[FAQ] Уровни доступа, группы и пользователи (создание Access Levels) - Joomla 2.5: Общие вопросы

Доброго времени суток!

Кто нибудь уже разобрался с новой фишкой Joomla 1.6 - уровни доступа? Вещь несомненно очень нужная, особенно для порталов.
Но есть ли мануал, как это работает и как с этим работать?

Привилегии задаются пользователям или сначала нужна группа? Или и так  так можно?
Как создать эти привилегии? Где найти опцию, в которой для определённой группы (или пользователя) некоторые компоненты будут доступны, некоторые - нет, некоторые разделы и подразделы - доступны для создания в них статей, а другие - нет?

Подробная информация об ACL на английском языке
ACL Tutorial for Joomla 1.6


Подробная информация об ACL на русском языке:
Ниже предлагается перевод цикла статей, после прочтения которых, в вопросах настройки ACL Joomla сможет разобраться даже неискушенный пользователь:

• - обзор концепции ACL - что это такое, различия ACL между версиями Joomla;
• Joomla ACL: Уровни доступа (урок 1-й) - фундаментальный урок, на примере которого можно создать разные группы и разграничить права доступа к содержимому сайта;
• Joomla ACL: улучшение юзабилити и разное оформление страницы авторизации (урок 2-й) - меняем оформление блоков и в зависимости от группы пользователей - улучшаем юзабилити сайта;
• Joomla ACL: настройка панели администратора (урок 3-й)- урок для продвинутых - настраиваем ограничения к элементам панели администратора в зависимости от группы пользователя.

Привет!

Начинаем читать отсюда. Я на Stable не пробовал. Но если у Вас все получится, то обязательно отпишитесь сюда, и если не сложно с мини-мануальчиком

Руководствуясь интуицией... - ничего толкового не вышло ))
Нашёл статью на русском по ACL, вечером надо проштудировать и пробовать.
Статья: http://blacksoftsity.ru/joomla/117-opisanie-acl-dlya-joomla-16.html

Все, кому интересна данная тема - пишите о результатах (на стабильной версии, естественно).

Если на данном этапе я всё правильно понял, то логика такая:
всё запрещено, пока не разрешено, а что бы запретить что-то конкретное, надо это отдельно разрешить, типа:
в глобальных настройках - всё разрешаем.
далее, что бы что-то запретить - запрещаем это уже отдельно (в компоненте или разделе статей и т.д.).

Пример: нам надо запретить создание и редактирование статей в определённой категории.
Для этого создаём группу, например demo group (родительскую я поставил SuperAdministrator) и пользователя (вносим его в группу).

В глобальных конфигурациях для этой группы разрешаем всё (пожалуй только кроме возможности супер администрирования).
А что бы запретить доступ к разделу статей, в этом разделе уже делаем запрет (не путать с менеджером разделов).
В настройках менеджера раздела можно и вовсе запретить доступ к статьям и разделам.

Этот вариант проверен - работает.

Так же проверил запрет доступа к компоненту:

глобально -  доступ к компонентам разрешаем, а в настройках компонента к которому хотим запретить доступ - запрещаем.
Проверено на фока галерее.

Обращайте внимание на наследование. Если стоит наследовать, то более высокая группа наследует права от более низкой.

Уху. В общем-то логика довольно простая и не тяжело разобраться.

Вопрос: Можно ли чтоб пользователь мог редактировать не опубликованные свои статьи, а опубликованные - уже нет.
И почему нет возможности сохранять как черновик?
А когда статья готова, кнопка - отправить на модерацию.
Или она есть, я об этом не знаю?

мдя... наследование либо сакс либо я его непонимаю..
вот как мне к примеру сделать так чтобы статья была видна только не залогененым пользователям

тоесть если паблик то модуль или статья "ПРИвет нуб беги ресистрируйся"
а если человек зарегился то ему этот модуль/статья не показывается

Такого не сделать стандартно, ибо нет отдельной группы для незареганных. Очень жаль, что разработчики такое не предусмотрели, ибо иногда очень удобно, например, показать модуль только гостям.

группа есть,
называется Public
но дело в том что проблема не в группе а в том что есть иерархия...
тоже самое нельза показать модуль только зарегеным а оставить недоступным к примеру для автора
короче бредятина...
что они делали все время я непойму...
что изменилось? из 3 статичестих ты можешь сделать кучу но всеравно они сохраняют иерархию...
что особо ничего не меняет

изменилось. в лучшую сторону, но всё равно недостаточно. Нужно, чтобы была возможность создавать Уровни доступа с точным указанием групп, входящих в неё, без добавления наследуемых. Но вряд ли в 1.6 это будет сделано.

