ФорумПрограммированиеPHP для идиотов → Управление правами в социальной сети

Управление правами в социальной сети

  • artoodetoo

    Сообщения: 5147 Репутация: N Группа: в ухо

    Spritz Янв. 12, 2010, 12:04 п.п., спустя 46 минут 18 секунд

    Расчитываю на плодотворное обсуждение. Что такое «социальная сеть» все представляют. Давайте попробуем создать удобную и простую схему управления правами. В конечном счете это должно выразиться в классах PHP и запросах на SQL, но поначалу давайте обсудим всё абстрактно.
    Надеюсь на участие Абырвалг и adw0rd :) и всех остальных.

    Что такое право:
    Возможность выполнить какое-то действие в заданном контексте. «Субъект» имеет право «сделать» что-то с «объектом».

    Субъект права:
    Это, очевидно, пользователь сайта. Он уже прошел процедуру аутентификации. В данной теме нам неважно как. Считаем, что информация о нём достоверна.

    Объект права:
    Какой-то кусок данных. Например тема дискуссии, фотография, опрос.

    Действие:
    Действие может быть предаставлено как метод класса или как строка-имя действия. Не вдаваясь в детали до поры будем просто писать "create topic" или "upload photograph".

    Иерархия объектов:
    Для социалки вроде Facebook или ВКонтакте типичны «группы». В группе могут быть свои альбомы фотографий, стена, профиль и т.д. Так же как и у отдельного пользователя. Объекты принадлежат либо пользователю, либо группе.
    Можно сказать что группа или личная страница пользователя являются контекстом прав.

    Роли:
    Роль — набор прав в заданном контексте. Один и тот же пользователь выступает в разных ролях в разных контекстах.
    Особая роль — администратор. Он может всё, плюс может назначать роли другим пользователям.

    см. также: Эксперименты с RBAC
    ιιlllιlllι унц-унц
  • Ewg777

    Сообщения: 510 Репутация: N Группа: Джедаи
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz Янв. 11, 2010, 11:38 д.п., спустя 1 минуту 24 секунды

    Думаю тут мнение васяца будет кстати
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • Абырвалг

    Сообщения: 6480 Репутация: N Группа: Джедаи

    Spritz Янв. 11, 2010, 11:40 д.п., спустя 1 минуту 25 секунд

    в Zend_ACL мне не нравится этот пункт http://framework.zend.com/manual/ru/zend.acl.advanced.html#zend.acl.advanced.storing

    Эдво, ты же в Москве.ру принимал участие? как там делали?
    От меня обсуждение будет, как на работу приеду. Сейчас в бурсу уезжаю.
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz Янв. 11, 2010, 11:53 д.п., спустя 13 минут 6 секунд


    Эдво, ты же в Москве.ру принимал участие? как там делали?
    От меня обсуждение будет, как на работу приеду. Сейчас в бурсу уезжаю.

    васяц занимался пользователями/группами и правами для них соответственно
    я занимался сервисами (фото, видео и прочая ерунда)
    Спустя 19 сек.
    поэтому васяц лучше всего сможет рассказать об этом
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • artoodetoo

    Сообщения: 5147 Репутация: N Группа: в ухо

    Spritz Янв. 11, 2010, 12:35 п.п., спустя 41 минуту 43 секунды

    А я пока положу "структуру" группы вконтакте чтобы перед глазами были объекты прав и намеки на действия над ними. (Надо же чем-то руки занять)

    Те блоки, которые Администратор может вкл/выкл.
    Я так понимаю: в процессе такого переключения роли «Участники» и «Гости» получают или теряют право на действие «просмотр ***»
    вкл/выкл.

    Стена
    Фотоальбом
    Видео
    Новости
    Аудиозаписи
    Граффити
    Обсуждения


    Кроме того, отдельные разделы можно пометить как Открытые/Ограниченные. Это приводит к вкл/выкл права «создавать ***» у роли «Участники»
    Открытый/Ограниченный

    Фотоальбомы
    Видео
    Обсуждения
    Доступ

    «Доступ» это особый случай права. Означает возможность перехода из роли «Гости» в роль «Участники» без одобрения администрации.

