文档章节

yii2项目实战-访问控制过滤器ACF讲解

白狼栈
 白狼栈
发布于 2016/10/06 18:34
字数 1690
阅读 31
收藏 2
点赞 0
评论 0

作者:白狼 出处:http://www.manks.top/document/yii2-filter-control.html 本文版权归作者,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

什么是访问控制过滤器?字面上来理解就是访问授权呗,对一些具体的操作设定一些规则进行权限控制。

当然,这里的【操作】即是指控制器的action了。

前面我们添加新用户的时候,不知你可有疑问:为什么我们访问主页(site/index)就让我们登录,但是我们在未登录的时候却可以直接添加用户,访问用户列表呢?

下面就请我们今天的主角 AccessControl 登场,噼里啪啦的鼓掌...

AccessControl其实也就是 yii\filters\AccessControl, 我们下面简写为 ACF 作为描述。

ACF,访问控制过滤器,适用于简单的验证,面对的对象便是控制器的action。对于一些复杂的验证方式,我们后面会说到 Role Based Access Control (rbac).

接下来我们就上面抛出的问题进行解析。

有同学要质疑了,创建新用户的操作,肯定要后台管理才可以进行操作,包括列表页等一系列操作,没登录肯定不能访问啊啊啊。

不急,下面我们就看看如何通过ACF去对 user-backend/* 的系列操作进行授权限制!

打开backend\controller\SiteController.php 我们看到这样一段代码

public function behaviors()
{
    return [
        'access' => [
            'class' => AccessControl::className(),
            'rules' => [
                [
                    'actions' => ['login', 'error'],
                    'allow' => true,
                ],
                [
                    'actions' => ['logout', 'index'],
                    'allow' => true,
                    'roles' => ['@'],
                ],
            ],
        ],
        'verbs' => [
            'class' => VerbFilter::className(),
            'actions' => [
                'logout' => ['post'],
            ],
        ],
    ];
}

我们发现AccessControl是以行为behaviors的方式附加在当前控制器。

行为是啥,我们在配置一文中就开始纠结行为,行为说白了,他就是一个类,通过某些操作,跟现有的类就行了一个绑定。

既然是绑定,自然就是你(行为类)可以用我的(当前类),我(当前类)也可以用你的(行为类)。具体细节,还是那句老话,到了该说的时候我们自然会说,现在说太多岂不是跑题了?

回归正题,我们看看AccessControl是怎样发挥作用的。

不妨打开yii\filters\AccessControl.php文件,init方法中我们看到 配置项rules在使用之前,都会被创建为 yii\filters\AccessRule 的对象。

也就是说我们实际的配置应该是这样的

'rules' => [
    [
        'class' => 'yii\filters\AccessRule',
        'actions' => ['login', 'error'],
        'allow' => true,
    ],
],

通过配置一文,很容易就猜到 这里的actions和allow就是 AccessRule的属性了。

接着我们看到实际的请求过滤是在beforeAction中进行的!也就是说,在beforeAction中加了一层过滤的条件规则!

如此一来,整个过滤的流程你是不是感觉到清晰了好多,但是还没有完,我们还没有说具体的过滤规则,从init方法中,我们了解到具体的规则即是 yii\filters\AccessRule 类的属性了。也就是说,规则怎么写,就要看你怎么设定accessRule的属性了!属性怎么设置?打开 yii\filters\AccessRule文件,看每一个具体的注解!这里就不说了,因为注解已经写得非常详细了,说多了自然就累赘,不好不好。

那接下来我们就解决问题,UserBackendController/* 所有的操作应该都设置为登录之后才可以操作

'access' => [
    'class' => AccessControl::className(),
    'rules' => [
        [
            // 当前rule将会针对这里设置的actions起作用,如果actions不设置,默认就是当前控制器的所有操作
            'actions' => ['index', 'view', 'create', 'update', 'delete', 'signup'],
            // 设置actions的操作是允许访问还是拒绝访问
            'allow' => true,
            // @ 当前规则针对认证过的用户; ? 所有方可均可访问
            'roles' => ['@'],
        ],
    ],
],

我们再做几个小练习

1、假设index操作只允许post请求才可以访问

'access' => [
    'class' => AccessControl::className(),
    'rules' => [
        [
            // 当前rule将会针对这里设置的actions起作用,如果actions不设置,默认就是当前控制器的所有操作
            'actions' => ['view', 'create', 'update', 'delete', 'signup'],
            // 设置actions的操作是允许访问还是拒绝访问
            'allow' => true,
            // @ 当前规则针对认证过的用户; ? 所有方可均可访问
            'roles' => ['@'],
        ],
        [
            'actions' => ['index'],
        'allow' => true,
            // 设置只允许操作的action
            'verbs' => ['POST'],
        ],
    ],
],

我们新增加的一条规则,设置了AccessRule::verbs属性即可。

注意哦,ACF 自上向下逐一检查规则,直到匹配到一个规则。也就是说如果你这里把verbs的actions index也添加一份到上面的那一条规则,verbs这条规则就相当于废掉了!