А когда настраиваешь уровни, там есть же типа Inherited. А если его поменть на другое?
Например, есть группа А и доступ AA. Создаем группу B и у неё автоматом появляется доступ AA с типом Inherited. Так вот, может можно просто поменять тип доступа AA у группы B на Denied или Allowed? Правда это будет работать только для Permissions, а вот для Viewing Access нет...

Такого не сделать стандартно, ибо нет отдельной группы для незареганных. Очень жаль, что разработчики такое не предусмотрели, ибо иногда очень удобно, например, показать модуль только гостям.

Админка -> Users -> Options -> Guest User Group...  Создаем новую группу(Например, Guests), вешаем на нее новый уровень доступа(Guests Only), и меняем в настройках пользователей "Guest User Group" с Public на Guest. В настройках нужного модуля ставим Access в "Only Guests". Все,Щасье, модуль видят только гости =)

Надо будет как то составить мануал с примерами по ACL основываясь на проверенных манипуляциях... а то запутаться можно - что и как.

Блин, я уже запутался, у меня вообще беда случилась:
1) Создаю модуль с правами на просмотр "Registered"
2) По каким то причинам, даже Супер админ не видит модуль

.... Как восстановить старые значения прав пользователей и групп ... ? Видимо где то намудрил с правами... )))  

---------------------

Проблема решена:
- Группа "Менеджеры" должна наследоваться от "Зарегистрированные" , а я изменил на "Все" ... поэтому модули и не видно было, которые разрешены группе "Зарегистрированные"...

Модуль видят только гости, Как реализовать?

Создал группу - Guest
Создал уровень доступа - Guests only
В настройках Группа пользователей для Гостей - Guest

В настройках модуля ставлю Доступ -  Guests only и гости этого модуля не видят (я под администратором вижу).

Где я протупил?  




Решил!   

Уровень доступа по умолчанию (в общих настройках сайта)  - Guests only
Группа пользователей для Гостей - Guests
В модуле - Доступ - Guests only

Работает, обычный зарегистрированный пользователь не видит модуль после входа    Админ - видит!

Mihanja80 - по логике все верно сделано. Вполне возможно, что это баг в самой 1.6...

Модуль видят только гости, Как реализовать?

насколько мне известно, так нельзя сделать.
Только путем прописания условия в шаблоне.

Вообще-то должно так делаться как Evilorange выше и описывал. У меня получалось (если ничего не путаю).

гости - это public, все остальное это зарегистрированные пользователи.

гости - это public, все остальное это зарегистрированные пользователи.

А зачем нужна настройка Группа пользовтаелей для Гостей?

А зачем нужна настройка Группа пользовтаелей для Гостей?

так он ее создал просто как левую группу и в нее можно добавить любого зарегистрированного пользователя
так что зачем это уже вопрос к тому кто ее создавал
на иерархию смотрите.

так он ее создал просто как левую группу и в нее можно добавить любого зарегистрированного пользователя
так что зачем это уже вопрос к тому кто ее создавал
на иерархию смотрите.

Блин, теперь уже я запутался. Не вижу изъяна в его иерархии - все группы наследуются от Public. Разве вариант Mihanja80 не идентичен варианту от Evilorange?

Решил!  

Уровень доступа по умолчанию (в общих настройках сайта)  - Guests only
Группа пользователей для Гостей - Guests
В модуле - Доступ - Guests only

Работает, обычный зарегистрированный пользователь не видит модуль после входа   Админ - видит!

ну админ все будет видеть.

В настройках Группа пользователей для Гостей - Guest

я вот эту штуку не заметил, думал  для гостей нельзя группу назначать.
хорошо значит если можно.

Подскажите пожалуйста, что неправильно делаю то?
Хочу ограничить доступ как к просмотру моего компонента вцелом, так и к отдельным элементам(myitem).
Делаю так:
access.xml
По нажатию кнопки в компоненте ставиться sample data items
В #__assets всё гуд.
Ставлю в настройке пермишенов allowed для public, а для группы Guest inherit...
Дебагер показывает allowed, пермишенсы тоже, однако:

Во вьюшке ставлю проверку:
получаю:
Почему может возвращать Null? Ведь должна приходить true...  !