    Подозреваю что ВКонтакте использует роли Администрация, Участники, Гости и Забаненные. В явном виде администраторы настраивают только некоторые права У. и Г., а в неявном прописано больше всего.
    ιιlllιlllι унц-унц
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz Янв. 11, 2010, 3:32 п.п., спустя 2 часа 56 минут 58 секунд

    уверен что вконтакте не заябывали себ мозг этим всем, а делали просто if/неиф. они просто ДЕЛАЛИ :)
    Сапожник без сапог
  • artoodetoo

    Сообщения: 5147 Репутация: N Группа: в ухо

    Spritz Янв. 11, 2010, 4:57 п.п., спустя 1 час 25 минут 10 секунд

    может быть. но реальные пацаны будут делать все по понятиям.
    ιιlllιlllι унц-унц
  • krasun

    Сообщения: 1370 Репутация: N Группа: Джедаи

    Spritz Янв. 11, 2010, 10:20 п.п., спустя 5 часов 23 минуты 14 секунд


    в Zend_ACL мне не нравится этот пункт http://framework.zend.com/manual/ru/zend.acl.advanced.html#zend.acl.advanced.storing


    Не могу понять, чем не нравиться этот пункт?
    Спустя 53 сек.
    artoodetoo, а действительно, чем не подходит Zend_ACL?
  • artoodetoo

    Сообщения: 5147 Репутация: N Группа: в ухо

    Spritz Янв. 11, 2010, 10:38 п.п., спустя 18 минут 6 секунд

    может быть подходит. я с другого конца начинаю — сначала надо описать требования, а потом смотреть какие возможны решения. сходу мне кажется, что ACL слишком крут :)

    по ссылке Абырвалг написано, что backend для хранения в базе никак не описан, но можно сохранять сериализованную версию. по сериализованным данным не сделать SQL запрос. значит всякий раз надо подгружать правила в скрипт чтобы что-то проверить.

    помоему для нашей условной социалки можно описать правила попроще, но так, чтобы одним SELECT получить ответ на любой вопрос :)
    ιιlllιlllι унц-унц
  • krasun

    Сообщения: 1370 Репутация: N Группа: Джедаи

    Spritz Янв. 11, 2010, 10:50 п.п., спустя 11 минут 43 секунды


    по ссылке Абырвалг написано, что backend для хранения в базе никак не описан, но можно сохранять сериализованную версию. по сериализованным данным не сделать SQL запрос. значит всякий раз надо подгружать правила в скрипт чтобы что-то проверить.

    backend не как не описан, за его реализацию отвечает разработчик


    помоему для нашей условной социалки можно описать правила попроще, но так, чтобы одним SELECT получить ответ на любой вопрос :)

    с Zend_ACL тоже можно также реализовать, просто необязательно загружать все данные из базы, все права, роли и ресурсы, достаточно создать acl к примеру для данной роли и для ресурса.

    ладно, согласен, сначала надо обсудить требования, а потом посмотрим, подойдет zend_acl или нет, мне уж очень интересно, на что способна эта штука.
  • artoodetoo

    Сообщения: 5147 Репутация: N Группа: в ухо

    Spritz Янв. 12, 2010, 12:33 д.п., спустя 1 час 43 минуты 32 секунды

    Требование 1:
    В любом контексте "C" пользователю "U" соответствует какая-то одна Роль "R" (т.е. набор прав).
    Являюсь ли я участником группы «Beatles»? Вася друг Маши?
    C & U => R

    Можно было бы придумать, что пользователь может выступать одновременно в нескольких ролях в одном контексте, только мне кажется здесь нет в этом необходимости. Поэтому чем проще, тем лучше.

    Требование 2:
    Можно получить ответ на вопрос «есть ли право на действие "A" у роли "R" в контексте "C"?» для любой тройки C, A, R.
    Договоримся, что если правило не описано явно, значит такого права у роли нет. Если описано, значит есть право. Предельно просто.
    Могу ли я создать тему в группе «Убей бобра»? Да/Нет
    R & C => {A}
    C & A & R => Yes/Not


    Требование 3:
    Для любого пользователя можно получить ответ на вопрос «в каких контекстах "C" пользователь "U" выступает в роли "R"?»
    В каких группах я состою? А где я Админ?
    U & R => {C}

    Требование 4:
    Для любого действия можно получить ответ на вопрос «в каких контекстах пользователь "U" имеет право на действие "A"?»
    В каких группах и у каких пользователей я могу смотреть фотографии? Полезный вопрос для создания новостной ленты.
    U & A => {C}
    ιιlllιlllι унц-унц
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz Янв. 12, 2010, 1:06 д.п., спустя 32 минуты 10 секунд

    круто, читаю с чаем и булочками
    Сапожник без сапог
  • artoodetoo

    Сообщения: 5147 Репутация: N Группа: в ухо

    Spritz Янв. 19, 2010, 7:50 д.п., спустя 7 дней 6 часов 44 минуты

    Сейчас начнется самое страшное главное. Попробую описать сущности в SQL (MySql)

    Контекст. Это может быть пользователь или группа.

