我在我的第一个ZF1应用程序中有两个控制器:AuthController和ProductController。 我使用Zend_Auth完美地验证了代码。
但是用户仍然可以在浏览器中访问应用程序而无需身份验证。例如,如果用户输入:
http://localhost/apptest/public/product/action
他可以直接访问。如果用户没有登录,我必须使用Zend_Session或Zend_Acl阻止访问吗?
感谢。
答案 0 :(得分:1)
Zend_Auth仅关注身份验证而非授权。认证被宽松地定义为基于一组凭证确定实体是否实际上是它所声称的(即,标识)。授权,决定是允许实体访问其他实体还是对其他实体执行操作的过程超出了Zend_Auth的范围。有关使用Zend Framework进行授权和访问控制的更多信息,请参阅Zend_Acl。