Comment puis-je mettre en œuvre une Liste de Contrôle d'Accès dans mon Web MVC de l'application?

Première question

S'il vous plaît, pourriez-vous m'expliquer comment faire plus simple ACL pourrait être mis en œuvre dans MVC.

Ici est la première approche de l'utilisation des Acl dans le Contrôleur...

<?php
class MyController extends Controller {

  public function myMethod() {        
    //It is just abstract code
    $acl = new Acl();
    $acl->setController('MyController');
    $acl->setMethod('myMethod');
    $acl->getRole();
    if (!$acl->allowed()) die("You're not allowed to do it!");
    ...    
  }

}
?>

Elle est très mauvaise approche, et c'est moins, c'est que nous avons à ajouter Acl morceau de code dans chaque méthode du contrôleur, mais nous n'avons pas besoin de dépendances supplémentaires!

Approche suivante est de faire tous les du contrôleur de méthodes private et ajouter le code ACL dans du contrôleur de __call méthode.

<?php
class MyController extends Controller {

  private function myMethod() {
    ...
  }

  public function __call($name, $params) {
    //It is just abstract code
    $acl = new Acl();
    $acl->setController(__CLASS__);
    $acl->setMethod($name);
    $acl->getRole();
    if (!$acl->allowed()) die("You're not allowed to do it!");
    ...   
  }

}
?>

Il est mieux que le précédent code, mais les principaux inconvénients sont...

  • Tous du contrôleur de méthodes devrait être privé
  • Nous avons à ajouter le code ACL dans chaque contrôleur __appel de méthode.

L'approche suivante est de mettre le code Acl en Contrôleur de parent, mais nous avons encore besoin de garder tous les enfants du contrôleur de méthodes privées.

Quelle est la solution? Et quelle est la meilleure pratique?
Où dois-je appeler Acl fonctions de décider d'autoriser ou d'interdire la méthode à exécuter.

Deuxième question

Deuxième question concerne l'obtention de rôle à l'aide de l'Acl. Imaginons que nous avons des invités, d'utilisateurs et de leurs amis. L'utilisateur dispose d'un accès limité à l'affichage de son profil que seuls vos amis peuvent voir. Tous les invités ne peuvent pas voir ce profil de l'utilisateur. Donc, ici, c'est la logique..

  • nous devons nous assurer que la méthode appelée est de profil
  • nous avons pour détecter le propriétaire de ce profil
  • nous avons à détecter est la visionneuse est propriétaire de ce profil ou pas
  • nous avons à lire les règles de restriction sur ce profil
  • nous avons à décider d'exécuter ou de ne pas signer le profil de la méthode

La question principale est de détecter les propriétaire de profil. Nous pouvons détecter qui est propriétaire de profil de l'exécution du modèle de la méthode $model->getOwner(), mais Acl n'ont pas accès à de modèle. Comment pouvons-nous mettre en œuvre cette?

J'espère que mes pensées sont claires. Désolé pour mon anglais.

Merci.

  • Je ne comprends même pas pourquoi vous avez besoin de "listes de contrôle d'Accès" pour les interactions de l'utilisateur. Ne serait-il pas juste dire quelque chose comme if($user->hasFriend($other_user) || $other_user->profileIsPublic()) $other_user->renderProfile() (sinon, afficher "Vous n'avez pas accès à ce profil de l'utilisateur" ou quelque chose comme ça? Je n'ai pas l'obtenir.
  • Probablement, parce que Kirzilla veut gérer toutes les conditions pour accéder à une place, surtout dans la configuration. Ainsi, tout changement dans les autorisations peuvent être faites dans l'Admin au lieu de changer de code.
InformationsquelleAutor Kirzilla | 2010-08-07
  1. 181

    Première partie/réponse (ACL de mise en œuvre)

    À mon humble avis, la meilleure façon de procéder serait d'utiliser décorateur modèle, Fondamentalement, cela signifie que vous prenez votre objet, et de le placer à l'intérieur de un autre objet, qui va agir comme une coque de protection. Ce ne serait PAS vous obliger à prolonger la classe d'origine. Voici un exemple:

    class SecureContainer
{

    protected $target = null;
    protected $acl = null;

    public function __construct( $target, $acl )
    {
        $this->target = $target;
        $this->acl = $acl;
    }

    public function __call( $method, $arguments )
    {
        if ( 
             method_exists( $this->target, $method )
          && $this->acl->isAllowed( get_class($this->target), $method )
        ){
            return call_user_func_array( 
                array( $this->target, $method ),
                $arguments
            );
        }
    }

