Überlegungen zu einer Userrechte-Verwaltung...

[seb]

Nabend

Wie ich schon vor einiger Zeit in einem (bis heute replylosen ) Beitrag erzählt hatte, bastel ich zur Zeit an meinem ganz persönlichen einfachen CMS/ 'Web Application Framework' (beeindruckender Ausdruck, was?).

Beliebig viele unterschiedliche Anwendungen wie GB/News/Forum blabla sollen sich eine gemeinsame Datenbank sowie möglichst viel Funktions- und Klassencode teilen...so weit, so gut - funktionieren tuts.

Nun brauch ich dafür einen Part, der die Benutzerrechte für jede Anwendung des Systems einzeln verwaltet.
Das Speichern aller Rechte in einer starren Tabellenstruktur ist keine Lösung, da das System ja modular ist und somit Komponenten weggelassen bzw. neue hinzugefügt werden können, für die ja jedem Benutzer neue Zugriffs- und Ausführungsrechte erteilt werden müssen.

Ausgedacht hab ich mir dafür folgendes, eigentlich ganz simples Konzept und würd von euch gern wissen, was ihr davon haltet :

- Die Benutzerdaten ausgenommen der Rechte werden in einer Tabelle abgelegt, d.h. für sämtliche Anwendungen wird nur ein Account benötigt

- Die Rechte werden separat in einer anderen Tabelle gespeichert, die aus drei Spalten besteht: User-ID, Modul-ID und Rechte.

User-ID enthält (wie unschwer zu erraten) die ID des Benutzers, für den die jeweilige Rechtevergabe des Datensatzes gelten soll.

Modul-ID speichert die ID der jeweiligen Anwendung (z.b. Forum oder Systemverwaltung), auf die die jeweiligen Rechteinformationen bezogen sind.

Rechte enthält schließlich die Rechtedaten, binär codiert als Integer und bei Notwendigkeit zusätzliche Angaben, falls für bestimmte Fälle nicht nur Ja/Nein, sondern Zahlen oder andere Datentypen erforderlich sind. Speichern könnte man das ganze einfach als CSV oder serialisiertes Array.

Damit h#tte man eine einfach erweiterbare Methode, zu speichern wer was in welcher Teilanwendung des Systems darf und was nicht....oder?

Falls jemand Verbesserungsvorschläge oder auch einen komplett anderen, brauchbareren Ansatz hat - nix wie her damt

[Sebi]

hört sich eigentlich so an als ob du die normalformen einfach eingehalten hast soweit ich das nachvollziehen konnte hört es sich gut an

[seb]

Was meinst du mit Normalformen?

[mike]

Zitat:

Was meinst du mit Normalformen?

der war gut...


im ernst, ich bastle gerad am ähnlichen und mein rechtesystem läuft bereits ganz schnuckelig.
rechte für view, create, edit, delete und admin.
auf modulebene werden dann pro gruppe die rechte entsprechend eingeteilt (nichts, eigene,alle)
tabelle schaut aus: gruppenid, modulid, view, create, edit, delete und admin.
werte sind integer.
die werden beim login in ein assoziatives array geladen (rechte) und in der session abgelegt.
in der app ist es dann ganz einfach abzuchecken ob jemand z.b. reinschauen darf -> if(rechte[view]) und auch noch gut lesbar.

vielleicht war da der eine oder ander punkt dabei, der dir hilft.

lf

p.s.
normalform ist die beschreibung der relationen der tabellen untereinander.
die gibts von der 1., 2. 3. (die gebräuchlichste) 4. und der boyd-scott normalform (hoffe richtig geschrieben)
hat also was mit db-design zu tun. gugstu

[mike]

nochwas:

Seb & Sebi... seid ihr verwandt?

[seb]

Hm...hört sich in der Tat ähnlich an...ansich is mein Vorhaben ja auch nicht irgendwie ungewöhnlich - was für mich halt neu ist, is die Vergabe der Rechte für jedes Modul einzeln, sowas hab ich vorher noch nicht gemacht.