2、假设更新操作update只有用户test1可以访问,其他用户不可以访问

我们现在只有一个用户test1, 为了实现命题,在添加一个新用户test2

'access' => [
    'class' => AccessControl::className(),
    'rules' => [
        [
            // 当前rule将会针对这里设置的actions起作用,如果actions不设置,默认就是当前控制器的所有操作
            'actions' => ['index', 'view', 'create', 'delete', 'signup'],
            // 设置actions的操作是允许访问还是拒绝访问
            'allow' => true,
            // @ 当前规则针对认证过的用户; ? 所有用户均可访问
            'roles' => ['@'],
        ],
        [
            'actions' => ['update'],
            // 自定义一个规则,返回true表示满足该规则,可以访问,false表示不满足规则,也就不可以访问actions里面的操作啦
            'matchCallback' => function ($rule, $action) {
                return Yii::$app->user->id == 1 ? true : false;
            },
            'allow' => true,
        ],
    ],
],

然后你可以通过test1和test2两个账号测试,会发现只有test1才可以访问update方法,test2就不允许对其进行访问了。

注:用户test1的userId等于1,用户test2的userId等于2

最后,我们不仅学会了ACF,也对user-backend/* 操作进行了部署。

思考一个问题,如果说我们的管理平台有100个controller, 每个controller有10个action, 如何处理这个授权的问题?如果又要限制某些用户(注意哦,某些可以指用户组)对某些操作有权限访问,另外一些不允许访问又该如何操作?

有人不怕麻烦:那我就加100个AccessControl, 然后第二个问题就写matchCallback, 这种答案简直就是在作死!

下一章,我们来简单了解下相对而言更强大一点的权限控制,基于角色的访问控制(rbac),敬请期待吧。

[考虑目前国内网站大部分采集文章十分频繁,更有甚者不注明原文出处,原作者更希望看客们查看原文,以防有任何问题不能更新所有文章,避免误导!]

查看原文

© 著作权归作者所有

共有 人打赏支持
白狼栈
粉丝 17
博文 78
码字总数 30876
作品 0
杭州
yii2项目实战-用户管理之user组件的配置

作者:白狼 出处:http://www.manks.top/document/yii2-user-config.html 本文版权归作者,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律...

白狼栈 ⋅ 2016/08/22 ⋅ 0

yii2项目实战-博客管理平台的搭建

作者:白狼 出处:http://www.manks.top/document/yii2-blog-manage.html 本文版权归作者,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律...

白狼栈 ⋅ 2016/08/13 ⋅ 0

Yii 2 —— Backend自动出现登录页

1.1 Backend自动出现登录页 用http://backend/访问后端时,页面会自动被重定向到http://backend/index.php?r=site%2Flogin,要求进行登录,这其中的流程是怎样的? 按照YII的理念,框架在处理...

tywali ⋅ 2016/11/09 ⋅ 0

小紫羽/yii2-fast-api

yii2-fast-api yii2-fast-api是一个Yii2框架的扩展,用于配置完善Yii2,以实现api的快速开发。 此扩展默认的场景是APP的后端接口开发,因此偏向于实用主义,并未完全采用restfull的标准,方便...

小紫羽 ⋅ 2017/01/20 ⋅ 0

yii2实战教程之新手入门指南-简单博客管理系统

作者:白狼 出处:http://www.manks.top/document/easy_blog_manage_system.html 本文版权归作者,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追...

白狼栈 ⋅ 2016/06/10 ⋅ 0

Yii2框架图解

Yii2框架图解 Love冥天个人博客-关注IT|PHP|互联网|php个人博客交流2017-11-281 阅读 yii2Yii2 图片根据Yii类参考手册,Yii源代码,开发常用方法构成. 1.yii2 控制器类图 2.yii2 cookie 类图...

