RBAC, 基于角色的访问控制, 对RBAC有问题的朋友, 可以转移到: 基于角色的访问控制RBAC 一文, 进行了解.
Yii2中, 实现的是NIST RBAC模型.
Yii2中, 的RBAC管理, 涉及到的内容有: 权限, 角色, 规则, 为角色赋予权限, 为用户分配角色.
我们会以一个案例, 贯穿整个RBAC的使用, 请继续阅读, 和跟随练习, 保证可以全面了解Yii2的RBAC机制实现.
目标案例准备
准备一: 控制器中的几个动作方法, 完成典型的CRUD方法, 不去展示具体的方法实现, 仅针对访问这些方法的权限进行测试, 代码如下:
namespace backend\controllers;
use yii\web\Controller;
class PostController extends Controller
{
public function actionAdd()
{
return $this->renderContent('添加');
}
public function actionDelete()
{
return $this->renderContent('删除');
}
public function actionUpdate()
{
return $this->renderContent('更新');
}
public function actionSelect()
{
return $this->renderContent('查询');
}
}
准备二: 创建几个用户, 便于分配不同的角色, 进行访问权限测试. 用户表, 采用yii2提供的默认user表结构, 如果没有可以使用如下的命令创建, 进入yii2项目根目录, 键入下面的命令:
$./yii migrate/create create_users_table
$./yii migrate
此时用户user表, 就被自动创建出来了. (PS: 你要先配置好数据库连接db组件才可以) 插入几条用户测试数据, 可以用yii2自带的注册功能完成(r=site/signup), 注册完成后, 当前的user表内容和结构如下:
注意上面的用户ID
有了以上的动作和用户的基本数据后, 就可以完成, 哪个用户属于某个角色, 是否具有操作某个动作的RBAC测试了. 继续..
配置授权管理组件
授权管理组件authManager, 是完成Yii2中权限管理和检查的核心组件, 因此需要先配置. 以Php文件存储授权数据为例, config/web.php配置如下:
return [
'components' => [
'authManager' => [
'class' => 'yii\rbac\PhpManager',
],
}
该授权组件, 可选择由PHP文件存储授权数据或使用数据库存储授权数据. 分别使用yii\rbac\PhpManager和yii\rbac\DbManager实现. 文件存储直观, 编辑简单, 但不适合频繁大量的授权更新操作. 而数据库管理方案适合频繁的授权变动. 请依据自己项目的情况自行选择. 以上的配置中, 选择的PhpManager, 以PHP文件方式存储授权, 此时需要@app/rbac目录(backend/rbac)存在, 并具有可写权限. 如果需要使用数据库管理授权数据, 请看后边的DbManager授权管理小节.
配置完毕后, 使用\Yii::$app->authManager就可以访问到授权组件了.
管理角色
角色是yii\rbac\Role类的实例, 通过\Yii::$app->authManage组件的createRole()方法可以创建, 创建角色时需要为角色确定ID. 创建完毕后, 使用\Yii::$app->authManage组件的add()方法将角色添加. 示例代码如下:
$auth = \Yii::$app->authManager;
$author = $auth->createRole('author');
$auth->add($author);
$reader = $auth->createRole('reader');
$auth->add($reader);
$editor = $auth->createRole('editor');
$auth->add($editor);
可以将以上代码定义在任意的控制器方法中, 请求运行该方法, 就会生成3个角色, 存储在PHP文件或者数据表中.取决于实现authManager组件的具体类. 我们选择的PhpManager, 则会存储在文件中.
文件位于@app/rbac目录的items.php文件中:
items.php
return [
'author' => [
'type' => 1,
],
'reader' => [
'type' => 1,
],
'editor' => [
'type' => 1,
],
];
可见, 增加了author, reader, editor的3个角色.
额外的, 角色不但可以增加, 还可以删除, 使用authManager对象的方法remove(), 就可以删除:
$editor = $auth->createRole('editor');
$auth->remove($editor);
为用户分配角色
有了角色之后, 就可以将用户和角色关联起来了, 去设置, 那个用户属于那个角色.
使用\Yii::$app->authManager组件对象的assign()方法, 就可以为用户分配角色. 或者将角色分配给某个用户.
使用下面的代码, 可以为我们之间的测试用户分配不同的角色:
$auth->assign($author, 2);
$auth->assign($reader, 2);
$auth->assign($reader, 3);
$auth->assign($reader, 4);
$auth->assign($editor, 5);
可以将以上代码定义在任意的控制器方法中, 请求运行该方法. 就分配了不同的角色给不同的用户. 其中2ID的用户, 同时属于两个角色 author和reader.