}

    Et ce serait la façon dont vous utilisez ce type de structure:

    //assuming that you have two objects already: $currentUser and $controller
$acl = new AccessControlList( $currentUser );

$controller = new SecureContainer( $controller, $acl );
//you can execute all the methods you had in previous controller 
//only now they will be checked against ACL
$controller->actionIndex();

    Comme vous pouvez le remarquer, cette solution a plusieurs avantages:

    1. de confinement peut être utilisé sur n'importe quel objet, pas seulement des instances de Controller
    2. vérifier l'autorisation qui se passe à l'extérieur de l'objet cible, ce qui signifie que:
      • objet d'origine n'est pas responsable pour le contrôle d'accès, adhère à PRS
      • lorsque vous obtenez le message "permission denied", vous n'êtes pas enfermé à l'intérieur d'un contrôleur, plus d'options
    3. vous pouvez injecter ce sécurisé instance dans n'importe quel autre objet, il conservera la protection
    4. envelopper & de l'oublier .. vous pouvez semblant qu'il est l'objet d'origine, il va réagir de la même

    Mais, il y a un problème majeur avec cette méthode vous ne peut pas nativement de vérifier si l'objet sécurisé met en œuvre et de l'interface ( qui s'applique également pour la recherche d'méthodes existantes ) ou fait partie d'un héritage de la chaîne.

    Deuxième partie/répondre RBAC (pour les objets)

    Dans ce cas, la principale différence est que vous devez reconnaître que vous Objets du Domaine (dans l'exemple: Profile) lui-même contient des détails sur le propriétaire. Cela signifie, que pour vous de vérifier, si (et à quel niveau) l'utilisateur a accès, il va vous obliger à modifier cette ligne:

    $this->acl->isAllowed( get_class($this->target), $method )

    Essentiellement, vous avez deux options:

    • Fournir les ACL avec l'objet en question. Mais vous devez faire attention de ne pas violer La loi de Déméter:

      $this->acl->isAllowed( get_class($this->target), $method )

    • Demande tous les détails pertinents et de fournir de l'ACL seulement avec ce dont il a besoin, ce qui permettra également de faire un peu plus de tests unitaires de l'environnement:

      $command = array( get_class($this->target), $method );
/* -- snip -- */
$this->acl->isAllowed( $this->target->getPermissions(), $command )

    Quelques vidéos qui pourraient vous aider à venir avec votre propre mise en œuvre:

    Notes

    Vous semblez avoir le bien commun ( et complètement faux ), la compréhension de ce Modèle MVC. Modèle n'est pas une classe. Si vous avez de la classe nommée FooBarModel ou quelque chose qui hérite AbstractModel, alors vous faites fausse route.

    En bon MVC le Modèle est une couche qui contient beaucoup de classes. Grande partie des classes peuvent être séparées en deux groupes , en fonction de la responsabilité:

    - Domaine De La Logique Métier

    (lire plus: ici et ici):

    Instances de ce groupe de classes d'effectuer le calcul de valeurs, de vérifier les diverses conditions, de mettre en œuvre les ventes de règles et de faire tout le reste de ce que vous appelez "logique d'entreprise". Ils n'ont aucune idée de la façon dont les données sont stockées, où il est stocké ou, même si le stockage existe en premier lieu.

    Entreprise du domaine de l'objet ne dépend pas de la base de données. Lorsque vous créez une facture, il n'importe pas où proviennent les données. Il peut être soit à partir de SQL ou à distance à partir d'un API REST, ou encore capture d'écran d'un document MSWord. La logique d'entreprise n'a pas de changement.

    - D'Accès aux données et de Stockage

    Instances issues de ce groupe de classes sont parfois appelés Objets d'Accès aux Données. Généralement les structures qui mettent en œuvre des Mapper Des Données modèle ( ne pas confondre avec l'Orm de même nom .. aucun rapport ). C'est là que vos instructions SQL serait (ou peut-être votre DomDocument, parce que vous le stocker dans le XML).

    À côté de deux grandes parties, il y a un autre groupe de cas/classes, qui mérite d'être mentionné:

    - Services

    C'est là que votre et 3ème partie composantes entrent en jeu. Par exemple, vous pouvez penser à "authentification" en tant que service, qui peut être fourni par votre propre, ou de certains de code externe. Aussi "le courrier de l'expéditeur" serait un service, qui peut tricoter ensemble du domaine de l'objet avec un PHPMailer ou SwiftMailer, ou de votre propre messagerie composant de l'expéditeur.

