Beginilah PHPMaker Menangani Keamanan Level Pengguna Secara Dinamis

Ada yang bilang: Tak kenal maka tak sayang. Lantas, kalau sudah kenal apakah menjadi semakin sayang? Hehe, jangan berpikiran negatif dulu ya. Yang saya maksud di sini adalah, jika Anda belum mengenal PHPMaker, biasanya Anda tidak akan mau; atau bahkan; tidak akan pernah menggunakan PHPMaker. Tapi coba jika Anda sudah mengenal dan semakin mendalami PHPMaker, maka perhatikan dan rasakan sendiri apa yang akan terjadi. Ahaaa! Itulah maksudnya.

Akhir-akhir ini saya semakin banyak menerima komentar pada beberapa artikel di situs saya ini. Ada yang bertanya, ada yang menyatakan kekagumannya, dan ada juga yang semakin tertarik menggunakan PHPMaker. Syukurlah kalau begitu. Berarti tujuan saya memperkenalkan PHPMaker kepada para Web Developer melalui situs ini sudah membuahkan hasil.

Saya hanya kasihan saja melihat Web Developer yang jika selama ini membangun Aplikasi Web tapi dilakukan dengan cara-cara yang kurang efektif. Menghabiskan waktu yang lama di depan komputer hanya untuk melakukan pekerjaan teknis yang sebenarnya bisa diatasi jika menggunakan tools tertentu.

Contoh, jika Anda membangun Aplikasi Web dengan cara-cara manual dan masih konvensional, seberapa besar usaha Anda untuk menangani keamanan aplikasi secara dinamis? Belum lagi dengan faktor-faktor penting lainnya yang harus Anda perhatikan.

Salah satu dari sekian banyaknya pembaca situs saya, bertanya seperti pada komentar ini. Cukup bagus pertanyaannya.

Setelah saya pikir-pikir, biarlah pertanyaan itu saya jawab melalui artikel ini. Karena yang ditanyakan itu memang selama ini jarang atau bahkan belum pernah ada yang membahasnya. Toh yang lain juga bisa sekaligus belajar bersama. Iya kan?

Jika Anda pernah membaca topik Tutorial – Advanced Security – Dynamic User Level Security melalui menu Help PHPMaker, maka seharusnya Anda sudah mengetahui bahwa PHPMaker memiliki 2 tipe keamanan Level Pengguna. Pertama disebut dengan Static User Levels, dan yang Kedua disebut dengan Dynamic User Levels.

Jika menggunakan tipe Static User Levels, maka Level Pengguna dan Hak Akses didefinisikan di dalam project dan Level Pengguna tidak untuk diubah setelah file-file script dibangkitkan oleh PHPMaker. Namanya juga statis.

Jika menggunakan tipe Dynamic User Levels, maka Level Pengguna dan Hak Akses didefinisikan di dalam 2 buah table di Database. Level Pengguna masih dapat diubah setelah file-file script dibangkitkan oleh PHPMaker. Itulah mengapa disebut dinamis.

Dua buah table yang terlibat untuk Dynamic User Levels tersebut adalah table User Levels dan User Level Permissions. Table pertama tempat kita mendefinisikan Level Pengguna. Sedangkan table kedua tempat kita mendefinisikan Permissions atau Hak Akses.

Kedua table tersebut memiliki relasi Master/Detail. Table User Levels sebagai master, dan table User Level Permissions sebagai detail-nya. Itu artinya, satu Level Pengguna dapat memiliki satu atau beberapa Hak Akses terhadap object table yang terdapat di PHPMaker.

Setelah Anda membaca topik tutorial di atas tadi, seharusnya Anda tidak akan mengalami kesulitan lagi untuk mempelajari dan memahami bagaimana cara mengimplementasikan Dynamic User Levels ke Aplikasi Web yang dihasilkan oleh PHPMaker. Mengapa? Karena pada tutorial itu sudah diuraikan dengan sangat jelas dan lengkap.

Mungkin di antara Anda selama ini ada juga yang memiliki pertanyaan yang sama dengan pembaca situs saya di atas tadi. Anda belum paham apa arti nilai yang tersimpan dalam field Permission pada table User Level Permissions tadi.

Jika Anda masih penasaran apa maksud nilai di field tersebut, maka nilai itu sebenarnya adalah hasil penjumlahan dari beberapa nilai konstanta Hak Akses yang sudah didefinisikan oleh PHPMaker dalam file ewcfg12.php (jika Anda menggunakan PHPMaker 12), yaitu:

// User level constants
define("EW_ALLOW_ADD", 1, TRUE); // Add
define("EW_ALLOW_DELETE", 2, TRUE); // Delete
define("EW_ALLOW_EDIT", 4, TRUE); // Edit
@define("EW_ALLOW_LIST", 8, TRUE); // List
if (defined("EW_USER_LEVEL_COMPAT")) {
	define("EW_ALLOW_VIEW", 8, TRUE); // View
	define("EW_ALLOW_SEARCH", 8, TRUE); // Search
} else {
	define("EW_ALLOW_VIEW", 32, TRUE); // View
	define("EW_ALLOW_SEARCH", 64, TRUE); // Search
}
@define("EW_ALLOW_REPORT", 8, TRUE); // Report
@define("EW_ALLOW_ADMIN", 16, TRUE); // Admin