同样的, 分配完成后, \Yii::$app->authManager组件对象会记录下用户所属的角色, 记录在@app/rbac/assignments.php文件中, 本例的结果如下:
return [
2 => [
'author',
'reader',
],
3 => [
'reader',
],
4 => [
'reader',
],
5 => [
'editor',
],
];
可以看到, 不同的用户ID, 对应不同的角色. 而且2ID用户对于2个角色, author和reader.
到此, 为用户分配角色的任务完成.
ACF权限过滤(静态的授权管理)
当用户与角色的关系建立完毕后, 就可以去配置授权了.
配置方法之一, 也是比较容易的方法, 就是使用之前说过的ACF访问控制过滤器(ACF不了解的朋友, 可以参考小韩说理的: Yii2权限管理之ACF), 完成哪个角色的用户可以访问那个动作的过滤, 示例过滤器的配置如下:
@app/controllers/PostController.php
class PostController extends Controller
{
public function behaviors()
{
return [
'access' => [
'class' => AccessControl::className(),
'only' => ['add', 'delete', 'update', 'select'],
'rules' => [
[
'allow' => true,
'actions' => ['add', 'update'],
'roles' => ['author'],
],
[
'allow' => true,
'actions' => ['update', 'select', 'delete'],
'roles' => ['editor'],
],
[
'allow' => true,
'actions' => ['select'],
'roles' => ['reader'],
],
],
],
];
}
}
经过以上的配置之后, 就确定了, 哪些角色可以访问哪些动作. 这样, 当特定的用户登录时, 确定当前用户的角色, 就可以确定是否有权限访问动作了.
测试访问
其实, 到此, 就已经完成了, RBAC, 基于角色的访问控制的实现. 可以好好整理, 休息下了.
实操中, 新的问题就是, 如何动态的配置权限? 如何更精致的管理权限? ACF的方式就有点吃力的, 因为他需要与定义在控制器中的behaviors()方法配合使用, 如果需要更改权限, 就需要更改behaviors()中的代码. 因此, 想要获得更动态的授权的管理办法, 请继续阅读: 授权管理和规则管理 小节, 获得更完整的内容.
authManager授权管理(动态的授权管理)
动态管理权限, 其实就是将用权限分配和校验, 都是使用PHP代码完成, 在程序运行时完成, 需要的方法如下
$auth = \Yii::$app->authMananger;
$auth->createPermission(), 创建权限对象
$auth->createRole(), 创建角色对象
$auth->add(), 添加角色或者权限或者规则
$auth->addChild(), 为角色赋予权限, 添加子权限
$auth->assign(), 为用户分配角色
$auth->remove(), 删除某个授权数据
$auth->removeAll(), 删除全部授权数据包括, 角色, 权限, 规则
\Yii::$app->user->can(‘权限’))检测用户是否具有某权限
以上方法, 有的已经用过了.
下面就组成一个可以动态管理的代码示例:
public function actionAuth()
{
$auth = \Yii::$app->authManager;
$auth->removeAll();
$postAdd = $auth->createPermission('postAdd');
$postAdd->description = '文章添加';
$auth->add($postAdd);
$postDelete = $auth->createPermission('postDelete');
$postDelete->description = '文章删除';
$auth->add($postDelete);
$postUpdate = $auth->createPermission('postUpdate');
$postUpdate->description = '文章编辑';
$auth->add($postUpdate);
$postSelect = $auth->createPermission('postSelect');
$postSelect->description = '文章查看';
$auth->add($postSelect);
$author = $auth->createRole('author');
$auth->add($author);
$reader = $auth->createRole('reader');
$auth->add($reader);
$editor = $auth->createRole('editor');
$auth->add($editor);
$auth->addChild($author, $postAdd);
$auth->addChild($author, $postUpdate);
$auth->addChild($reader, $postSelect);
$auth->addChild($editor, $postDelete);
$auth->addChild($editor, $postSelect);
$auth->addChild($editor, $author);
$auth->addChild($editor, $reader);
$auth->assign($author, 2);
$auth->assign($reader, 2);
$auth->assign($reader, 3);
$auth->assign($reader, 4);
$auth->assign($editor, 5);
}
以上代码一旦运行, 就会生成权限文件和权限分配文件如下:
权限文件:items.php
items.php权限列表文件
return [
'postAdd' => [
'type' => 2,
'description' => '文章添加',
],
'postDelete' => [
'type' => 2,
'description' => '文章删除',
],
'postUpdate' => [
'type' => 2,
'description' => '文章编辑',
],
'postSelect' => [
'type' => 2,
'description' => '文章查看',
],
'author' => [
'type' => 1,
'children' => [
'postAdd',
'postUpdate',
],
],
'reader' => [
'type' => 1,
'children' => [
'postSelect',
],
],
'editor' => [
'type' => 1,
'children' => [
'postDelete',
'postSelect',
'author',
'reader',
],
],
];
角色分配文件:assignments.php
assignments.php角色分配文件
return [
2 => [
'author',
'reader',
],
3 => [
'reader',
],
4 => [
'reader',
],
5 => [
'editor',
],
];
大家可以看到, 这个角色分配文件, 与我们之前的一致.
