摘要:原文來(lái)自上一篇文章講了用戶(hù)的注冊(cè)��,驗(yàn)證和登錄����,這一篇文章按照約定來(lái)說(shuō)說(shuō)之中的用戶(hù)和權(quán)限控制�����。探尋上面的一些列設(shè)置和代碼更改�����,已經(jīng)實(shí)現(xiàn)了一小部分的用戶(hù)控制登錄的用戶(hù)才能發(fā)表����。
原文來(lái)自: https://jellybool.com/post/programming-with-yii2-user-access-controls
上一篇文章講了用戶(hù)的注冊(cè)����,驗(yàn)證和登錄,這一篇文章按照約定來(lái)說(shuō)說(shuō)Yii2之中的用戶(hù)和權(quán)限控制��。
你可以直接到Github下載源碼����,以便可以跟上進(jìn)度,你也可以重頭開(kāi)始��,一步一步按照這個(gè)教程來(lái)做���。
鑒于本教材基于Yii2 Basic����,所以對(duì)RBAC的詳細(xì)講解我后面再多帶帶出文章來(lái)說(shuō)說(shuō)吧��,這里主要是簡(jiǎn)單地說(shuō)一說(shuō)權(quán)限控制
上一篇文章所實(shí)現(xiàn)的功能還比較簡(jiǎn)單�,可以發(fā)一條狀態(tài),但是不知道你注意到?jīng)]有�,如果是沒(méi)有注冊(cè)的用戶(hù)也可以使用我們的應(yīng)用(類(lèi)似小微博)來(lái)發(fā)狀態(tài),這是不符合情理的�����。正確的做法是在用戶(hù)沒(méi)有注冊(cè)��,登錄之前���,我們甚至都不應(yīng)該給沒(méi)有注冊(cè)的用戶(hù)看到我們創(chuàng)建狀態(tài)的頁(yè)面�����,即是http://localhost:8999/status/create就不應(yīng)該讓游客看到����,更不用說(shuō)編輯和刪除一條狀態(tài)(status)了。
權(quán)限控制
什么是權(quán)限控制��?個(gè)人覺(jué)得在一個(gè)Web應(yīng)用當(dāng)中�,有以下幾種常見(jiàn)的角色和權(quán)限控制:
1. 游客,也就是沒(méi)有注冊(cè)的用戶(hù)�,一般這個(gè)權(quán)限是最小的,對(duì)于一些需要登錄訪(fǎng)問(wèn)的頁(yè)面沒(méi)有訪(fǎng)問(wèn)權(quán)限
2. 用戶(hù)���,這里的用戶(hù)特指注冊(cè)用戶(hù)����,注冊(cè)過(guò)后的用戶(hù)一般可以使用整個(gè)web應(yīng)用的主要功能����,比如我們這里的發(fā)表一條狀態(tài)(status)
3. 作者,這個(gè)不知道確切應(yīng)該使用什么名詞來(lái)描述�����,作者是在用戶(hù)注冊(cè)之后的一個(gè)權(quán)限判斷�����,比如A發(fā)表的status狀態(tài)�����,B君不能進(jìn)行編輯,刪除等���,反之亦然。
4. 管理員���,這里的管理員通常會(huì)是應(yīng)用的開(kāi)發(fā)者(所有者�����,或者應(yīng)該這么說(shuō))�����,幾乎可以說(shuō)是對(duì)站點(diǎn)的所有權(quán)限都有
Yii2自帶的權(quán)限控制默認(rèn)只支持兩個(gè)角色:
guest(游客�����,沒(méi)有登錄的�����,用?表示)
authenticated (登錄了的���,用@表示)
在這里我們需要實(shí)現(xiàn)的是對(duì)這兩種不同的角色指定不同的訪(fǎng)問(wèn)權(quán)限����,就是為他們分配不同的可以訪(fǎng)問(wèn)的控制器或者方法����。
目前我們?nèi)绻苯狱c(diǎn)擊導(dǎo)航欄的Status,我們還是可以在沒(méi)有登錄的情況之下進(jìn)行發(fā)表狀態(tài)(status)���,所以我們需要改一下我們的代碼和邏輯���,Yii2在這方面的控制做得非常好,其實(shí)實(shí)現(xiàn)這個(gè)我們只需要修改一下StatusController.php里面的behaviors()方法而已���,在這里面加入一段access設(shè)置:
```
public function behaviors()
{
return [
"verbs" => [
"class" => VerbFilter::className(),
"actions" => [
"delete" => ["post"],
],
],
"access" => [
"class" => AccessControl::className(),
"only" => ["index","create","update","view"],
"rules" => [
// allow authenticated users
[
"allow" => true,
"roles" => ["@"],
],
// everything else is denied
],
],
];
}
```
加上access這一段之后�����,我們?cè)俅吸c(diǎn)擊Status��,Yii2就會(huì)將未登錄的我重定向到登錄頁(yè)面�����。