Toreador - разобрались?

У меня возникла такая же необходимость - ограничить доступ к компоненту и к отдельным элементам. К компоненту ограничить получилось, а вот с отдельными элементами пытаюсь разобраться по мануалу, но не до конца все получается.
[spoiler title=Мой access.xml]
<?xml version="1.0" encoding="utf-8"?>
<access component="com_esports">
   <section name="component">
      <action name="core.admin" title="JACTION_ADMIN" description="JACTION_ADMIN_COMPONENT_DESC" />
      <action name="core.manage" title="JACTION_MANAGE" description="JACTION_MANAGE_COMPONENT_DESC" />
      <action name="core.create" title="JACTION_CREATE" description="JACTION_CREATE_COMPONENT_DESC" />
      <action name="core.delete" title="JACTION_DELETE" description="JACTION_DELETE_COMPONENT_DESC" />
      <action name="core.edit" title="JACTION_EDIT" description="JACTION_EDIT_COMPONENT_DESC" />
   </section>
   <section name="game">
      <action name="core.admin" title="JACTION_ADMIN" description="JACTION_ADMIN_COMPONENT_DESC" />
      <action name="core.manage" title="JACTION_MANAGE" description="JACTION_MANAGE_COMPONENT_DESC" />
   </section>
</access>
[/spoiler]

Сразу же загвоздка - где настриваются permissions для section GAME? Понятно, что для компонента надо в config.xml указать:

Но доабвить туда настройки permissions для game что-то никак не получается...

Вставляется в models/forms/game.xml

разве не так?

zuich - спасибо за наводку, я уже начал вникать...

Настройка уровней доступа

Может, кому пригодится. 
У меня была задача – есть несколько категорий материалов. И есть несколько групп пользователей.  И каждая группа пользователей должна видеть только те материалы, которые ей позволено видеть.
Пробовала настроить все по логике – ничего не получалось: материалы видят не те, кому положено, а те, кому положено - не видят. Пришлось выключить логику и включить мозги. Получилось!

Если у вас есть задача по настройке уровней доступа, может эта информация вам поможет. Даже если ваша конкретная задача отличается от моей.
В моей задаче мне не надо было расписывать права на Действия на сайте (писать статьи, редактировать и т.д.) – мне это сейчас не надо. Мне надо было только определить права на доступ к отдельным материалам. Право на доступ к отдельным материалам настройками "наследовать",  "разрешить", "запретить" - не регулируются. Поэтому была сложность. Пришлось оперировать только группами, уровнями доступа, настройками материалов, меню и пунктов меню. В конце концов, задачка была решена.

Задача: есть  4 группы зарегистрированных пользователей (гр1, гр2, гр3, гр4)  и 4 категории материалов (м1, м2, м3,м4). Надо сделать так, чтобы пользователи из гр1 могли бы видеть только м1. Пользователи из гр2 могли бы видеть м1 и м2. Пользователи из гр3 могли бы видеть и м1, и м2, и м3. А пользователи из гр4 могли бы видеть все: м1, м2, м3 и м4.
В нашем распоряжении есть только то, что можно настроить на уровень доступа: категории, материалы, модули, пункты меню. Но при этом группу пользователей напрямую на уровень доступа мы назначить не можем. Наоборот, это уровень доступа настраивается на определенные группы. Именно здесь и скрыты основные непонятки. Но именно это и позволяет гибко настраивать группы и уровни доступа. 

Итак. Что я сделала в своей конкретной ситуации. Расписываю по этапам. Расписываю подробно, потому что есть профи, которые сразу во все въехали. А есть такие чайники, как я. Которым надо подробно объяснить, на какую кнопочку, как и в какой последовательности надо нажимать, чтобы все работало.

1  Этап. Создание групп пользователей: менеджер пользователей – группы – создать – название и выбрать родителя. Создала гр1, гр2, гр3,гр4 – дочерние от «Зарегистрированных».
В закрытую часть сайта через внешний интерфейс могут попасть только пользователи, отнесенные к группе «Зарегистрированные», или пользователи, отнесенные к одной из дочерних групп от «Зарегистрированных».  В своем примере гр1, гр2, гр3 и гр4 я сделала «дочерними» от «Зарегистрированных».
Где-то в настройках сайта я видела, что после регистрации пользователь автоматически попадает в группу «Зарегистрированные». Группу, в которую попадает пользователь после регистрации, конечно, при желании можно  сделать другую. Но смысла в этом особого нет. Только запутаешься. 

