Drupalのモジュール(Rules)がエンティティ(Entity)へのアクセス権限の問題点および対応策

drupal
entity type
rules

Drupalのモジュール(EntityAPI)がモジュール(Rules、Viewsなど)に統合機能を提供していますが、各モジュール間の統一性が欠けています

  • 背景:Drupal7.56、EntityAPI7.x-1.8、Rules7.x-2.10
  • モジュール(EntityAPI)がほかのメジャーモジュール(Rules、Viewsなど)に統合機能を提供して、EntityAPIがよく利用されるようになります
  • ただし、各モジュール間の連携に統一性が欠けていることを気が付きました
    • 開発メンバーが違うので、開発ドキュメントが不備の場合、いろいろな誤解が生じるでしょう

例:エンティティ(Entity)へのアクセス権限管理にモジュール(Rules)が独自の権限("save")を生み出している

  • エンティティのアクセス権限チェック関数:entity_access($op, $entity_type, $entity = NULL, $account = NULL) (本家のentity_accessについての説明をご参考)
    • 引数$opは四つの権限:'view', 'update', 'create' or 'delete' (hook_entity_infoのパラメーター"access callback"を実装時にこの四つの権限を定義すればよいはずです)
  • モジュール(Rules)がエンティティアクセスチェック時に、"save"権限を生み出しています
    • rules/modules/entity_rules.incの313行あたモジュール(Rules)がエンティティに”save”権限を追加
    • 元々、モジュール(Rules)の"entity_save"は、「エンティティデータの保存」アクションです
    • ここで、"entity_save"を"save"に変換して、エンティティの"access callback"にパラメーターとして渡し、権限チェックをします
    • エンティティが定義している"access callback"に"save"権限を定義してなければ、権限がないと判断されます

対応方法1:モジュール(Rules)側でエンティティへのアクセス権限を再定義する

  • この例を限っては、モジュール(Rules)側で、エンティティへのアクセス権限の再定義します
    • Rulesの設定で「権限チェック省略」オプションがあるので、権限チェックを行わないことができます
    • Rulesの権限管理で各タイプのユーザーに権限を付与することもできます
      モジュール(Rules)でエンティティへのアクセス権限をユーザーに付与する設定

対応方法2:エンティティ側の"access callback"に"save"権限チェックを追加

  • hook_entity_info()の"access callback"の実装に、"save"権限を追加します("update"権限と同じはず) 
    /**
 * Access callback for endity
 */
function vocabulary_access($op, $entity, $account = NULL, $entity_type = NULL) {
    global $user;

    if (!isset($account)) {
        $account = $user;
    }
    switch ($op) {
        case 'create':
            return user_access('administer vocabulary', $account)
            || user_access('create vocabulary', $account);
        case 'view':
            return user_access('administer vocabulary', $account)
            || user_access('view vocabulary', $account);
        case 'edit':
        case 'save':    // save permission created by  entity_rule.inc
            return user_access('administer vocabulary')
            || user_access('edit any vocabulary')
            || (user_access('edit my own vocabulary') && ($entity->uid == $account->uid));
        case 'delete':
            return user_access('administer vocabulary')
            || user_access('delete any vocabulary')
            || (user_access('edit my own vocabulary') && ($entity->uid == $account->uid));
    }
}
  • サードパーティーのモジュールでは、ソースコードの変更はしないほうがよいでしょう。対応方法1をお勧めします
drupal
entity type

hook_menu()でページアクセス権限設定("access callback")がない場合に「"access callback" => "user_access"」を自動に追加

  • hook_menu()がよく使用されると思います
  • URLへのアクセス権限管理例:Drupalのhook_menuでのユーザーロール別アクセス権限管理
  • もし、アクセス権限管理設定の”access callback”がなければ、menuシステムが実行時に「"access callback" => "user_access"」を自動的に追加します(この場合に”access arguments”が必要)
    menuシステムが「access callback」が定義されない場合に「user access」を自動的に呼び出す

hook_entity_info()を実装してエンティティ(Entity)へのアクセス管理はメニューシステムと同じ「"access callback"、"access arguments"」で行います

  • hook_entity_info()を実装して、エンティティ(Entity)へのアクセス管理はhook_menu()と同じように定義します 
    /**
 * Implements hook_entity_info().
 */
function drills_ch_vocabulary_entity_info()
{
    return array(
        'my_vocabulary' => array(
            'label' => t('My Vocabulary'),
            'entity class' => 'MyVocabularyEntity',
            'controller class' => 'MyVocabulryController',
            'base table' => 'my_vocabulary',
            'fieldable' => TRUE,
            'entity keys' => array(
                'id' => 'entity_id',
                'label' => 'vocabulary',
            ),
            'bundles' => array(
                'my_vocabulary' => array(
                    'label'=>'My Vocabulary',
                    'admin' => array(
                        'path' => 'admin/structure/my-vocabulary/manage',
                        'access arguments' => array('administer my vocabulary'),
                        'controller class' => 'EntityDefaultUIController',
                    ),
                ),
            ),
            'view modes' => array(
                'full' => array(
                    'label' => t('Default'),
                    'custom settings' => FALSE,
                ),
            ),
            'module' => 'my_vocabulary',
            'access callback' => 'my_vocabulary_access',
        ),
    );
}

エンティティ(Entity)へのアクセス権限チェックentity_access()関数が利用された場合は"access callback"の定義が必要です

  • EntityAPIの関数:entity_access()でユーザーのアクセス権限チェックに使用しているところが多いと思います
  • 実際に関数entity_access()のロジックは"access callback"設定のみしかチェックしていないです 
    // entity/entity.module の659行あたり
function entity_access($op, $entity_type, $entity = NULL, $account = NULL) {
  if (($info = entity_get_info()) && isset($info[$entity_type]['access callback'])) {
    return $info[$entity_type]['access callback']($op, $entity, $account, $entity_type);
  }
}
  • hook_entity_info()で"access callback"が定義されていなければ、ここでのチェックが行わないことになります
  • 実際にモジュール(Views Bulk Operation)がエンティティのアクセス権限をチェックする際にentith_access()を使用しています
    • 自分が"access callback"をhook_entity_info()に定義していなくて、VBOの一括処理のチェックボックスが表示されなかったです(アクセス権限チェックが通れかなったせい)
      hook_entity_info()で"access callback"を定義しなければVBOの一括処理チェックボックスが表示表示されない