首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

Phalcon教程之保护INVO(翻译)

作者:购物狂RZBZ_719 | 来源:互联网 | 2023-10-09 19:03

今天在看中文版的Phalcon教程的时候发现有一章的后半截没有翻译完,遂将其翻译一下,就当学习了。

 

后端安全(Securing the Backend)¶

后端是一个私有区域,只有已经注册并登录的用户才可以访问。因此,只有登录用户才能访问控制器这样的检验是有必要的。如果你没有登录到应用中并试图访问,例如 products 控制器 (这是私有的) 你将会看到如下屏幕:

Phalcon教程之保护INVO(翻译)

 

每次有人试图访问任何 controller/action,应用将会验证当前角色 (在session中) 是否能够访问它,否则就会显示一个像上面那样的消息并转发到首页。

我们来看看应用程序如何实现这一点。 首先要知道的是,有一个名为Dispatcher的组件。 他的功能是,接收Router组件传输过来的Controller和Action信息,然后它负责加载适当的控制器并执行相应的操作方法。通常,Phalcon框架会自动创建Dispatcher对象,但在我们的例子中,我们希望在执行所需操作之前执行验证,检查用户是否有权限去访问该方法。

set('dispatcher', function () {

    // ...

    $dispatcher = new Dispatcher();

    return $dispatcher;
});

我们现在可以完全控制应用程序中使用的Dispatcher组件。框架中的许多触发事件可以改变组件中的程序操作流程。 由于依赖注入组件充当组件之间的粘合剂,而名为EventsManager的新组件允许我们拦截组件生成的事件,将事件路由到侦听器。

事件管理(Events Management)¶

EventsManager允许我们将事件路由到对应的监听器上。现在我们需要监听“排遣”事件,以下代码监听Dispatcher组件生成的所有事件

set('dispatcher', function () {

    // Create an events manager
    $eventsManager = new EventsManager();

    // Listen for events produced in the dispatcher using the Security plugin
    $eventsManager->attach('dispatch:beforeExecuteRoute', new SecurityPlugin);

    // Handle exceptions and not-found exceptions using NotFoundPlugin
    $eventsManager->attach('dispatch:beforeException', new NotFoundPlugin);

    $dispatcher = new Dispatcher();

    // Assign the events manager to the dispatcher
    $dispatcher->setEventsManager($eventsManager);

    return $dispatcher;
});

当程序触发了一个beforeExecuteRoute事件,以下插件将会被通知:

attach('dispatch:beforeExecuteRoute', new SecurityPlugin);

当触发beforeException事件,会通知以下插件:

attach('dispatch:beforeException', new NotFoundPlugin);

SecurityPlugin是一个位于(app / plugins / SecurityPlugin.php)的类。 该类实现方法“beforeExecuteRoute”, 这与Dispatcher中生成的事件之一相同:

钩子事件总是接收第一个参数,该参数包含所生成事件的上下文信息($ event),第二个参数是生成事件本身的对象($ dispatcher)。扩展插件Phalcon \ Mvc \ User \ Plugin并不是必须的,但通过这样做,程序可以更轻松地访问应用程序中可用的服务。现在,我们将验证当前会话中的角色,检查用户是否具有使用ACL列表的访问权限。 如果用户没有访问权限,我们会重定向到主屏幕,如前所述:

session->get('auth');
        if (!$auth) {
            $role = 'Guests';
        } else {
            $role = 'Users';
        }

        // Take the active controller/action from the dispatcher
        $cOntroller= $dispatcher->getControllerName();
        $action = $dispatcher->getActionName();

        // Obtain the ACL list
        $acl = $this->getAcl();

        // Check if the Role have access to the controller (resource)
        $allowed = $acl->isAllowed($role, $controller, $action);
        if ($allowed != Acl::ALLOW) {