    Une autre source de services sont abstraction sur sur le domaine et les couches d'accès aux données. Ils sont créés pour simplifier le code utilisé par les contrôleurs. Par exemple: la création d'un nouveau compte d'utilisateur peut nécessiter de travailler avec plusieurs objets du domaine et mappeurs. Mais, par le biais d'un service, il n'aura besoin que d'une ou deux lignes dans le contrôleur.

    Ce que vous devez retenir lors de la prise de services, est que l'ensemble de la couche est censé être mince. Il n'y a pas de logique métier dans les services. Ils ne sont là que de jongler avec des objets de domaine, des composants et des cartographes.

    L'une des choses qu'ils ont tous en commun serait que les services ne sont pas d'incidence sur le point de Vue de la couche de manière directe, et sont autonomes à un point tel qu'ils peuvent être ( et quittez souvent - sont ) utilisé à l'extérieur de la structure MVC lui-même. Tel de auto-entretenue des structures de faire la migration vers un autre cadre/architecture beaucoup plus facile, en raison de très faible couplage entre le service et le reste de l'application.

    • Je viens d'apprendre plus en 5 minutes à une relecture de ce que j'ai dans le mois. Seriez-vous d'accord avec: les contrôleurs de l'expédition de services qui collectent des données d'affichage? Aussi, si vous jamais accepter directement des questions, envoyez-moi un message.
    • Je suis partiellement d'accord. La collecte de données à partir de la vue qui se passe à l'extérieur MVC triade, lors de l'initialisation de Request instance (ou de certains analogique). Le contrôleur ne fait qu'extraire des données à partir de Request instance et passe la plupart de bon services (certains de il va à la vue de trop). Les Services d'effectuer des opérations qui vous a commandé de faire. Puis, quand la vue est la génération de la réponse, il demande des données des services, et basé sur cette information, génère la réponse. Ladite réponse peut être soit HTML effectuées à partir de plusieurs modèles ou tout simplement un emplacement HTTP en-tête. Dépend de l'état défini par le contrôleur.
    • Pour utiliser une explication simplifiée: contrôleur "écrit" de modèle et de vue, de vue "lit" du modèle. Modèle de couche est le passif de la structure en toutes Web liées à des motifs qui ont été inspirés par la MVC.
    • comme pour poser la question directement, vous pouvez toujours moi un message dans twitter. Ou avez-vous été question un peu "long", qui ne peut pas être entassés en 140 caractères ?
    • Lit à partir du modèle: est-ce à dire quelque rôle actif pour le modèle? Je n'ai jamais entendu ça avant. Je peux toujours vous envoyer un lien via twitter, si telle est votre préférence. Comme vous pouvez le voir, ces réponses se transformer en conversations rapidement et j'essayais d'être respectueux de ce site et de vos followers sur twitter.
    • Non , cela signifie que la vue joue un rôle actif. Les vues sont la partie de la demande qui est responsable de la logique de présentation. Ils demandent des données (c'est pourquoi "lire" était entre guillemets) à partir du modèle de la couche par l'intermédiaire de services, et de générer la réponse. Lorsque vous traitez avec web, vous où énéralement va ed jusqu'à 1:1 rapport entre les contrôleurs et les vues.
    • btw , vous pouvez également trouver ce post pertinents à votre recherche.
    • Merci c'était génial. Je suis confus d'environ 1:1 contrôleur:vue. Tu parles d'une catégorie distincte ou tout simplement une méthode distincte? Aussi, j'ai toujours pensé que les contrôleurs appelés à la vue. Contrôleur->Couche Model->Contrôleur->Afficher. Il semble que c'est plus comme: Contrôleur->Couche Model->Afficher. Je me suis toujours demandé pourquoi les gens parlent mince contrôleurs. Peut-être que c'est pourquoi qui me confond.
    • Les vues sont des classes, qui sont responsables de la logique de présentation, et chaque vue jongle avec plusieurs modèles. Contrôleur ne fait pas appel de la vue actuelle. Il change seulement de vue de l'état.
    • laissez-nous continuer cette discussion dans le chat
    • Hm, bon peu, @tereško, mais la lecture de ce que je soupçonne ce code juste après la Déméter devrait être $this->acl->isAllowed( $this->target, $method ), pas $this->acl->isAllowed( get_class($this->target), $method ), vrai?
