developeruz/yii2-db-rbac

YII2中的动态访问权限控制

维护者

详情

github.com/developeruz/yii2-db-rbac

源代码

问题

安装次数: 85,658

依赖关系: 7

建议者: 0

安全性: 0

星标: 110

关注者: 23

分支: 33

公开问题: 5

类型:yii2-extension

1.1.3 2018-01-10 09:00 UTC

Requires

MIT 0d1f471765edf151361530c15358c049ddabce6f

yiirbac

This package is not auto-updated.

Last update: 2024-09-26 15:24:33 UTC

README

俄语说明在此

在YII2中创建访问控制的最简单方法,无需更改代码。

该模块允许通过UI创建YII角色基础访问(RBAC)的角色和规则。它还允许通过UI分配用户的角色和规则。通过模块规则检查访问的行为。

集成

安装指南

$ php composer.phar require developeruz/yii2-db-rbac "*"

要正确工作,您必须在应用程序配置文件中配置模块 authManager(对于高级应用程序为 common/config/main.php,对于基本应用程序为 config/web.phpconfig/console

    'components' => [
       'authManager' => [
          'class' => 'yii\rbac\DbManager',
        ],
    ...
    ]

运行迁移以创建 DbManager 表(这意味着应用程序已经配置了数据库连接)

$ yii migrate --migrationPath=@yii/rbac/migrations/

添加模块

将模块包含到配置文件中(对于高级应用程序为 backend/config/main.php,对于基本应用程序为 config/web.php

  'modules' => [
        'permit' => [
            'class' => 'developeruz\db_rbac\Yii2DbRbac',
        ],
    ],

如果您想设置布局,请按照以下方式操作

  'modules' => [
        'permit' => [
            'class' => 'developeruz\db_rbac\Yii2DbRbac',
            'layout' => '//admin'
        ],
    ],

如果您使用CNC,请确保您有正确的模块路由规则

'<module:\w+>/<controller:\w+>/<action:(\w|-)+>' => '<module>/<controller>/<action>',
'<module:\w+>/<controller:\w+>/<action:(\w|-)+>/<id:\d+>' => '<module>/<controller>/<action>',

添加链接

/permit/access/role - 管理角色

/permit/access/permission - 管理访问

分配角色给用户

该模块还提供了一个为用户分配角色的界面。

要正确工作,必须在模块参数中指定带有 User 类的模块。

'modules' => [
        'permit' => [
            'class' => 'app\modules\db_rbac\Yii2DbRbac',
            'params' => [
                'userClass' => 'app\models\User'
            ]
        ],
    ],

用户类应实现 developeruz\db_rbac\interfaces\UserRbacInterface。在大多数情况下,您必须添加函数 getUserName(),它应返回用户的名字。

use developeruz\db_rbac\interfaces\UserRbacInterface;

class User extends ActiveRecord implements IdentityInterface, UserRbacInterface
{
...
    public function getUserName()
    {
       return $this->username;
    }
}

要管理id为1的用户的角色,请访问 /permit/user/view/1

最简单的方法是将它作为按钮添加到带有用户列表的 GridView 中。

echo GridView::widget([
    'dataProvider' => $dataProvider,
    'columns' => [
        ['class' => 'yii\grid\SerialColumn'],

        'id',
        'username',
        'email:email',

        ['class' => 'yii\grid\ActionColumn',
         'template' => '{view}&nbsp;&nbsp;{update}&nbsp;&nbsp;{permit}&nbsp;&nbsp;{delete}',
         'buttons' =>
             [
                 'permit' => function ($url, $model) {
                     return Html::a('<span class="glyphicon glyphicon-wrench"></span>', Url::to(['/permit/user/view', 'id' => $model->id]), [
                         'title' => Yii::t('yii', 'Change user role')
                     ]); },
             ]
        ],
    ],
]);

您也可以在代码中为用户分配角色,例如当用户被创建时。

$userRole = Yii::$app->authManager->getRole('name_of_role');
Yii::$app->authManager->assign($userRole, $user->getId());

您还可以通过用户类中的 can() 方法在代码中检查用户是否有权限

Yii::$app->user->can($permissionName);

$permissionName - 可以是角色名称或权限名称。

配置模块的访问控制

在配置中,您可以设置具有模块功能访问权限的角色列表。

'modules' => [
        'permit' => [
            'class' => 'app\modules\db_rbac\Yii2DbRbac',
            'params' => [
                'userClass' => 'app\models\User',
                'accessRoles' => ['admin']
            ]
        ],
    ],

通过模块规则检查访问的行为

使用此行为,您不需要在每个动作中写入 Yii::$app->user->can($permissionName)。行为将自动检查。对于与第三方模块的访问控制也很有用。

配置行为

如果您想自动检查访问,必须将行为包含到应用程序配置文件中。

use developeruz\db_rbac\behaviors\AccessBehavior;

 'as AccessBehavior' => [
        'class' => \developeruz\db_rbac\behaviors\AccessBehavior::className(),
 ]

EVENT_BEFORE_ACTION 事件中,行为将检查当前用户(Yii::$app->user)对当前动作的访问权限。如果满足以下条件,则允许动作:

  • 用户有权访问动作(规则:模块/控制器/动作)
  • 用户有权访问控制器中的任何动作(规则:模块/控制器)
  • 用户有权访问模块中的任何动作(规则:模块)

访问拒绝时的重定向

默认情况下,如果用户没有访问权限,行为将抛出 ForbiddenHttpException。应用程序可以按需处理此异常。

您还可以配置 login_url,将未经授权的用户重定向到,或配置 redirect_url,在拒绝访问时重定向用户。

    'as AccessBehavior' => [
        'class' => \developeruz\db_rbac\behaviors\AccessBehavior::className(),
        'redirect_url' => '/forbidden',
        'login_url' => Yii::$app->user->loginUrl
    ]

配置默认访问规则

连接行为后,只有具有特定权限的授权用户才能访问。您可以通过与控制器(AccessControl)相同的方式在配置文件中创建默认访问权限。

    'as AccessBehavior' => [
        'class' => \developeruz\db_rbac\behaviors\AccessBehavior::className(),
        'rules' =>
            ['site' =>
                [
                    [
                        'actions' => ['login', 'index'],
                        'allow' => true,
                    ],
                    [
                        'actions' => ['about'],
                        'allow' => true,
                        'roles' => ['admin'],
                    ],
                ]
            ]
    ]

在这个例子中,任何用户都可以访问 site/loginsite/index,只有具有 admin 角色的用户才能访问 site/about。配置文件中描述的规则优先于动态可配置的规则。

配置行为责任区域

默认规则是“除非允许,否则全部禁止”。如果行为应该仅保护某些路由,而其他所有路由对所有用户都应可访问,请设置 protect 参数

'as AccessBehavior' => [
        'class' => \developeruz\db_rbac\behaviors\AccessBehavior::className(),
        'protect' => ['admin', 'user', 'site/about'],
        'rules' => [
            'user' => [['actions' => ['login'], 'allow' => true ],
                       ['actions' => ['logout'], 'roles' => ['@'], 'allow' => true ]]
        ]
    ],

在这个例子中,该行为将只检查用户对以 adminusersite / about 开头的路径访问页面的权限。所有其他路由对所有用户都可用(行为未验证)。正如您在示例中看到的那样,protect 参数可以与 rules 参数结合使用。

贡献

欢迎贡献,并将得到完全认可。我接受通过 Pull Requests 的贡献。请参阅 CONTRIBUTING 获取详细信息。

许可协议

MIT 许可协议(MIT)。请参阅 许可文件 获取更多信息。