Seperti yang Anda lihat dari kode barusan, setiap Hak Akses diwakili oleh sebuah konstanta yang memiliki nilai yang berbeda antara satu dengan lainnya. Hak Akses untuk menambah data di suatu table memiliki nilai 1 dan diwakili oleh konstanta EW_ALLOW_ADD, Hak Akses untuk menghapus data di suatu table memiliki nilai 2 dan diwakili oleh konstanta EW_ALLOW_DELETE, demikian dan seterusnya.

Jadi, jika misalnya di table User Level Permissions tadi Anda melihat nilai pada field Permissions adalah 8, maka itu artinya Hak Akses untuk table pada field TableName dan Level Pengguna pada field UserLevelID hanya bisa menampilkan data di halaman List. Hak Akses seperti untuk menambah, mengubah, menghapus, mencari, dan seterusnya tidak diberikan untuk Level Pengguna tersebut.

Mari kita lihat contoh lainnya. Jika nilai di field Permissions tadi adalah 104 untuk suatu table, maka itu artinya Level Pengguna itu hanya dapat menampilkan record pada halaman List yaitu EW_ALLOW_LIST = 8, dapat menampilkan satu record per halaman yaitu EW_ALLOW_VIEW = 32, dan dapat mencari data melalui Pencarian Lanjutan yaitu EW_ALLOW_SEARCH = 64. Hasil penjumlahan ketiganya adalah 104 (8 + 32 + 64).

Oke, mungkin di antara Anda ada yang bertanya lagi seperti ini. Dari definisi konstanta di atas tadi, mengapa ada kondisi seperti di bawah ini:

if (defined("EW_USER_LEVEL_COMPAT")) {
	define("EW_ALLOW_VIEW", 8, TRUE); // View
	define("EW_ALLOW_SEARCH", 8, TRUE); // Search
} else {
	define("EW_ALLOW_VIEW", 32, TRUE); // View
	define("EW_ALLOW_SEARCH", 64, TRUE); // Search
}

Nah, itu artinya, jika konstanta EW_USER_LEVEL_COMPAT sebelumnya didefinisikan, maka Hak Akses View dan Search masing-masing bernilai 8. Sebaliknya, jika konstanta EW_USER_LEVEL_COMPAT itu tidak didefinisikan, maka Hak Akses View dan Search masing-masing bernilai 32 dan 64, seperti contoh di atas tadi.

Dengan kata lain, kondisi di blok else di atas itu akan dieksekusi oleh sistem, jika pilihan pengaturan Separate permissions for List/View/Search yang terdapat pada menu Tools -> Advanced Settings dalam keadaan aktif (enabled). Sampai di sini sudah paham maksud dari arti pendefinisian konstanta EW_USER_LEVEL_COMPAT di atas, ‘kan?

Kesimpulannya, nilai pada field Permissions adalah nilai hasil penjumlahan Hak Akses (Permissions) mana saja yang didefinisikan oleh user Super Admin terhadap suatu table untuk Level Pengguna tertentu. Tentu, Anda tidak perlu pusing memikirkan bagaimana cara mengekstrak kembali nilai ini sehingga sistem bisa mengenali Hak Akses apa saja yang diberikan untuk Table dan Level Pengguna tertentu.

Biarkan PHPMaker yang menanganinya untuk Anda. Di situlah smart dan pintarnya PHPMaker. Sebagai Web Developer, Anda hanya cukup perlu berkonsentrasi untuk menerapkan proses bisnis ke dalam Aplikasi Web yang dihasilkan oleh PHPMaker itu. Selebihnya untuk urusan teknis yang sering digunakan di Aplikasi Web, serahkan saja ke PHPMaker!

Nah, supaya nilai pada field Permissions tadi bisa disimpan ke Database, tentu saja harus dilakukan dari halaman userpriv.php pada Aplikasi Web yang sudah dibangkitkan oleh PHPMaker. Jadi, bukan dilakukan dari dalam project PHPMaker, seperti yang Anda lakukan jika menggunakan tipe Static User Levels.

Dan jangan sekali-kali melakukannya secara manual dengan menambahkan atau mengubah langsung nilai tersebut ke Database. Karena jika Anda salah menentukan nilainya, maka bisa menyebabkan salahnya Hak Akses yang diberikan untuk Level Pengguna dan Table terkait.

Jadi, sekali lagi… mengapa disebut dengan Dynamic User Levels? Karena Level Pengguna ini bisa didefinisikan atau diubah secara dinamis melalui antar muka Aplikasi Web yang sudah dihasilkan oleh PHPMaker.

Bagaimana? PHPMaker benar-benar keren habis, ‘kan? Hehehe… 🙂