    • Je ne pense pas que ce soit le cas contreviendrait à LoD par lui-même. La raison pour laquelle get_class() y est appelé est parce que le passage d'un objet à isAllowed() serait inutilement compliquer (en particulier lors de l'écriture de tests). Il n'a pas de besoin l'instance, juste le nom de la classe string. MAIS, car il y a de la mise en œuvre montré pour ACL et __call est qu'un simple exemple, vous êtes libre d'écrire vous même la mise en œuvre. Il suffit de garder à l'esprit une chose: $this->target devrait pas être conscient de ce qu'il est autorisé à le faire. Vous ne devrait pas de le passer juste pour plus tard, extrait de certaines autorisations.
    • est pas logique d'entreprise dans les services. Ils ne sont là que de jongler avec des objets de domaine, des composants et des cartographes." N'est-ce pas jongler avec toujours la logique d'affaires?
    • oui. Quels sont les services est appelée "la logique de l'application", selon beaucoup de gens intelligents alors moi :] .. en gros, le modèle de la couche contient trois aspects principaux: la logique de l'application, le domaine de la logique et de données logique.
    • vos éclaircissements aide vraiment. Vous souvenez-vous et bon livre où ce concept est expliqué comme vous le présenter?
    • la plupart de ceci vient de Martin Fowler. Je le recommande pour vous de commencer avec la lecture de "Modèles d'Architecture Enterprise Application".
    • vous pouvez instancier des objets du domaine dans les services? comment avez-vous test de l'unité de service?
    • Techniquement, vous pouvez. Mais la meilleure façon est de passer d'une usine pour l'instanciation des objets de domaine à un service comme une dépendance. Permet de tester plus facilement, un couplage lâche et plus simple quand il s'agit de la modification. Par exemple, si vous utilisez l'usine pour des objets du domaine, à un certain moment, vous pouvez commencer à vous enveloppant chaque domaine d'objet dans une variation sur cette SecureContainer décrite ci-dessus. Ou utiliser les structure similaire pour la connexion.
    • donc tous les objets de domaine doit être créé par les usines? L'usine un bon nom pour un objet qui vient de crée un autre objet(j'entends par là que l'usine est également un motif de conception)
    • Oui, c'est un modèle, c'est pourquoi je l'appelle de cette façon.
    • Depuis les contrôleurs et les vues ont généralement une relation 1:1, souhaitez-vous ajouter le même décorateur de votre point de vue lors de la création d'eux? Je suppose que je suis un peu perdu, comment vous permettez à l'utilisateur de savoir qu'ils n'ont pas accès à quelque chose avec cette mise en œuvre.
    • Pour être honnête, je ne suis pas entièrement sûr (j'ai écrit ce truc il y a 3 ans) pourquoi j'ai un exemple avec un contrôleur de là. Ces jours-ci, je serais l'emballage dans un décorateur à la place. L'exemple d'origine était destiné à recevoir et AccessDenied exception et modifier la valeur, qui est utilisé comme nom de classe pour l'initialisation de la classes de points de vue et le contrôleur et/ou de modifier la valeur qui est utiliser pour l'appel de la méthode (en gros, un pseudo-redirection).
    • Ce que vous devez retenir lors de la prise de services, est que l'ensemble de la couche est censé être mince. Il n'y a pas de logique métier dans les services. Ils ne sont là que de jongler avec des objets de domaine, des composants et des cartographes. j'aime cette

    InformationsquelleAutor tereško
  2. 16

    ACL et les Contrôleurs de

    Tout d'abord: ce sont des choses différentes /couches le plus souvent. Comme vous le critiquer les exemplaires code du contrôleur, il met les deux ensemble - le plus évidemment trop serré.

    tereško déjà décrites une manière dont on pourrait dissocier ce plus avec le décorateur modèle.

    Je ferais un pas en arrière, d'abord à chercher l'origine du problème auquel vous êtes confronté et d'en discuter un peu, puis.

    D'une part, vous voulez avoir les contrôleurs de juste faire le travail qu'ils commandé (commande ou action, appelons ça de la commande).

    D'autre part, vous voulez être en mesure de mettre des ACL dans votre application. Le domaine de travail de ces listes doit être - si j'ai bien compris votre question de droit de contrôler l'accès à certaines commandes de vos applications.

