Yii2 rbac权限控制之rule教程详解_php实例-php教程-PHP中文网

首页

后端开发

php教程

Yii2 rbac权限控制之rule教程详解_php实例

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 06, 2016 pm 01:32 PM

rbacrbac权限控制yii2

在我们之前Yii2搭建后台并实现rbac权限控制完整实例教程中，不知道你曾经疑惑过没有一个问题，rule表是做什么的，为什么在整个过程中我们都没有涉及到这张表？

相信我不说，部分人也都会去尝试，或百度或google,到头来也会竹篮打水，这部分讲解的内容少之又少啊！

对于一般的权限系统而言，我们之前做的rbac一般情况下是足够的，即时没有rule,相信你也能实现我们用rule实现的功能。

我们就以官网的例子给出一个具体的操作教程，看看这个神秘的rule到底是做什么的！

看需求：

我们有管理员和普通用户，对于文章系统而言，我们允许管理员对文章的任何操作，但是只允许普通用户创建文章和修改自己创建的文章，注意哦，是允许其修改自己创建的文章，不是不允许修改文章，也不是修改所有的文章！

看yii2 rbac rule怎么去实现，重点是教大家怎么去使用这个rule,也解开众多人心中的节！

在我们添加rule之前，需要先实现 yii\rbac\Rule类的execute方法。

<&#63;php
namespace backend\components;
use Yii;
use yii\rbac\Rule;
class ArticleRule extends Rule
{
public $name = 'article';
public function execute($user, $item, $params)
{
// 这里先设置为false,逻辑上后面再完善
return false;
}
}

接着，我们才可以去后台rule列表（/admin/rule/index）添加rule。具体添加方式可参考下方截图

注意，上面这一步很多人会死在类名的添加上，记得加上我们ArticleRule文件所在的命名空间！

我们看第三步，该步骤也是很容易出错的地方！该篇教程请注意集中精力，前方高能！

我们访问权限列表（/admin/permission/index）新增权限，该权限只针对文章的修改，随后我们将其分配给用户所属角色

需要注意了，此处严重警告，这里新增加的权限所控制的路由也就是文章的更新操作（/article/update）分配给当前用户仅且一次，重复分配当前操作给所属角色或用户，可能造成rule失效，失效原因则是覆盖！

此刻再次刷新文章的更新页面（/article/update/1），很显然直接给我们了403 forbidden没权限访问的提示，也就是我们刚刚添加的rule生效了！如果此刻没生效，请检查上面所说的两个注意点！

然后我们实现ArticleRule::execute方法内业务逻辑，可参考如下：

class ArticleRule extends Rule
{
public $name = 'article';
/**
* @param string|integer $user 当前登录用户的uid
* @param Item $item 所属规则rule，也就是我们后面要进行的新增规则
* @param array $params 当前请求携带的参数. 
* @return true或false.true用户可访问 false用户不可访问
*/
public function execute($user, $item, $params)
{
$id = isset($params['id']) &#63; $params['id'] : null;
if (!$id) {
return false;
}
$model = Article::findOne($id);
if (!$model) {
return false;
}
$username = Yii::$app->user->identity->username;
$role = Yii::$app->user->identity->role;
if ($role == User::ROLE_ADMIN || $username == $model->operate) {
return true;
}
return false;
}
}

最后就是验证了，到底我们所实现的rule认证起作用了没呢？

测试步骤如下可做参考：

1.当前用户创建一篇文章，记得记录当前文章的创建者，其角色是管理员，我们默认User::ROLE_ADMIN

2.创建一个普通用户，且也创建一篇文章，同时也需要记录当前文章的创建者

3.分别用管理员帐号和普通用户登录系统修改这两篇文章，结论自然是满足我们一开始所提的需求，管理员两篇文章均可修改，普通用户只能修改自己的文章

以上所述是小编给大家介绍的Yii2 rbac权限控制之rule教程详解，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对脚本之家网站的支持！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

您如何防止与会议有关的跨站点脚本（XSS）攻击？Apr 23, 2025 am 12:16 AM

要保护应用免受与会话相关的XSS攻击，需采取以下措施：1.设置HttpOnly和Secure标志保护会话cookie。2.对所有用户输入进行输出编码。3.实施内容安全策略(CSP)限制脚本来源。通过这些策略，可以有效防护会话相关的XSS攻击，确保用户数据安全。

您如何优化PHP会话性能？Apr 23, 2025 am 12:13 AM

优化PHP会话性能的方法包括：1.延迟会话启动，2.使用数据库存储会话，3.压缩会话数据，4.管理会话生命周期，5.实现会话共享。这些策略能显着提升应用在高并发环境下的效率。

什么是session.gc_maxlifetime配置设置？Apr 23, 2025 am 12:10 AM

thesession.gc_maxlifetimesettinginphpdeterminesthelifespanofsessiondata，setInSeconds.1）它'sconfiguredinphp.iniorviaini_set（）.2）abalanceIsiseededeedeedeedeedeedeedto to to avoidperformance andununununununexpectedLogOgouts.3）

您如何在PHP中配置会话名？Apr 23, 2025 am 12:08 AM

在PHP中，可以使用session_name()函数配置会话名称。具体步骤如下：1.使用session_name()函数设置会话名称，例如session_name("my_session")。2.在设置会话名称后，调用session_start()启动会话。配置会话名称可以避免多应用间的会话数据冲突，并增强安全性，但需注意会话名称的唯一性、安全性、长度和设置时机。

您应该多久再生一次会话ID？Apr 23, 2025 am 12:03 AM

会话ID应在登录时、敏感操作前和每30分钟定期重新生成。1.登录时重新生成会话ID可防会话固定攻击。2.敏感操作前重新生成提高安全性。3.定期重新生成降低长期利用风险，但需权衡用户体验。

如何在PHP中设置会话cookie参数？Apr 22, 2025 pm 05:33 PM

在PHP中设置会话cookie参数可以通过session_set_cookie_params()函数实现。1)使用该函数设置参数，如过期时间、路径、域名、安全标志等；2)调用session_start()使参数生效；3)根据需求动态调整参数，如用户登录状态；4)注意设置secure和httponly标志以提升安全性。