而且�,這個(gè)時(shí)候,一旦你登入進(jìn)去�,Yii會(huì)默認(rèn)自動(dòng)跳轉(zhuǎn)到上一個(gè)url,也就是我們剛剛點(diǎn)擊的status/index����。
添加映射關(guān)系
用戶(hù)一旦登錄進(jìn)來(lái)之后�����,我們就可以通過(guò)下面這行代碼來(lái)獲取用戶(hù)的id了:
```
Yii::$app->user->getId();
```
一旦用戶(hù)的id獲取到�����,我們可以做的事就很多了�����。這里我們先來(lái)將一條狀態(tài)和用戶(hù)聯(lián)系起來(lái)�����,也就是添加用戶(hù)與說(shuō)說(shuō)的映射關(guān)系。要實(shí)現(xiàn)這個(gè)目標(biāo)我們需要先修改我們的數(shù)據(jù)表(體驗(yàn)一下當(dāng)初設(shè)計(jì)數(shù)據(jù)表考慮不周全的情況):
```
./yii migrate/create extend_status_table_for_created_by
Yii Migration Tool (based on Yii v2.0.6)
Create new migration "/Users/jellybool/Desktop/helloYii/migrations/m150806_034325_extend_status_table_for_created_by.php"? (yes|no) [no]:yes
New migration created successfully.
```
打開(kāi)對(duì)應(yīng)的migration文件���,編輯up()和down()方法��,如果你想加入數(shù)據(jù)庫(kù)的事務(wù)管理功能�,你可以使用safeUp()和safeDown()方法
```
public function up()
{
$this->addColumn("{{%status}}","created_by",Schema::TYPE_INTEGER." NOT NULL");
$this->addForeignKey("fk_status_created_by", "{{%status}}", "created_by", "{{%user}}", "id", "CASCADE", "CASCADE");
}
public function down()
{
$this->dropForeignKey("fk_status_created_by","{{%status}}");
$this->dropColumn("{{%status}}","created_by");
}
```
我們需要為status表添加一個(gè)created_by字段��,并且將它跟user表的id設(shè)為外鍵關(guān)系����。
如果你在status表里面有一條數(shù)據(jù)記錄,你需要先刪除這一條記錄�,不然可能會(huì)報(bào)錯(cuò)。
執(zhí)行migrate/up:
```
./yii migrate/up
Yii Migration Tool (based on Yii v2.0.6)
Total 1 new migration to be applied:
m150806_034325_extend_status_table_for_created_by
Apply the above migration? (yes|no) [no]:yes
*** applying m150806_034325_extend_status_table_for_created_by
> add column created_by integer NOT NULL to table {{%status}} ... done (time: 0.032s)
> add foreign key fk_status_created_by: {{%status}} (created_by) references {{%user}} (id) ... done (time: 0.014s)
*** applied m150806_034325_extend_status_table_for_created_by (time: 0.059s)
```
數(shù)據(jù)表的外鍵設(shè)置好之后����,我們就可以來(lái)聲明Status和User的關(guān)系了,不過(guò)在開(kāi)始之前需要修改一下User.php里面的內(nèi)容:
```
直接將原來(lái)的User模型的代碼都刪掉��,只需要我們上面的代碼就可以了��,因?yàn)槲覀兪褂昧薡ii2-User�,
這里就是使用dektriumusermodelsUser這個(gè)模型,然后修改一下我們的config/web.php���,再我們之前的user中加入幾行代碼:
```
"modules" => [
"user" => [
"class" => "dektriumuserModule",
"confirmWithin" => 21600,
// add the following 3 lines
"modelMap" => [
"User" => "appmodelsUser",
],
"cost" => 12,