    Ce type de contrôle d'accès a donc besoin de quelque chose d'autre qui rapproche ces deux ensemble. Basé sur le contexte dans lequel une commande est exécutée dans, ACL de coups de pied dans les décisions doivent être fait si ou non d'une commande peut être exécutée par un sujet particulier (par exemple l'utilisateur).

    Résumons à ce point ce que nous avons:

    • Commande
    • ACL
    • Utilisateur

    Le composant ACL est ici une place centrale: Il doit au moins savoir quelque chose au sujet de la commande (pour identifier la commande pour être précis) et il doit être en mesure d'identifier l'utilisateur. Les utilisateurs sont normalement facilement identifié par un ID unique. Mais souvent dans les applications il y a des utilisateurs qui ne sont pas identifiés, souvent appelé invité, anonyme, tout le monde etc.. Pour cet exemple, nous supposons que l'ACL peut consommer un objet utilisateur et encapsuler ces détails loin. L'utilisateur de l'objet est lié à la demande d'application de l'objet et de l'ACL peut consommer.

    Ce sujet de l'identification d'une commande? Votre interprétation du modèle MVC suggère qu'une commande est composé d'un nom de classe et un nom de méthode. Si nous regardons de plus près il y a même des arguments (paramètres) pour une commande. Donc c'est valable pour demander ce qu'est exactement identifie une commande? Le nom de la classe, le methodname, le numéro ou le nom des arguments, même les données à l'intérieur des arguments ou un mélange de tout cela?

    Selon le niveau de détail dont vous avez besoin pour identifier une commande dans votre ACL pratiquent, cela peut varier beaucoup. Pour l'exemple, nous allons le garder simplement et de préciser qu'une commande est identifiée par le nom de la classe et le nom de la méthode.

    De sorte que le contexte de la façon dont ces trois parties (ACL, de Commande et de l'Utilisateur) appartiennent les uns aux autres est maintenant plus clair.

    On pourrait dire, avec un imaginaire ACL compontent on peut déjà faire le suivant:

    $acl->commandAllowedForUser($command, $user);

    Viens de voir qu'est-ce que happeninig ici: En faisant à la fois le commandement et l'utilisateur identifiable, de l'ACL peut faire, c'est le travail. Le travail de l'ACL est sans rapport avec le travail de l'utilisateur de l'objet et le béton de commande.

    Il y a une seule chose qui manque, ce ne peut pas vivre dans l'air. Et il ne le fait pas. Si vous avez besoin de localiser l'endroit où le contrôle d'accès doit coup de pied dans. Jetons un coup d'oeil ce qui se passe dans une norme webapplication:

    User -> Browser -> Request (HTTP)
   -> Request (Command) -> Action (Command) -> Response (Command) 
   -> Response(HTTP) -> Browser -> User

    De localiser l'endroit, nous savons que cela doit être avant que la commande est exécutée, de sorte que nous pouvons réduire la liste, puis seulement besoin de regarder dans la suite (potentiel) lieux:

    User -> Browser -> Request (HTTP)
   -> Request (Command)

    À un certain moment dans votre application, vous savez qu'un utilisateur a demandé de réaliser un béton de commande. Vous faites déjà une sorte d'ACL avec ici: Si un utilisateur demande une commande qui n'existe pas, vous ne laissez pas que la commande à exécuter. Alors, où jamais qui se passe dans votre application pourrait être un bon endroit pour ajouter le "réel" ACL vérifie:

    La commande a été localisé et que nous pouvons créer l'identification de celui-ci afin de l'ACL peut traiter avec elle. Dans le cas où la commande n'est pas autorisé pour un utilisateur, la commande ne sera pas exécutée (action). Peut-être un CommandNotAllowedResponse au lieu de la CommandNotFoundResponse pour le cas d'une demande n'a pas pu être résolu sur un béton de commande.

    L'endroit où la cartographie d'un béton HTTPRequest est mappée sur une commande est souvent appelé de Routage. Comme le de Routage a déjà le travail pour repérer une commande, pourquoi ne pas l'étendre à vérifier si la commande est effectivement autorisé par l'ACL? E. g. par l'extension de la Router à une ACL conscient routeur: RouterACL. Si votre routeur ne connaît pas encore le User, puis le Router n'est pas le bon endroit, parce que pour l'ACL qui pratiquent non seulement la commande, mais aussi l'utilisateur doit être identifié. Si ce lieu peut varier, mais je suis sûr que vous pouvez facilement localiser l'endroit où vous devez étendre, parce que c'est l'endroit capable de réaliser l'utilisateur et la commande exigence:

    User -> Browser -> Request (HTTP)
   -> Request (Command)

    De l'utilisateur est disponible depuis le début, d'abord la Commande avec Request(Command).

