Организация распределения ролей пользователей?

Question

[Игорь]

Коллеги, добрый день!
Заинтересовал вопрос распределения ролей.
Прочитала пару тройку статей на эту тему.

В принципе, уже всё подготовил в своём приложении.
Создал примитивную систему Middleware.

Например:
В контроллере, в конструкторе я говорю программе.
Я хочу сначала верифицировать пользователя, а потом проверить его роль в системе

public function __construct(DI $di)
    {
        parent::__construct($di);
        $this->getMiddleware()
            ->execute(new Verification)
            ->execute(new ProtectMethods('add|get|delete'));
        
        $this->userRepository = new UserRepository($this->em);
    }

Middleware для проверки роли.

public function handle()
    {
        list($obj, $method) = explode(":", Common::getController());

        if (in_array($method, $this->methods)) {
            // здесь будем проверять, что разрешено или запрещено юзеру
        }
    }

Планирую что роль будет содержать маски

R - Чтение
W - Запись
V - Просмотр

Так-же планируется комбинация RW или RWV

Неужто будет проверка if else?

Как это делают адекватные люди?

Для понимания добавлю объект иерархии хранения информации

Объект отражает уровень нормализации базы данных!

Comments

[Дмитрий]

Может все же acl или rbac?

[Игорь]

Дмитрий, Читал про это тоже, но не достаточно внимательно.
Если не сложно, в двух словах про это.

Есть ли сходство с тем, что сейчас у меня?

[Игорь]

Да, скорее всего буду смотреть в эту сторону.

[Дмитрий]

Игорь, сходство есть, просто проверки там будут по проще. Наверное мало прочитали, есть думаю даже готовые решения на гитхаб

[Игорь]

Есть ещё Voters от Symfony

Правильно я понимаю, что разрешения проверяются в каждом методе контроллера если этот требуется?

[Игорь]

Есть определённые успехи в реализации разрешений для группы пользователей в самописном движке.
Причём количество ролей играет не какой роли.

В двух словах.

В системе создано, например 3 группы пользователей.
У каждой группы есть роли, у каждой роли есть разрешения на то или иное действие.

В контролируемом методе

public function delete()
{
        $this->checkPermission($this->getRole($this->getUserEmail()), Action::DELETE);
        ...
}

checkPermission ожидает 2 параметра

1 - роль
2 - действие

В checkPermission мы как раз и проверяем разрешено ли данной роли это действие.

[Игорь]

Игорь, Мне кажется достаточно просто.

[Игорь]

Конечно меня напрягает добавление каждый раз в метод вот этой самой проверки.

$this->checkPermission($this->getRole($this->getUserEmail()), Action::DELETE);

Но как автоматически определить, что это именно функция удаления или функция тёти Клавы из 2 подъезда.
Что бы передать намеренья в функцию проверки.

Кстати, в Symfony так и проверяются намеренья.

[Игорь]

Теперь, объект профиля пользователя приобрёл следующий вид

{
    "data": {
        "firstName": "Игорь",
        "lastName": "Попрядухин",
        "phone": "+79256141052",
        "email": "admin@site.ru",
        "image": "",
        "group": {
            "role": {
                "name": "Администратор",
                "id": 1,
                "permissions": [
                    {
                        "id": 1,
                        "name": "Добавление",
                        "action": "ADD"
                    },
                    {
                        "id": 2,
                        "name": "Чтение",
                        "action": "GET"
                    },
                    {
                        "id": 3,
                        "name": "Удаление",
                        "action": "DELETE"
                    },
                    {
                        "id": 5,
                        "name": "Редактирование",
                        "action": "EDIT"
                    },
                    {
                        "id": 6,
                        "name": "Установка разрешений другим пользователям",
                        "action": "SET_PERMISSION"
                    },
                    {
                        "id": 7,
                        "name": "Просмотр",
                        "action": "VIEW"
                    }
                ]
            },
            "name": "Администраторы",
            "id": 1
        },
        "createAt": {
            "timestamp": 1562168480
        },
        "id": 1
    },
    "code": 0
}

Answer 1

[Дмитрий Дерепко]

Да, проверки будут if else, а как еще?

if (!$this->canView($user)) { 
    throw new Exception();
}

Answer 2

[Игорь]

Мой взгляд упал на rbac