Дальше. Делать группы гр1, гр2, гр3, гр4 – вложенными друг в друга или нет?  В моем случае это не важно, потому что в моем случае для пользователей не предполагается никаких Действий– только просмотр соответствующего  материала.
Настройки "наследовать", "разрешить", "запретить", работающие для вложенных групп – они важны для Действий на сайте. Кстати, очень интересный механизм. Можно нормально разобраться, даже чайнику, если подробно перевести с английского.
И еще. Если я правильно поняла всякие обозначения в админке, то вложенность не может быть больше 10, хотя не уверена и могу ошибаться.

2 этап. Создание уровней доступа:  менеджер пользователей, уровни доступа- создать – написать название, выбрать группы пользователей, которые относятся к этому уровню. Создала уд1, уд2, уд3 и уд4.

Какие группы в какой уровень включать? Тут я вообще поплыла, но подсказку нашла в реплике Просто Юзера, что надо вначале все разрешить, а потом кому надо – запретить.
И у меня получилось следующее:
в уд1  включены гр1, гр2, гр3 и гр4. 
В уд2 – гр2,гр3 и гр4, т.е. все, за исключением гр1. 
В уд3 – гр3 и гр4 (все, за исключение гр1 и гр2).
И уд4 – только гр4.

3 этап. Присвоение уровня доступа материалам и  категориям материалов.  Создаем категории и материалы как обычно. Чтобы задать им  уровни доступа – надо выбрать из списка. Как выбрать уровень доступа?

Возвращаемся к примеру. Так, если мы хотим, чтобы наш материал видели все группы: гр1, гр2, гр3, и гр4, то выбираем уровень доступа – уд1.  Потому что в уд1 включены все эти группы: гр1, гр2 , гр3, и гр4. И поэтому все они будут видеть этот материал.   

Если мы хотим, чтобы этот материал видели только гр2, гр3 и гр4, а гр1 – чтобы не видела, то выбираем уд2. Потому что в уд2 включены гр2, гр3 и гр4. Поэтому именно они и будут видеть этот материал. А группа гр1 - не будет.

Аналогично, если мы хотим, чтобы наш материал видели только гр3 и выше, то выбираем уд3, включающий гр3 и гр4.

А если мы хотим, чтобы наш материал читали бы только гр4 и больше никто, то выбираем уд4, потому что в этот уровень включена только гр4.

4 этап. Создание меню. Все как в Joomla 1.5 – название, системное имя, сохранили. Все.

5 этап. Создание пунктов меню. Есть отличия от Joomla 1.5.  В 1.5 вывод материала определялся параметрами вывода статьи. В 1.6, похоже, вывод материала определяется в первую очередь параметрами    пункта меню.  Пока этого не поняла – ничего не получалось. Задаю материалу уровень доступа – а он отображается, где хочет. А когда стала задавать точный уровень доступа для пунктов меню – все сразу стало на свои места.
Не знаю, как это работает для других параметров, но для уровней доступа – точно: параметры  вывода пункта меню главнее, чем параметры вывода самой статьи.
Поэтому – особое внимание выбору уровня доступа для каждого пункта меню.
Тем более что в Joomla 1.6 можно настраивать уровень доступа не только для всего меню (модуля), но и для отдельного пункта меню.

Проверила неоднократно. Настройка отдельного пункта меню на определенный уровень доступа работает!

Уровень доступа для пункта меню выбираем точно так же, как и для материалов, по тому же самому принципу: если хочу, чтобы этот пункт меню видели все - присваиваю уд1, если только гр2,гр3 и гр4 - то присваиваю уд2 и т.д.

6 этап. Создание модуля для меню. В отличие от Joomla 1.5 здесь модуль для меню автоматически не создается. Его надо создать: менеджер модулей – создать – выбор типа модуля – "Меню"
Дальше – название модуля, позиция, доступ. Доступ для модуля выбираем по принципу, как для материалов, категорий и пунктов меню. 

При этом одно меню можно создать для разных уровней доступа – через задание разных уровней доступа для отдельных пунктов меню.

