Dzisiaj zaproponuje Wam ciekawy (moim zdaniem oczywiście) sposób na implementację kontroli praw po stronie widoku. Przyznam się szczerze, iż nie wykorzystałem go jeszcze w żadnym projekcie, ale jestem ciekawy co o nim sądzicie.

Załóżmy, że tworzymy panel administracyjny dla prostego CMS, w którym rozróżniamy następujące grupy użytkowników: administrator (posiada prawa zapisu, edycji, publikacji, usuwania), autor (posiada prawa zapisu i edycji). Realizację kontroli praw dostępu w większości przypadku odbywa się na dwóch płaszczyznach:

• akcja/kontroler - dla każdej wykonywanej akcji sprawdzamy, czy zalogowany użytkownik ma prawo ją wykonać
• widok - ukrywamy akcje do których aktualnie zalogowany użytkownik nie ma dostępu

Pierwsza jest konieczna ze względu na bezpieczeństwo, druga natomiast bardziej ze względu na usability (użytkownik widzi tylko akcje, do których ma prawo) i właśnie na niej skupię swoją uwagę w powyższym artykule.

Teraz pytanie jak w ładny i przejrzysty sposób ukryć to co użytkownik nie powinien widzieć? Od razu krzykniecie… to oczywiste powrzucać “ify”, o na przykład taki (widok jest skryptem php w systemie Zend Framework):

Przy bardziej zaawansowanych prawach skrypt widoku staje się jednak bardzo nieczytelny, za dużo warunków się w nim pojawia. Można by tego uniknąć tworząc dla każdego grupy użytkowników osobny skrypt widoku z tym, że to rozwiązanie kłóciłoby się z ideą DRY (ang. Don’t repeat yourself) i raczej nie jest praktykowane (całe szczęście).

Wpadłem jednak na dość nietypowe rozwiązanie, które może się okazać pomocne. Mianowicie domyślnie wszystkie akcje, które wymagają specjalnych praw są ukryte (np. za pomocą styli “display: none”). W zależności od prawa jakie użytkownik posiada ładujemy odpowiedni skrypt JavaScript. Skrypt ten odkrywa odpowiednie akcje - tylko te do których użytkownik ma rzeczywiście prawo. W tym przypadku skrypt widoku wyglądałby tak:

Natomiast skrypt JavaScript (jQuery) mniej więcej tak:

Dużym minusem tego rozwiązania wydaje się być umieszczenie w kodzie HTML linków do akcji, do których użytkownik nie ma prawa. Powiecie “przecież może sobie podejrzeć kod HTML i wykonać akcje bezpośrednio” i niby macie racje. Ale co z tego, że widzi linki? Ich uruchomienie i tak nie spowoduje wykonanie akcji, ze względu na kontrole praw w akcji/kontrolerze. Z drugiej strony nawet, gdy linki nie są widoczne to użytkownik może je łatwo odgadnąć na podstawie pozostałych linków - czyli jeżeli widzi link do edycji “/page/edit/12/ to nie trudno się domyślić, iż link do usuwania tejże pozycji będzie wyglądał mniej więcej tak “/page/delete/12/” lub “/page/remove/12″.
Prawdziwym minusem może się jednak okazać konieczność wspierania JavaScript przez przeglądarkę użytkownika, w związku z czym obecność JavaScriptu byłaby obowiązkowa. Spójrzmy jednak prawdzie w oczy - który panel administracyjny aktualnie opracowywany nie ma JavaScriptu?

Więc co jest minusem takiego rozwiązania? Oprócz oczywiście niekonwencjonalnego rozwiązania problemu? No właśnie nie widzę.. a Wy?

Update: podobny bajer można zrobić teoretycznie z plikami CSS zamiast skryptów JavaScript, z tym że w tym przypadku mamy mniejsze możliwości oraz zdaje się być jeszcze bardziej niekonwencjonalnym rozwiązaniem