Поддержка групп пользователей

В системе отсутствуют возможности создания Групп пользователей для разграничения полномочий. Это очень неудобно в работе, когда есть потребность в таком разграничении. При желании изменить полномочия на группу страниц (необязательно кластер) приходится все в ручную править. То же самое при появлении нового пользователя с некоторым набором полномочий.

Эту задачку можно очень просто решить.
Достаточно ввести в ACL еще один тип пользователя (в дополнение к * и $),
это ссылка на конкретную страницу. Она означает «Взять права доступа со страницы».

Примеры:

Чтение: @Yuri Makarov? – разрешить читать пользователям читающим Yuri Makarov?.
Редакт: @ACL/Редакторы – редактируют только из списка редакторов.
Чтение: @Yuri Makarov / My Club / Members? – чтение только членам моего клуба.
Чтение: @Project 1 / Members? – чтение только учасникам проекта Project 1?.
Чтение: !@Black List? – запрет на чтение пользователям внесенным на страницу Black List?.

Достоинства этого метода

Простота реализации – подправить код только в месте проверки полномочий (сделать сборку полномочий рекурсивной, это наверное несколько строчек добавить). Все остальное – заведение/редактирование списков доступа (групп пользователей), описание списков доступа, ограничения доступа к ним и их редактированию – все это делается уже имеющимися стандартными средствами.
Возможность создания произвольных групп доступа в любое время через веб-интерфейс.
Возможность создания групп доступа любым пользователем системы (для своих нужд к примеру).
Возможность маскировки групп доступа. Если не дать кому-то прав на чтение страницы с описанием группы доступа, то он может даже не подозревать о ее существовании.
Возможность изменения прав пользователя сразу на большую группу страниц, скажем добавив или убрав пользователя из My Club / Members? я разрешаю/запрещаю ему доступ ко все моим закрытым страницам.
Возможность изменения поступа ко всем страницам кластера (и не только) из одного места, с сохранением возможности индивидуальной настройки доступа к отдельным страницам кластера. Для этого достаточно в поле доступа страницы (к примеру Кластер 1 / Стр 11?) поставить ссылку на главную страницу кластера (Кластер 1?) или на отдельную страницу с описанием группы доступа к кластеру (Кластер 1 / Members?)

Тут еще много примеров придумать можно.
Этот метод управления полномочиями исключительно гибкий.

Реализация

В главном wakka.php нужно поправить функцию HasAccess


<?
  function HasAccess($privilege, $tag = "", $user = "", $tested = array())   // (Mak) добавлен параметр $tested
  {
    // see whether user is registered and logged in
   if ($user!="guest@wacko")
   {
    if ($user = $this->GetUser()) $registered = true;
    // set defaults
    if (!$user = $this->GetUserName());
   }
   if (!$tag = trim($tag)) $tag = $this->GetPageTag();
   if (in_array ($tag, $tested)) return false;   // (Mak) Тест на зацикливание ссылок

   // load acl
   $acl = $this->LoadAcl($tag, $privilege);
   $acl['list'] = $this->ReplaceAliases($acl['list']);
   $this->_acl = $acl;

    // if current user is owner, return true. owner can do anything!
   if ($user!="guest@wacko") if ($this->UserIsOwner($tag)) return true;
    // fine fine... now go through acl
    foreach (explode("\n", $acl["list"]) as $line)
    {
      $line = trim($line);

      // check for inversion character "!"
      if (preg_match("/^[!](.*)$/", $line, $matches))
      {
        $negate = 1;
        $line = $matches[1];
      }
      else
      {
        $negate = 0;
      }

      // if there's still anything left... lines with just a "!" don't count!
      if ($line)
      {
        switch ($line[0])
        {
        // comments
        case "#":
          break;
        // everyone
        case "*":
          return !$negate;
        // only registered users
        case "$":
        case "§":
          return ($registered) ? !$negate : false; // <- unregistered always False (Mak)
        // (Mak) Приверка группы доступа
        case "@":
          $tested[] = $tag;
          $groupe_access = $this->HasAccess($privilege, substr($line,1), $user, $tested);
          return ($groupe_access) ? !$negate : $negate;
        // aha! a user entry.
        default:
          if ($line == $user)
          {
            return !$negate;
          }
        }
      }
    }

    // tough luck.
    return false;
  }

В функцию добавлен еще один параметр $tested = array() для контроля зацикливания ссылок.
При рекурсивном вызове HasAccess в этот параметр добавляется tag текущей проверяемой страницы.
В начале функции проверяется наличие tag в уже протестированных страницах и если она там есть, возвращается False.
if (in_array ($tag, $tested)) return false;
В цикле анализа элементов списка доступа добавлена обработка варианта @Page.

Особенности списков доступа

Варианты * $ @ и их отрицания могут быть в списке доступа только в одном экземпляре и только в конце списка. Все что находится после них игнорируется.
- Возможно было бы полезно именть несколько @Page в одном списке доступа?
В настоящее время отрицание не работает.

Тестирование

Работа этой фичи была проверена только для варианта @Page
Вариант !@Page не работает из-за бага в системе
Вариант @Page/Subpage не работает из-за некорректной отработки (где-то в системе) слэша. Найти и исправить пока не смог. Возможно разработчики подскажут/поправят.

WackoWiki: YuriMakarov/ПраваДоступа/Группы ...

Поддержка групп пользователей