Zwei Fragen zu deinem:

erste)
Wieso legst du für jede Erlaubnis eine feste Spalte an, anstelle eine einzige zu verwenden...wäre doch flexibler, oder steckt ein bestimmter Grund dahinter?

und zweite)
Was genau hat es mit den Gruppen auf sich? Mir is bekannt, dass jede vernünftige Rechteverwaltung Gruppen unterstützt, allerdings hab ich kein Plan, wie das praktisch aussieht bzw. welchen Sinn es hat. Dienen die dazu, 'Standard'-Benutzer zusammenzufassen, um ihre einheitlichen Rechte bequem für alle geltend ändern zu können?
Wär nett wenn Du mir das Konzept mal näher erklären würdest

Zitat:

p.s.
normalform ist die beschreibung der relationen der tabellen untereinander.
die gibts von der 1., 2. 3. (die gebräuchlichste) 4. und der boyd-scott normalform (hoffe richtig geschrieben)
hat also was mit db-design zu tun. gugstu

Wieder was gelernt

Man sieht - von SQL, Datenbankdesign und allem was in die Richtung geht, hab ich nicht grad viel Ahnung, mehr als einfachste SELECT-Abfragen und n paar Extras wie ORDER oder COUNT hab ich da nicht drauf...sollt ich vielleicht mal ändern

Ansonsten natürlich danke für die bestätigenden Antworten - da es offensichtlich nix auszusetzen gibt, werd ichs wohl so machen.

Zitat:

Seb & Sebi... seid ihr verwandt?

Sind wir nicht alle verwandt? ...frag Darwin

[mike]

Zitat:

Wieso legst du für jede Erlaubnis eine feste Spalte an, anstelle eine einzige zu verwenden...wäre doch flexibler, oder steckt ein bestimmter Grund dahinter?

si. is simpler.
a) ich brauch mir keine extra funktionen zu bauen um die daten zu lesen / speichern
b) es die 3. normalform ist

@gruppen:
ich bau ein 2b2/shop wasweissich was.
da hab ich dann gäste, kunden, reseller, admins und einen su <-/me
rechte auf userebene hab ich nicht, da ich die in diesem fall nicht benötige.
module gibts dann eben solche wie artikel anlegen, bestellungen ansehen, angebote ansehen,...
und als su kann man dann die ganze seiten konfig über die entsprechenden rechte machen.

durch den mechanismus: keine/eigene/alle kann ich ziemlich fein steuern welche gruppe was will.

soll der reseller z.b. alle artikelgruppen sehen, aber nur eigene erstellen/editieren/löschen können so geb ich ihm auf view -> alles, edit->eigene, create->eigene, löschen->eigene,....

die artikel darf der reseller nur seine eigenen sehen = view->eigene,.....

der kunde darf dann alle artikel sehen, editieren keine neuen erstellen und löschen:
view->alle, create->keins, edit->alle, delete->keins.

rechtesteuerung ansich erfolgt eigentlich nur durch das anzeigen von links/buttons oder halt nicht - je nach dem.

mörder war die einführung des su, der alles darf, kann und soll.
im endeffekt hat der aufwand dazu geführt, ein rechteflag auch für admin zu setzen, der simpel 0/1 hat. somit gehen so dinge wie zeige zusätzliche felder an: if($rechte[admin])....

die delux version wäre die, sowohl für gruppen als auch für user die rechte zu vergeben.
- bei der anlage erbt user automatisch die rechte von der gruppe
- user darf nur gleich oder weniger rechte als user haben
- änderung der gruppenrechte ->änderung der user,....

könnte man bis zum exzess treiben...

lf

Zitat:

Sind wir nicht alle verwandt? ...frag Darwin

jööööö noch ein bruder....

[Sebi]

@seb: falls es dich interessiert. hier ist ein guter Link zu Datenbanken allgemeiner, SQL, MySQL und PHP

http://ffm.junetz.de/members/reeg/DSP/main.html

[seb]

Danke, auch wenn mir Longfang den schon in seinem ersten Beitrag gezeigt hat

[Sebi]

ups