"admins" => ["admin"]
],
],
```
這樣之后���,我們的User和Status的對(duì)應(yīng)關(guān)系就會(huì)建立起來(lái)��。
然后我們?cè)赟tatus.php寫(xiě)上以下的說(shuō)明:
```
public function getUser()
{
return $this->hasOne(User::className(), ["id" => "created_by"]);
}
```
這里聲明的映射關(guān)系為hasOne�����,也就是說(shuō)����,一條狀態(tài)status(說(shuō)說(shuō))對(duì)應(yīng)一個(gè)用戶(hù)(User)��,我們通過(guò)["id" => "created_by"]來(lái)指定外鍵映射�����。
有了Status和User的對(duì)應(yīng)關(guān)系之后��,我們需要在用戶(hù)發(fā)表狀態(tài)的時(shí)候?qū)⒂脩?hù)的id保存到Status的created_by這一個(gè)字段中���,所以我們需要在StatusController中的actionCreate方法中加上一行代碼:
```
if ($model->load(Yii::$app->request->post())) {
$model->created_by = Yii::$app->user->getId();//add this line
$model->created_at = time();
$model->updated_at = time();
if ($model->save()) {
return $this->redirect(["view", "id" => $model->id]);
}
}
```
這里需要確認(rèn)的是,你需要保證create方法只能是登錄進(jìn)來(lái)的用戶(hù)才能訪(fǎng)問(wèn)觸發(fā)���。
為了更好地展示一條狀態(tài)stutas的信息����,我們修改一下展示狀態(tài)的視圖文件:status/view.php :
```
$model,
"attributes" => [
"id",
"user.email", // add this line
"message:ntext",
"created_by", // add this line
"permissions",
"created_at",
"updated_at",
],
]) ?>
```
上面的user.email中的user其實(shí)是觸發(fā)Status::getUser()這個(gè)方法。
這樣一刷新之后��,我們就可以看到創(chuàng)建這條狀態(tài)的用戶(hù)id和email了�����。
探尋RBAC
上面的一些列設(shè)置和代碼更改�����,已經(jīng)實(shí)現(xiàn)了一小部分的用戶(hù)控制:登錄的用戶(hù)才能發(fā)表status���。然而這還不能滿(mǎn)足我們?cè)谌粘J褂玫男枨?�,比如我們現(xiàn)在怎么確定一個(gè)用戶(hù)能不能對(duì)某條狀態(tài)進(jìn)行修改和刪除����?或者說(shuō)���,管理員的角色在哪里體現(xiàn)呢���?現(xiàn)在貌似都是平等的角色����,相同的權(quán)限�,對(duì)于登錄的用戶(hù)來(lái)說(shuō)。
鑒于官方文檔或者很多關(guān)于Yii2 RBAC的資料都是基于Yii2 Advanced Template���,而我們一開(kāi)始使用的是Yii2 Basic Template�,并且我們也引入Yii2-User�,所以這里我們嘗試來(lái)自己實(shí)現(xiàn)一點(diǎn)點(diǎn)的用戶(hù)權(quán)限控制。
首先我們需要在User中定義一些跟角色(role)相關(guān)的規(guī)定����,比如根據(jù)不同的用戶(hù)角色來(lái)賦予不同的常量:
```
class User extends BaseUser {
const ROLE_USER = 10;
const ROLE_MODERATOR = 20;
const ROLE_ADMIN = 30;
}
```
上面的代碼寫(xiě)在User模型里面,這里定義了三種角色����,ROLE_USER���,ROLE_MODERATOR����,ROLE_ADMIN,USER可以發(fā)表狀態(tài)����,MODERATOR可以修改但是不可以刪除,ADMIN可以修改和刪除�����。
然后在helloYii/目錄之下創(chuàng)建一個(gè)components/目錄�����,里面新建一個(gè)AccessRule.php文件:
roles) === 0) {
return true;
}
foreach ($this->roles as $role) {
if ($role === "?") {
if ($user->getIsGuest()) {
return true;
}
} elseif ($role === User::ROLE_USER) {
if (!$user->getIsGuest()) {
return true;
}
// Check if the user is logged in, and the roles match
