初めて投稿しますCakephp初心者です。

データベースの各レコードに対するアクセスコントロールについて教えてください

以下のような構造のテーブル、レコードがあると仮定します。

テーブル名：reports

id　　emp_no　　name　　　　title
1　　　120　　　山田太郎　　AAAについて
2　　　125　　　田中一郎　　BBBについて
3　　　127　　　佐藤次郎　　CCCについて
4　　　125　　　田中一郎　　DDDについて
・　　　・
・　　　・

また次のようなUsersテーブルがありAuth認証を利用しています。
id　　 username　　　password
1　　　120　　　　　 xxxxxxx
2　　　121　　　　　 xxxxxxx
3　　　122　　　　　 xxxxxxx
・　　　・
・　　　・
・　　　・


やりたいこと

1.各レコードのREAD,UPDATEはAuth認証でLoginした"username"とreportsテーブルの"emp_no"が一致した場合にだけ可能
つまり自分のレコードについてのみREAD, UPDATEできる。

2.また管理者としての山田太郎はCREATE, READ, UPDATE, DELETEが可能

アクセス制御リストを利用する方法はbook.cakephp.orgなどで理解できましたが、
レコードが500以上ありアクセス制御リストでARO/ACOを利用すると、それぞれが膨大になり、手間がかかりすぎてしまい適切ではありません。

Sessionの利用など他の方法でのreports_controllerの書き方のSampleを教えてください
よろしくお願いします。

堂園正人

単純にユーザはユーザレコードのみ、管理者は全部、ということであれば、Userモデル内にadminフラグを用意して、それで管理者判定してみてはいかがでしょう？

AuthでUserから判定するのであれば、usersテーブルに登録されているフィールドは全部ログイン中にAuth::user()から取れます。なので、例えばUser.admin_flagフィールドが0(一般ユーザ)の場合はfindのconditionsにReport.emp_no = User.nameを入れ、1(管理者)の場合はこの指定を除外するようにすればOKではないかと思います。

回答に対する返事が遅くなり申し訳ありません。

adminフラグを作成して、管理者判定は解決しました。

Auth UserとReportの対象レコードのemp_noが同一かどうかの判定をするif文がうまく書けずにはまっていました。
findを使うと戻り値がArrayとなり、Auth Userと比較できずにいましたが、以下のようにfieldを使うことで解決しました。

if ($this->Report->field("emp_no") != $this->Auth->user('username')){
アクション;
}