Love冥天个人博客-关注IT|PHP|互联网|php个人博客交流 ⋅ 2017/11/28 ⋅ 0

yii2源码分析之执行基本流程

用yii2框架用了将近2年,一直都没有去看过它底层源码, 马上快不用了,最近对其源码研究一番,哈哈 废话少说,上代码, 入口文件是web/index.php

china_lx1 ⋅ 04/22 ⋅ 0

yii2项目实战之配置

作者:白狼 出处:http://www.manks.top/document/yii2-blog-config.html 本文版权归作者,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律...

白狼栈 ⋅ 2016/08/01 ⋅ 0

yii2使用多个数据库的案例

作者:白狼 出处:http://www.manks.top/article/yii2%E5%88%86%E5%BA%93%E5%88%86%E8%A1%A8_config 本文版权归作者,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原...

白狼栈 ⋅ 2016/04/12 ⋅ 0

yii2 - Behavior 实例及源码分析

Behavior 的简述 行为简单来说是组件的扩展,可以对组件的属性,方法,事件 (yii2组件的三大要点)进行扩展而无需改动组件现有的代码逻辑。即此行为所拥有的属性,方法,事件,都会被绑定它...

big_cat ⋅ 2016/06/01 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

645. Set Mismatch - LeetCode

Question 645. Set Mismatch Solution 思路: 遍历每个数字,然后将其应该出现的位置上的数字变为其相反数,这样如果我们再变为其相反数之前已经成负数了,说明该数字是重复数,将其将入结果r...

yysue ⋅ 27分钟前 ⋅ 0

Confluence 6 从生产环境中恢复一个测试实例

请参考 Restoring a Test Instance from Production 页面中的内容获得更多完整的说明。 很多 Confluence 的管理员将会使用生产实例运行完整数据和服务的 Confluence 服务器,同时还会设置一个...

honeymose ⋅ 32分钟前 ⋅ 0

Python这么强?红包杀手、消息撤回也可以无视,手机App辅助!

论述 标题也许有点不好理解,其实就是一款利用Python实现的可以监控微信APP内的红包与消息撤回的助手。不得不说,这确实是一款大家钟意的神器。 消息撤回是一件很让人恶心的事,毕竟人都是有...

Python燕大侠 ⋅ 43分钟前 ⋅ 0

压缩打包介绍、gzip压缩工具、bzip2压缩工具、xz压缩工具

压缩打包介绍 压缩的好处不仅能节省磁盘空间而且在传输的时候节省传输时间和网络带宽 windows系统下文件带有 .rar .zip .7z 后缀的就是压缩文件 linux系统下则是 .zip, .gz, .bz2, .xz, ...

黄昏残影 ⋅ 48分钟前 ⋅ 0

观察者模式

1.利用java原生类进行操作 package observer;import java.util.Observable;import java.util.Observer;/** * @author shadow * @Date 2016年8月12日下午7:29:31 * @Fun 观察目标 **/......

Cobbage ⋅ 51分钟前 ⋅ 0

Ubuntu打印服务器配置

参考:https://blog.csdn.net/gsls200808/article/details/50950586 https://blog.csdn.net/jiay2/article/details/80252369 https://wiki.gentoo.org/wiki/HPLIP 由于媳妇儿要大量打印资料,......

大熊猫 ⋅ 56分钟前 ⋅ 0

面试的角度诠释Java工程师(二)

原文出处: locality 续言: 相信每一位简书的作者,都会有我这样的思考:怎么写好一篇文章?或者怎么写好一篇技术类的文章?我就先说说我的感悟吧,写文章其实和写程序是一样的。为什么我会...

颖伙虫 ⋅ 59分钟前 ⋅ 0

github中SSH的Key

https://help.github.com/articles/connecting-to-github-with-ssh/ https://help.github.com/articles/testing-your-ssh-connection/ https://help.github.com/articles/adding-a-new-ssh-k......

whoisliang ⋅ 今天 ⋅ 0

only_full_group_by

我的mysql是在CentOS7.1下面的5.7.17 在 /etc/my.cnf 文件里加上如下: sql_mode='NO_ENGINE_SUBSTITUTION' 然后,重启Mysql服务 systemctl restart mysqld...

SunHacker ⋅ 今天 ⋅ 0

实际项目(SpringBoot项目)中集成Druid

参考网页 https://blog.csdn.net/liuchuanhong1/article/details/55050131 https://blog.csdn.net/CoffeeAndIce/article/details/78707819 https://www.pocketdigi.com/20170530/1577.html 为......

karma123 ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部