            // If he doesn't have access forward him to the index controller
            $this->flash->error("You don't have access to this module");
            $dispatcher->forward(
                array(
                    'controller' => 'index',
                    'action'     => 'index'
                )
            );

            // Returning "false" we tell to the dispatcher to stop the current operation
            return false;
        }
    }
}

提供 ACL 列表(Providing an ACL list)

在上面的示例中,我们使用$ this-> getAcl()方法获取了ACL。 此方法也在插件中实现。 现在我们将逐步解释如何构建访问控制列表(ACL):

setDefaultAction(Acl::DENY);

// Register two roles, Users is registered users
// and guests are users without a defined identity
$roles = array(
    'users'  => new Role('Users'),
    'guests' => new Role('Guests')
);

foreach ($roles as $role) {
    $acl->addRole($role);
}

现在,我们分别为每个区域定义资源。 控制器名称是资源,其操作是对资源的访问:

 array('index', 'search', 'new', 'edit', 'save', 'create', 'delete'),
  'products'     => array('index', 'search', 'new', 'edit', 'save', 'create', 'delete'),
  'producttypes' => array('index', 'search', 'new', 'edit', 'save', 'create', 'delete'),
  'invoices'     => array('index', 'profile')
);
foreach ($privateResources as $resource => $actions) {
    $acl->addResource(new Resource($resource), $actions);
}

// Public area resources (frontend)
$publicResources = array(
    'index'    => array('index'),
    'about'    => array('index'),
    'register' => array('index'),
    'errors'   => array('show404', 'show500'),
    'session'  => array('index', 'register', 'start', 'end'),
    'contact'  => array('index', 'send')
);
foreach ($publicResources as $resource => $actions) {
    $acl->addResource(new Resource($resource), $actions);
}

ACL现在了解现有控制器及其相关操作。 “用户”可以访问前端和后端的所有资源,而 “客人”角色只能访问公共区域:

 $actions) {
        $acl->allow($role->getName(), $resource, '*');
    }
}

// Grant access to private area only to role Users
foreach ($privateResources as $resource => $actions) {
    foreach ($actions as $action) {
        $acl->allow('Users', $resource, $action);
    }
}

 


推荐阅读
  • uri

    基于Net Core 3.0与Web API的前后端分离开发:Vue.js在前端的应用

    基于Net Core 3.0与Web API的前后端分离开发:Vue.js在前端的应用
    本文介绍了如何使用Net Core 3.0和Web API进行前后端分离开发,并重点探讨了Vue.js在前端的应用。后端采用MySQL数据库和EF Core框架进行数据操作,开发环境为Windows 10和Visual Studio 2019,MySQL服务器版本为8.0.16。文章详细描述了API项目的创建过程、启动步骤以及必要的插件安装,为开发者提供了一套完整的开发指南。 ... [详细]
  • java

    SpringMVC 入门指南:快速上手 Java Web 开发

    本文将带你快速了解 SpringMVC 框架的基本使用方法,通过实现一个简单的 Controller 并在浏览器中访问,展示 SpringMVC 的强大与简便。 ... [详细]
  • ip

    Web开发框架概览:Java与JavaScript技术及框架综述

    Web开发框架概览:Java与JavaScript技术及框架综述
    Web开发涉及服务器端和客户端的协同工作。在服务器端,Java是一种优秀的编程语言,适用于构建各种功能模块,如通过Servlet实现特定服务。客户端则主要依赖HTML进行内容展示,同时借助JavaScript增强交互性和动态效果。此外,现代Web开发还广泛使用各种框架和库,如Spring Boot、React和Vue.js,以提高开发效率和应用性能。 ... [详细]
  • ip

    这篇文章 | 夕阳下的防火墙命令全解

    这篇文章 | 夕阳下的防火墙命令全解 ... [详细]
  • express

    Spring框架的核心组件与架构解析

    Spring框架的核心组件与架构解析 ... [详细]
  • ip

    如何在R中得到矩阵的右特征向量? - How to obtain right eigenvectors of matrix in R?