} elseif (!$user->getIsGuest() && $role === $user->identity->role) {
return true;
}
}
return false;
}
}
這里就直接借用Yii2自帶的yiifiltersAccessRule來(lái)控制權(quán)限規(guī)則����。但是由于Yii2-User在創(chuàng)建user數(shù)據(jù)表的時(shí)候并沒(méi)有role這個(gè)字段,所以我們需要手動(dòng)添加�����,你可以直接在mysql敲命令行�,或者也可以通過(guò)數(shù)據(jù)庫(kù)管理工具來(lái)添加。
最后更新一下我們的StatusController.php文件�,這里的behaviors()方法會(huì)做出一些調(diào)整:
[
"class" => VerbFilter::className(),
"actions" => [
"delete" => ["post"],
],
],
"access" => [
"class" => AccessControl::className(),
// We will override the default rule config with the new AccessRule class
"ruleConfig" => [
"class" => AccessRule::className(),
],
"only" => ["index","create", "update", "delete"],
"rules" => [
[
"actions" => ["index","create"],
"allow" => true,
// Allow users, moderators and admins to create
"roles" => [
User::ROLE_USER,
User::ROLE_MODERATOR,
User::ROLE_ADMIN
],
],
[
"actions" => ["update"],
"allow" => true,
// Allow moderators and admins to update
"roles" => [
User::ROLE_MODERATOR,
User::ROLE_ADMIN
],
],
[
"actions" => ["delete"],
"allow" => true,
// Allow admins to delete
"roles" => [
User::ROLE_ADMIN
],
],
],
],
];
}
我們上面根據(jù)不同等級(jí)的用戶(hù)賦予不同的訪(fǎng)問(wèn)權(quán)限,這時(shí)候�,如果你先logout出來(lái)���,再登錄回去,你還是可以看到這些status�,但是一旦你點(diǎn)擊
delete(刪除按鈕),你將會(huì)看到一個(gè)報(bào)錯(cuò)的頁(yè)面:
我們手動(dòng)創(chuàng)建的role是成功��,但是我們?cè)趺唇o一個(gè)注冊(cè)的用戶(hù)默認(rèn)的權(quán)限呢�����,我們這里就是想實(shí)現(xiàn)在新用戶(hù)注冊(cè)的時(shí)候賦予用戶(hù)ROLE_USER的角色和權(quán)限�。由于Yii2-User是在vendordektriumyii2-usermodelsRegistrationForm.php這個(gè)文件里面進(jìn)行創(chuàng)建新的用戶(hù)的,我門(mén)這里只要修改一個(gè)小地方��,找到register()方法:
public function register()
{
if ($this->validate()) {
$user = $this->module->manager->createUser([
"email" => $this->email,
"username" => $this->username,
"password" => $this->password,
"role"=>10, // add this line User::ROLE_USER;
]);
return $user->register();
}
return false;
}
添加"role"=>10就可以了��。
如果你想證明一下我們的權(quán)限是否正確�����,你可以手動(dòng)修改數(shù)據(jù)庫(kù)中的role字段的數(shù)值�����,然后在進(jìn)行修改和刪除等操作���,看看是否可以正確運(yùn)行�。
權(quán)限控制其實(shí)可以說(shuō)是Yii2的一大特色和亮點(diǎn)����,在這里可能并沒(méi)有說(shuō)得很清晰,只是簡(jiǎn)單地實(shí)現(xiàn)了一些規(guī)則��,有機(jī)會(huì)借助Yii2 Advanced Template來(lái)實(shí)現(xiàn)一下�。
源碼會(huì)放在 Github:https://github.com/JellyBool/helloYii
下一節(jié)
下一節(jié)嘗試集成一個(gè)編輯器和做一下url的美化,內(nèi)容應(yīng)該會(huì)比較簡(jiǎn)單
Happy Hacking