Например. В нашем примере можно сделать одно общее меню с общим для всех уровнем доступа уд1. А в нем разные пункты меню можно сделать с разными уровнями доступа.
Например: один пункт меню будет иметь уд1, другой – уд2, третий – уд3 и четвертый - уд4. Что получится в результате? А получится вот что:

Пункт меню с уд1 будут видеть все: гр1, гр2, гр3 и гр4.
Пункт меню с уд2 – только гр2, гр3 и гр4, потому что гр1 в уд2 не включена.
Пункт меню  с уд3 будет виден только гр3 и гр4, потому что гр1 и гр2 в уд3 не включены.
А пункт с уд4 будет виден только для гр4, потому что в уд4 включена только одна группа гр4.
И это все будет находится в одном и том же модуле одного и того же меню.

Привязка модуля к пунктам меню. Смотрите внимательно, чтобы модуль появлялся только на нужных страницах. Если модуль появится на тех страницах, где у пользователя нет прав на просмотр этих материалов, то на странице появится пустой модуль без пунктов меню. Потому что модуль мы к странице привязать-то привязали, но прав у пользователя на просмотр этих материалов (на просмотр этого пункта меню) нет. Вот модуль появится-то и появится, но пункты меню в нем будут не видны.

Ну и конечно, при создании модуля для меню нужно не забыть выбрать само меню в основных параметрах. В Joomla 1.5 этого не было, поэтому иногда забываешь.

7 этап. Присвоение пользователю уровня доступа. Напрямую пользователю присвоить нужный уровень доступа нельзя. Присвоение уровня доступа пользователю осуществляется через назначение пользователю одной или нескольких групп, а вот уже сами группы привязаны к уровням доступа.

Как создать пользователей – понятно. Через регистрацию или через менеджер пользователей. Как назначить нужную группу – тоже понятно:  менеджер пользователей – пользователи – конкретный пользователь – поставить галочку напротив нужной группы или нужных групп.
Не забывайте, что пользователь, работающий через внешний интерфейс, обязательно должен входить или в группу «Зарегистрированные, или в группу, являющейся дочерней от «Зарегистрированных», иначе он не попадет в закрытую часть сайта.

А чтобы понять, как работает взаимосвязь «группы – уровни доступа», рассмотрим конкретные примеры.

У нас есть пользователь АА. Мы хотим дать ему право смотреть материалы только под литерой м1. Поэтому даем ему группу - гр1. Эта группа включена только в уд1. С другой стороны, материалы под литерой м1 тоже имеют уд1 и выводятся пунктом меню с уд1. Поэтому АА сможет видеть только  те страницы, которые выводятся  пунктами меню, имеющими уд1. Все другие материалы, точнее, пункты меню с другими уд для АА будут не видны.

Пользователь ББ. Мы хотим дать ему право смотреть  только м1 и м2. Поэтому включаем его в гр2. Эта гр2 включена в уд1 и уд2. Поэтому ББ может видеть материалы, которые выводятся пунктами меню, имеющими уровень доступа как уд1, так и уд2.
 
Вся сложность заключается в том, чтобы правильно соотнести группы пользователей и уровни доступа.  Если сходу не удается разобраться, можно порисовать разные схемки на бумаге или просто повторить то, что здесь написано. Все – не сложно, но только логика здесь как-то наоборот, не сразу ухватываешь.

Смотрим еще раз. Пользователь ВВ. Мы хотим дать ему право смотреть м1, м2, и м3. Поэтому включаем его в группу гр3. Гр3, в свою очередь, включена в уровни доступа уд1, уд2, и уд3.  Поэтому ВВ может видеть все пункты меню, которым присвоены эти  самые уд1, уд2, и уд3. А значит, ВВ сможет и прочитать эти самые материалы, потому что пункты меню с уд1, уд2 и уд3 выводят материалы с такими же уровнями доступа.

Пользователь ДД. Если мы хотим, чтобы пользователь ДД мог читать материалы из всех четырех категорий: м1, м2, м3 и м4, то включаем его в группу гр4. Группа гр4 в свою очередь включена в четыре уровня доступа: уд1, уд2, уд3 и уд4. Поэтому ДД сможет видеть все, что разрешено для уд1,1д2,уд3 и уд4. То есть все наши материалы и категории с литерами м1, м2, м3 и м4, потому что все они также имеют соответствующие уровни доступа. 

Надеюсь, что кому-то эта информация поможет. Спасибо за внимание.