    CREATE TABLE `x_contexts` (
     `cont_id` int(10) NOT NULL auto_increment,
     `short_name` varchar(20) NOT NULL default '',
     `full_name` varchar(100) NOT NULL default '',
     `is_team` tinyint(1) NOT NULL default '0',
     `creator_id` int(10) default NULL,
     PRIMARY KEY  (`cont_id`),
     UNIQUE KEY (`short_name`)
    );

    на префикс "x_" можно не обращать внимание, я копирую из myphpadmin и мне лениво отрезать что-то.
    Поле is_team позволят определить является ли контекст группой.

    Пользователи вступают в отношения с другими пользователями и группами. То есть выступают в какой-то роли.
    Роль

    CREATE TABLE `x_roles` (
     `role_id` INT(10) NOT NULL AUTO_INCREMENT ,
     `short_name` VARCHAR(20) NOT NULL ,
     `full_name` VARCHAR(100) NOT NULL ,
     PRIMARY KEY (`role_id`) ,
     UNIQUE (`short_name`)
    );

    Назначенные Роли.

    CREATE TABLE `x_relations` (
     `cont_id` INT( 10 ) NOT NULL ,
     `user_id` INT( 10 ) NOT NULL ,
     `role_id` INT( 10 ) NOT NULL ,
     PRIMARY KEY ( `cont_id` , `user_id` , `role_id` )
    );

    здесь поля cont_id и user_id ссылаются на ключи одной и той же таблицы contexts

    Роль описывает набор прав в контексте.

    CREATE TABLE `x_rights` (
     `cont_id` INT(10) NOT NULL ,
     `role_id` INT(10) NOT NULL ,
     `act_id` INT(10) NOT NULL ,
     PRIMARY KEY (`cont_id` , `role_id` , `act_id`)
    );

    здесь упоминаются действия

    CREATE TABLE `x_actions` (
     `act_id` int(10) NOT NULL auto_increment,
     `short_name` varchar(20) NOT NULL default '',
     `full_name` varchar(100) NOT NULL default '',
     PRIMARY KEY  (`act_id`),
     UNIQUE KEY (`short_name`)
    );


    Итого:
    - описываем назначенные пользователям Роли в Контексте через таблицу отношений (relations).
    - Роль — это набор Прав (rights) в Контексте
    Таблицы contexts, roles и actions — это справочники из которых мы извлекаем имена. Для контроля прав они неважны. Реальная работа строится через relations и rights.

    Тонкий момент: если пользователю в я вном виде не назначена роль для некоего контекста, то должна использоваться роль по-умолчанию. В MySql это можно выразить через LEFT JOIN и ifnull(). Ниже я приведу примеры.
    ιιlllιlllι унц-унц
  • artoodetoo

    Сообщения: 5147 Репутация: N Группа: в ухо

    Spritz Янв. 12, 2010, 2:47 д.п., спустя 18 часов 57 минут 16 секунд

    Заполняем таблицы игровыми данными:

    contexts

    cont_id short_name full_name is_team creator_id
    1 guest Unregistered user 0 NULL
    2 durov Первопользователь. Обычно выступает в роли Бога. 0 NULL
    3 john John Doe 0 NULL
    4 mary Mary Christmas 0 NULL
    5 bobrdobr Убей бобра 1 2
    6 photo-moto Фотолюбители 1 3
    7 ivanov И. Иванов 0 NULL
    8 petrov П. Петров 0 NULL

    здесь две группы (is_team=1)

    roles

    role_id short_name full_name
    1 visitors Прохожие
    2 members Участники
    3 admins Администраторы


    actions

    act_id short_name full_name
    1 blog-view Читать блог
    2 blog-post Писать в блог
    3 photo-view Смотреть фотки
    4 photo-post Выкладывать фотки
    5 team-join Вступить в группу


    relations

    cont_id user_id role_id
    5 2 3
    5 4 2
    5 7 2
    6 3 3
    6 7 2
    6 8 2


    rights

    cont_id role_id act_id
    5 1 1
    5 1 3
    5 1 5
    5 2 1
    5 2 2
    5 2 3
    5 2 4
    5 3 1
    5 3 2
    5 3 3
    5 3 4
    6 2 1
    6 2 2
    6 2 3
    6 2 4
    6 3 1
    6 3 2
    6 3 3
    6 3 4


    Права я описал только для групп (id=5,6). Иначе список получился бы слишком длинный :)
    Дамп во вложении
    1. qb.sql.zip (46)
    ιιlllιlllι унц-унц

Пожалуйста, авторизуйтесь, чтобы написать комментарий!