    Donc au lieu de mettre votre ACL contrôles à l'intérieur de chaque de la commande à la mise en œuvre concrète, vous le placez devant elle. Vous n'avez pas besoin de lourdes modèles, de la magie, ou que ce soit, l'ACL-t-il son travail, l'utilisateur t-il son travail et surtout de la commande-t-il son emploi: il suffit de la commande, rien d'autre. La commande n'a aucun intérêt à savoir si ou de ne pas les rôles s'appliquer à elle, si c'est gardée quelque part ou pas.

    Il suffit donc de garder les choses en dehors qui n'appartiennent pas les uns aux autres. Un peu de reformulation de la Principe de Responsabilité Unique (SRP): Il devrait y avoir qu'une seule raison de changer une commande parce que la commande a changé. Non pas parce que vous présentez ACL pratiquent dans votre application. Non pas parce que vous passez l'Utilisateur de l'objet. Non pas parce que vous migrez à partir d'une adresse HTTP/HTML interface à un SAVON ou une interface de ligne de commande.

    L'ACL dans votre cas, les contrôles de l'accès à une commande, pas la commande elle-même.

    • Deux questions: CommandNotFoundResponse & CommandNotAllowedResponse: pourriez-vous donner à partir de la classe ACL du Routeur ou du Contrôleur et attendre une réponse universelle? 2: Si vous vouliez inclure méthode + attributs, comment voulez-vous gérer cela?
    • 1: la Réponse est la réponse, ici, il n'est pas de l'ACL, mais à partir du routeur, ACL permet au routeur de trouver le type de réponse (pas trouvé, en particulier: interdit). 2: ça Dépend. Si vous voulez dire des attributs en tant que paramètres à partir de mesures, et vous avez besoin d'ACL communique avec les paramètres, les mettre sous ACL.
    InformationsquelleAutor hakre
  3. 13

    Est une possibilité pour l'emballage de tous vos contrôleurs dans une autre classe qui étend la classe Contrôleur et il déléguer tous les appels de fonction à la enveloppé exemple, après vérification de l'autorisation.

    Vous pouvez aussi le faire plus en amont, dans le répartiteur (si votre application ne prend en effet en avez un) et recherche les autorisations sur la base de l'Url, à la place de méthodes de contrôle.

    modifier: Si vous avez besoin d'accéder à une base de données, un serveur LDAP, etc. est orthogonal à la question. Mon point est que vous pouvez mettre en œuvre une autorisation fondée sur l'Url au lieu de méthodes de contrôleur. Ces est plus robuste parce que généralement, vous ne serez pas changer votre Url (Url de type zone de l'interface publique), mais vous pourriez tout aussi bien changer les implémentations de vos contrôleurs.

    En général, vous avez un ou plusieurs fichiers de configuration où vous carte des modèles URL spécifique des méthodes d'authentification et d'autorisation des directives. Le répartiteur, avant l'envoi de la demande pour les contrôleurs, détermine si l'utilisateur est autorisé et abandonne l'envoi si il ne l'est pas.

    • Veuillez prendre un coup d'oeil à ma question de mise à jour - le "Deuxième question"
    • S'il vous plaît, pourriez-vous mettre à jour votre réponse et ajouter plus de détails à propos de Répartiteur. J'ai répartiteur - il détecte ce qui méthode du contrôleur que je devrais l'appeler par URL. Mais je ne comprends pas comment puis-je obtenir de rôle (j'ai besoin d'accéder DB à le faire) dans le Répartiteur. L'espoir de vous entendre bientôt.
    • J'ai édité.
    • Aha, vous avez votre idée. Je devrais décider de permettre l'exécution ou non sans avoir à accéder à la méthode! Thumbs up! La dernière question non résolue - comment le modèle d'accès à partir de l'Acl. Des idées?
    • J'ai les mêmes problèmes avec les Contrôleurs. Il semble que les dépendances ont à être là quelque part. Même si l'ACL n'est pas le cas, quel est le modèle de couche? Comment pouvez-vous empêcher d'être une dépendance?
    InformationsquelleAutor Artefacto