メインコンテンツに移動

メインナビゲーション

  • ホーム
  • サイトマップ
  • ビデオ
  • ご連絡

パンくず

  • ホーム
  • Drupalのモジュール(Rules)がエンティティ(Entity)へのアクセス権限の問題点および対応策

Drupalのモジュール(Rules)がエンティティ(Entity)へのアクセス権限の問題点および対応策

drupal
entity type
rules

Drupalのモジュール(EntityAPI)がモジュール(Rules、Viewsなど)に統合機能を提供していますが、各モジュール間の統一性が欠けています

  • 背景:Drupal7.56、EntityAPI7.x-1.8、Rules7.x-2.10
  • モジュール(EntityAPI)がほかのメジャーモジュール(Rules、Viewsなど)に統合機能を提供して、EntityAPIがよく利用されるようになります
  • ただし、各モジュール間の連携に統一性が欠けていることを気が付きました
    • 開発メンバーが違うので、開発ドキュメントが不備の場合、いろいろな誤解が生じるでしょう

例:エンティティ(Entity)へのアクセス権限管理にモジュール(Rules)が独自の権限("save")を生み出している

  • エンティティのアクセス権限チェック関数:entity_access($op, $entity_type, $entity = NULL, $account = NULL) (本家のentity_accessについての説明をご参考)
    • 引数$opは四つの権限:'view', 'update', 'create' or 'delete' (hook_entity_infoのパラメーター"access callback"を実装時にこの四つの権限を定義すればよいはずです)
  • モジュール(Rules)がエンティティアクセスチェック時に、"save"権限を生み出しています
    • rules/modules/entity_rules.incの313行あたモジュール(Rules)がエンティティに”save”権限を追加
    • 元々、モジュール(Rules)の"entity_save"は、「エンティティデータの保存」アクションです
    • ここで、"entity_save"を"save"に変換して、エンティティの"access callback"にパラメーターとして渡し、権限チェックをします
    • エンティティが定義している"access callback"に"save"権限を定義してなければ、権限がないと判断されます

対応方法1:モジュール(Rules)側でエンティティへのアクセス権限を再定義する

  • この例を限っては、モジュール(Rules)側で、エンティティへのアクセス権限の再定義します
    • Rulesの設定で「権限チェック省略」オプションがあるので、権限チェックを行わないことができます
    • Rulesの権限管理で各タイプのユーザーに権限を付与することもできます
      モジュール(Rules)でエンティティへのアクセス権限をユーザーに付与する設定

対応方法2:エンティティ側の"access callback"に"save"権限チェックを追加

  • hook_entity_info()の"access callback"の実装に、"save"権限を追加します("update"権限と同じはず)
    /**
     * Access callback for endity
     */
    function vocabulary_access($op, $entity, $account = NULL, $entity_type = NULL) {
        global $user;
    
        if (!isset($account)) {
            $account = $user;
        }
        switch ($op) {
            case 'create':
                return user_access('administer vocabulary', $account)
                || user_access('create vocabulary', $account);
            case 'view':
                return user_access('administer vocabulary', $account)
                || user_access('view vocabulary', $account);
            case 'edit':
            case 'save':    // save permission created by  entity_rule.inc
                return user_access('administer vocabulary')
                || user_access('edit any vocabulary')
                || (user_access('edit my own vocabulary') && ($entity->uid == $account->uid));
            case 'delete':
                return user_access('administer vocabulary')
                || user_access('delete any vocabulary')
                || (user_access('edit my own vocabulary') && ($entity->uid == $account->uid));
        }
    }
  • サードパーティーのモジュールでは、ソースコードの変更はしないほうがよいでしょう。対応方法1をお勧めします
drupal
entity type

hook_menu()でページアクセス権限設定("access callback")がない場合に「"access callback" => "user_access"」を自動に追加

  • hook_menu()がよく使用されると思います
  • URLへのアクセス権限管理例:Drupalのhook_menuでのユーザーロール別アクセス権限管理
  • もし、アクセス権限管理設定の”access callback”がなければ、menuシステムが実行時に「"access callback" => "user_access"」を自動的に追加します(この場合に”access arguments”が必要)
    menuシステムが「access callback」が定義されない場合に「user access」を自動的に呼び出す

hook_entity_info()を実装してエンティティ(Entity)へのアクセス管理はメニューシステムと同じ「"access callback"、"access arguments"」で行います

  • hook_entity_info()を実装して、エンティティ(Entity)へのアクセス管理はhook_menu()と同じように定義します
    /**
     * Implements hook_entity_info().
     */
    function drills_ch_vocabulary_entity_info()
    {
        return array(
            'my_vocabulary' => array(
                'label' => t('My Vocabulary'),
                'entity class' => 'MyVocabularyEntity',
                'controller class' => 'MyVocabulryController',
                'base table' => 'my_vocabulary',
                'fieldable' => TRUE,
                'entity keys' => array(
                    'id' => 'entity_id',
                    'label' => 'vocabulary',
                ),
                'bundles' => array(
                    'my_vocabulary' => array(
                        'label'=>'My Vocabulary',
                        'admin' => array(
                            'path' => 'admin/structure/my-vocabulary/manage',
                            'access arguments' => array('administer my vocabulary'),
                            'controller class' => 'EntityDefaultUIController',
                        ),
                    ),
                ),
                'view modes' => array(
                    'full' => array(
                        'label' => t('Default'),
                        'custom settings' => FALSE,
                    ),
                ),
                'module' => 'my_vocabulary',
                'access callback' => 'my_vocabulary_access',
            ),
        );
    }

エンティティ(Entity)へのアクセス権限チェックentity_access()関数が利用された場合は"access callback"の定義が必要です

  • EntityAPIの関数:entity_access()でユーザーのアクセス権限チェックに使用しているところが多いと思います
  • 実際に関数entity_access()のロジックは"access callback"設定のみしかチェックしていないです
    // entity/entity.module の659行あたり
    function entity_access($op, $entity_type, $entity = NULL, $account = NULL) {
      if (($info = entity_get_info()) && isset($info[$entity_type]['access callback'])) {
        return $info[$entity_type]['access callback']($op, $entity, $account, $entity_type);
      }
    }
    
  • hook_entity_info()で"access callback"が定義されていなければ、ここでのチェックが行わないことになります
  • 実際にモジュール(Views Bulk Operation)がエンティティのアクセス権限をチェックする際にentith_access()を使用しています
    • 自分が"access callback"をhook_entity_info()に定義していなくて、VBOの一括処理のチェックボックスが表示されなかったです(アクセス権限チェックが通れかなったせい)
      hook_entity_info()で"access callback"を定義しなければVBOの一括処理チェックボックスが表示表示されない
ホーム

古松

検索

Article Category

  • apache(7)
  • css(19)
  • drupal(295)
  • Electron(4)
  • html(34)
  • javascript(27)
  • laravel(4)
  • linux(5)
  • macOS(2)
  • mysql(13)
  • php(19)
  • python(4)
  • SEO(12)
  • video(72)
  • Visual Studio Code(4)
  • windows(13)
  • wordpress(32)