    Edition:theprobleminmyquestionwasIvetriedtofindmatrixSfromequation8butthisequati ... [详细]
  • char

    ECharts 饼图动态数据加载与展示

    ECharts 官方提供了丰富的图表示例,但实际项目中往往需要从后端动态获取数据。本文将详细介绍如何从后端获取数据并将其转换为 ECharts 所需的 JSON 格式,以实现动态饼图的展示。 ... [详细]
  • ip

    在范围[0..n-1]中产生m个不同的随机数 - Generating m distinct random numbers in the range [0..n-1]

    Ihavetwomethodsofgeneratingmdistinctrandomnumbersintherange[0..n-1]我有两种方法在范围[0.n-1]中生 ... [详细]
  • java

    Java 中如何将多参数方法传递给使用 List 的 Function

    本文探讨了如何在 Java 中将多参数方法通过 Lambda 表达式传递给一个接受 List 的 Function。具体分析了 `OrderUtil` 类中的 `runInBatches` 方法及其使用场景。 ... [详细]
  • ip

    JavaWeb文件上传:前端实现与后端处理详解

    在JavaWeb开发中,文件上传是一个常见的需求。无论是通过表单还是其他方式上传文件,都必须使用POST请求。前端部分通常采用HTML表单来实现文件选择和提交功能。后端则利用Apache Commons FileUpload库来处理上传的文件,该库提供了强大的文件解析和存储能力,能够高效地处理各种文件类型。此外,为了提高系统的安全性和稳定性,还需要对上传文件的大小、格式等进行严格的校验和限制。 ... [详细]
  • ip

    如何撰写适应变化的高效代码:策略与实践

    如何撰写适应变化的高效代码:策略与实践
    编写高质量且适应变化的代码是每位程序员的追求。优质代码的关键在于其可维护性和可扩展性。本文将从面向对象编程的角度出发,探讨实现这一目标的具体策略与实践方法,帮助开发者提升代码效率和灵活性。 ... [详细]
  • ip

    Vue 页面状态管理与跨页面数据传递的有效策略

    在 Vue 应用开发中,页面状态管理和跨页面数据传递是常见需求。本文将详细介绍 Vue Router 提供的两种有效方式,帮助开发者高效地实现页面间的数据交互与状态同步,同时分享一些最佳实践和注意事项。 ... [详细]
  • char

    提升Android开发效率:Clean Code的最佳实践与应用

    提升Android开发效率:Clean Code的最佳实践与应用
    在Android开发中,提高代码质量和开发效率是至关重要的。本文介绍了如何通过Clean Code的最佳实践来优化Android应用的开发流程。以SQLite数据库操作为例,详细探讨了如何编写高效、可维护的SQL查询语句,并将其结果封装为Java对象。通过遵循这些最佳实践,开发者可以显著提升代码的可读性和可维护性,从而加快开发速度并减少错误。 ... [详细]
  • express

    SSH集成过程中常见问题及解决方案

    在使用SSH框架进行项目开发时,经常会遇到一些常见的问题。例如,在Spring配置文件中配置AOP事务声明后,进行单元测试时可能会出现“No Hibernate Session bound to thread”的错误。本文将详细探讨这一问题的原因,并提供有效的解决方案,帮助开发者顺利解决此类问题。 ... [详细]
  • js

    深入理解 React 项目中的 Redux 中间件及其应用

    在深入研究 React 项目的过程中,特别是在探索 react-router 源码时,我发现了其中蕴含的中间件概念。这激发了我对中间件的进一步思考与整理。本文将详细探讨 Redux 中间件的原理及其在实际项目中的应用,帮助读者更好地理解和使用这一强大工具。通过具体示例和代码解析,我们将揭示中间件如何提升应用的状态管理和异步操作处理能力。 ... [详细]
author-avatar
购物狂RZBZ_719
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有