在此基础上, 增加了权限记录文件items.php 这个文件记录下来了那个角色有哪些权限, 这样就不需要再使用ACF进行权限与动作的对应了.
注意, 在yii的RBAC系统中, 可以将角色视为权限的集合, 因此 才会有代码:
$auth->addChild($author, $postAdd);
$auth->addChild($author, $postUpdate);
$auth->addChild($reader, $postSelect);
$auth->addChild($editor, $postDelete);
$auth->addChild($editor, $postSelect);
$auth->addChild($editor, $author);
$auth->addChild($editor, $reader);
将权限设置为角色的子对象, 和将角色设置为角色的自对象. 可以理解成权限的集合, 和集合的合并(继承)操作.
有了以上的代码, 就有能力去动态的设置角色的权限了. 可以在后台增加一个权限管理界面, 完成角色的权限分配了.
权限的校验(动态校验)
当使用了动态授权管理后, 通常就不去使用ACF管理权限了.
就可以使用user组件提供的can()方法来检测当前用户是否具有某个权限了. 在某个具体的动作中, 使用方法: $user->can(‘postAdd’) 就可以知道是否具有操作postAdd的权限, 示例代码如下:
public function actionAdd()
{
$user = \Yii::$app->user;
if (! $user->can('postAdd')) {
return $this->renderContent('没有权限执行该操作');
}
return $this->renderContent('添加');
}
此时, 登录的用户, 就可以判断是否具有postAdd权限, 从而去继续执行. 此时不再需要配置access过滤器了.
有了该方法, 就可以完全自由的去选择, 在何处完成校验权限了.
(PS: 也可以使用yii\rbac\ManagerInterface::checkAccess()方法)
自定义授权规则
我们除了可以动态的管理授权规则外, Yii中还提供更加自由的自定义的授权规则, 例如, 我们所定义的例子, 作者角色不能删除post, 包括他自己的. 此时, 在业务逻辑上就会出现问题.
如果需要修正, 作者不能删除post, 但是可以删除自己发布的post这个逻辑上权限问题, 就可以使用自定义授权规则rule完成:
我们需要先创建一个规则, 起个名字, 并在execute()方法中定义自己的验证逻辑, 示例代码如下:
namespace backend\rbac; use yii\rbac\Rule; class AuthorDelete extends Rule { public $name = 'deleteIsAuthor'; public function execute($user, $item, $params) {
定义好规则后, 与某个权限绑定, 之后将权限与作者author角色绑定:
增加规则, 增加绑定规则的权限, 权限分配角色, 设置权限层级:
$authorDeleteRule = new \backend\rbac\AuthorDelete;
$auth->add($authorDeleteRule);
$authorDelete = $auth->createPermission('authorDelete');
$authorDelete->description = '作者删除文章允许';
$authorDelete->ruleName = $authorDeleteRule->name;
$auth->add($authorDelete);
$auth->addChild($author, $authorDelete);
$auth->addChild($authorDelete, $postDelete);
设置完毕后, 在@app/rbac/rules.php文件中, 就生成了规则的配置内容:
rules.php
return [
'deleteIsAuthor' => 'O:25:"backend\\rbac\\AuthorDelete":3:{s:4:"name";s:14:"deleteIsAuthor";s:9:"createdAt";N;s:9:"updatedAt";N;}',
];
规则配置好后, 在检测用户权限时, 传递额外的post参数表示文章, 即可:
public function actionDelete()
{
$post = new \stdClass();
$post->createdBy = 2;
$user = \Yii::$app->user;
if (! $user->can('postDelete', ['post'=>$post])) {
return $this->renderContent('没有权限执行该操作');
}
return $this->renderContent('删除');
}
上面的测试中, 假设文章作者的ID是2, 这样, 在xiao用户, 登录时, xiao用户没有postDelete权限, 但是执行该操作是可以成功的! 就是执行了我们定义的规则校验!
规则, 可大大提升rbac的授权验证法则, 不仅仅限于动作层面, 可以增加自己的业务逻辑, 一下就使得权限的验证的规则就上升了一个层次. 值得大家去好好好好学习..