitting the throats of people calling me a violent psychopath.

dr.e.

Rollen sollten eindeutig sein. Um diese flexibel konfigurierbar zu gestalten habe ich Permissions eingeführt, die über PermissionSets einer Rolle zugewiesen werden. So kannst du Funktionsberechtigungen beliebig einer Rolle zuweisen und diese damit definieren/konfigurieren.

Was meinst du mit aktiv? Ein Benutzer ist über eine Assoziation einer Gruppe zugeordnet. Gruppen der Rechteverwaltungsdomäne sind dabei jedoch etwas anderes wie eine Gruppe in einer Applikation (z.B. "Neigungsgruppe Schach"). Gemeinsam haben diese beiden jedoch trotzdem, dass ein Benutzer zu diesen Objekten per Assoziation zugeordnet ist.

__________________
Viele Grüße,
Dr.E.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Think about software design before you start to write code!
2. Discuss and review it together with experts!
3. Choose good tools (-> Adventure PHP Framework (APF))!
4. Write clean and reusable software only!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

#Avedo

Nehmen wir an wir sind in einem kleinen Portal. Benutzer dürfen hier Kommentare zu Artikeln und News schreiben, Arbeitsgruppen erstellen, beitreten und verwalten, sowie Forenbeiräge verfassen. Alle Nutzer haben also die selbe Rolle. Jeder Benutzer kann beliebig vielen Arbeitsgruppen beitreten. In jeder Arbeitsgruppe sind neue Rollen definiert, von denen genau eine dem beigetretenen Nutzer zugewiesen wird. Hält sich dieser Nutzer nun im Bereich der Arbeitsgruppe auf, ist er in der durch die Gruppe zugewiesenen Rolle. Verlässt er den Bereich der Gruppe so nimmt der nutzer seine standrad Rolle ein. Ein Nutzer kann also mehrere Rollen haben, jedoch immer nur eine zum gleichen Zeitpunkt.

Ich fand an dieser Stelle auch das Beispiel aus dem von Manko geposteten Artikel sehr shön. Ein Mensch kann Morgens Verkäufer und Abends Kunde im gleichen Geschäft sein.

MfG, Andy

__________________
I'm so tired of slitting the throats of people calling me a violent psychopath.

dr.e.

Hallo Andy,

richtig, das alles hat jedoch nur mit Sichtbarkeit zu tun. Wenn ich die Gruppe "Fußball" nicht sehe, dann kann ich darauf auch keine Aktionen (Permissions!) ausführen. Nichtsdestotrotz gibt es einen Unterschied! Da ich gerade nicht die Zeit hab ein UML zu malen, kurz den Aufbau zu deinem Beispiel:

• Entity: Arbeitsgruppe
• Entity: Gruppe (für das Umgt)
• Entity: Benutzer

Um einer Gruppe bezutreten, würdest du eine Assoziation zwischen einem Benutzer oder seiner Organisationsgruppe und der Arbeitsgruppe aufbauen. In Kombination mit seiner Rolle kann er dann Aktionen starten oder nicht. Ist er beispielsweise ein Premium-Account (siehe XING), so hat er mehr Permissions, sieht jedoch die gleiche Arbeitsgruppe. Hierzu sind Rollen da!


Das mag schon sein, nur du kannst nicht WELT modellieren, sondern nur einen Domäne!

Cheers,
Christian

__________________
Viele Grüße,
Dr.E.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Think about software design before you start to write code!
2. Discuss and review it together with experts!
3. Choose good tools (-> Adventure PHP Framework (APF))!
4. Write clean and reusable software only!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

#Avedo

Natürlich kann man nicht WELT modellieren, jedoch muss es auch die möglichkeit geben zwischen verschiedenen Situationen zu unterscheiden. Als Administrator möchte ich ja auch nicht die ganze Zeit mit ner geladenen Waffe durch die Gegend laufen. Also bewege ich mich, wenn ich eingeloggt bin als Supermod und kann mir dann, wenn ich Einstellungen am System vornehmen möchte die Rechte eines Admins geben. Ähnlich funktioniert es ja auch bei Unix Systemen. Dort wird auch niemand bis unter die Zähne mit Rechten bewaffnet auf das System losgelassen. Für Änderungen direkt am System muss man erst per Root-Passwort bestätigen. Darum ging es mir.

Den zweiten Fall betreffend glaube ich, dass es auch bei Xing so ist, dass der Gründer einer Gruppe höhere Rechte besitzt als ein beigetretenes Mitglied. Außerhalb der Gruppe gehören sie trotzdem nur der großen Masse an Usern an und haben auch die gleichen Rechte.

Ich versuche also momentan noch einen geeigneten Mittelweg zu finden, um diese Probleme zu verinigen.

MfG, Andy

__________________
I'm so tired of slitting the throats of people calling me a violent psychopath.

Phoscur

Wenn möglich solltest du den Admin eh ganz abtrennen und mit einem extra Login versehen, einfach aus Sicherheitsgründen (e.g. Sessionhijacking, SQL-Injection). Was du im Adminpanel tust hat meistens eh nichts damit zu tun was sonst noch passiert, lässt sich also recht gut kapseln.
Wo ich grade dabei bin: IMO sollte selbst ein Admin keine direkte unbegrenzte Macht auf die DB haben, insgesamt gehören Berechtigungen kontrolliert und niemals undeutlich formuliert.

__________________

dr.e.

Die Lösung heißt: wende Rollen und Berechtigungen richtig an. Bei deinem Beispiel würde das bedeuten, dass dein Benutzer, sobald er Gründer einer Gruppe wird eine Rollenänderung erfährt. Er bekommt eine neue, zusätzliche Rolle, die ihn zu einem Gründer macht. Trotzdem wird er eine (Sichtbarkeits-)Berechtigung auf die erstellte Gruppe haben.

Du musst dir einfach klar darüber werden, was über Rechte (Sichtbarkeit) und über Rollen (Funktionsberechtigung) geregelt werden muss. IMHO lässt sich das sehr einfach feststellen.

__________________
Viele Grüße,
Dr.E.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Think about software design before you start to write code!
2. Discuss and review it together with experts!
3. Choose good tools (-> Adventure PHP Framework (APF))!
4. Write clean and reusable software only!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Geryon

Dieser Link würde mich brennend interessieren. Nur leider geht er nimmer

@ dr.e : könntest du das evtl. fixen?

bond

Der hier geht:
http://adventure-php-framework.org/S...Usermanagement

__________________
bCounter — Besucherzähler für PHP und MySQL