Yii2如何使用存取控制过滤器(ACF)

最新推荐文章于 2019-11-25 23:49:18 发布
最新推荐文章于 2019-11-25 23:49:18 发布
阅读量4.1k 收藏 4
点赞数 2
分类专栏: Yii2 文章标签: yii2 acf behaviors
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhyoulun/article/details/51499227
版权

简介

存取控制过滤器(ACF)是一种通过yii\filters\AccessControl类来实现的简单授权方法, 非常适用于仅需要简单的存取控制的应用。当一个用户请求一个action时,ACF会检查yii\filters\AccessControl::rules列表,判断该用户是否允许执行所请求的action。

AccessControl的例子

假设我们有这样一个控制器,

<?php

namespace app\controllers;

class BookController extends \yii\web\Controller
{
    public function actionIndex()
    {
        return $this->render('index');
    }

    public function actionView()
    {
        return $this->render('view');
    }

    public function actionUpdate()
    {
        return $this->render('update');
    }

    public function actionDelete()
    {
        return $this->render('delete');
    }
}

其中有actionIndexactionViewactionUpdateactionDelete四个action。

首先我们希望任何用户都能访问index、view,登录的用户可以访问update、delete,那么我们可以这样重写behaviors()函数

<?php

namespace app\controllers;

use yii\filters\AccessControl;

class BookController extends \yii\web\Controller
{
    public function behaviors()
    {
        return [
            'access'=>[
                'class' => AccessControl::className(),
                'rules' => [
                    [
                        'actions' => ['index','view'],
                        'allow' => true,
                        'roles' => ['?'],
                    ],
                    [
                        'actions' => ['update','delete'],
                        'allow' => true,
                        'roles' => ['@'],
                    ]
                ],
            ],
        ];
    }

    public function actionIndex()
    ...

    public function actionView()
    ...

    public function actionUpdate()
    ...

    public function actionDelete()
    ...
}

在函数behaviors()中,

[
    'class' => AccessControl::className(),
    'rules' => [...],
]

创建了类yii\filters\AccessControl的一个实例,yii\filters\AccessControl继承自yii\base\ActionFilter,通过查阅这两个源码,除了可以配置属性rules,还可以配置的有onlyexceptdenyCallbackuser?)。

only

维护了一个actionID数组,指明该AccessControl应当只对其中所列出的actionID方法起作用;如何没有指定该属性,则表示该AccessControl能对所有的actionID起作用。

except

维护了一个actionID数组,指明该AccessControl不应该管理的actionID。

如果一个actionID同时出现在only和except中,这个actionID不受本ActionFilter约束

denyCallback

当任意一个用户访问自己没有权限访问的actionID时,Yii会作出拒绝,这里可以自定义这个拒绝的动作。

缺省情况下:
- 如果该用户是访客,将调用yii\web\User::loginRequired()将用户的浏览器重定向到登录页面。
- 如果该用户是已认证用户,将抛出一个yii\web\ForbiddenHttpException异常。

在此基础上,我们给出一个稍微复杂的例子,

public function behaviors()
{
    return [
        'access'=>[
            'class' => AccessControl::className(),
            'only' => ['index','view','update','delete'],
            'except' => ['update'],
            'denyCallback' => function($rule, $action){
                throw new ForbiddenHttpException("你没有权限访问这个网页");
            },
            'rules' => [
                [
                    'actions' => ['index','view'],
                    'allow' => true,
                    'roles' => ['?'],
                ],
                [
                    'actions' => ['update','delete'],
                    'allow' => true,
                    'roles' => ['@'],
                ]
            ],
        ],
    ];
}

在这个例子中,我们实例化了一个AccessControl类,only指明该对象负责管理index、view、update和delete,except指明该对象忽略update,onlyexcept两者相结合说明该对象负责管理index、view和delete,不负责管理update。我们可以自己验证一下,update这个actionID不需要登录就可以访问,index和view不需要登录就可以访问,delete需要登录才可以访问。denyCallback又表明,当我们使用游客身份访问delete时,将会返回一个403错误,并提示我们的自定义消息“你没有权限访问这个网页”。

AccessRule的例子

再次回到上面提到的简单的例子,

public function behaviors()
{
    return [
        'access'=>[
            'class' => AccessControl::className(),
            'rules' => [
                [
                    'actions' => ['index','view'],
                    'allow' => true,
                    'roles' => ['?'],
                ],
                [
                    'actions' => ['update','delete'],
                    'allow' => true,
                    'roles' => ['@'],
                ]
            ],
        ],
    ];
}

注意到rules是一个数组,通过分析源码,本质上是如下所示的,rules是一个实例化的AccessRule数组。

'rules' => [
    [
        //'class' => 'yii\filters\AccessRule',
        'actions' => ['index','view'],
        'allow' => true,
        'roles' => ['?'],
    ],
    [
        //'class' => 'yii\filters\AccessRule',
        'actions' => ['update','delete'],
        'allow' => true,
        'roles' => ['@'],
    ]
],

yii\filters\AccessRule中可以配置的属性除了action、allow、roles,还有controllers、ips、verbs、matchCallback、denyCallback。

action

维护了一个actionID数组,并且是大小写敏感的。如果没有设置或者设置为空,则表示该规则会应用到所有的actionID上。

allow

  • true:允许访问
  • false:禁止访问

roles

维护了一个角色数组,其中?代表游客,@代表登录的人,此外还可以是RBAC中定义的角色。

controllers

指定该规则用于匹配哪些控制器。 它的值应为控制器ID数组。匹配比较是大小写敏感的。如果该选项为空,或者不使用该选项, 则意味着当前规则适用于所有的操作。(译者注:这个选项一般是在控制器的自定义父类中使用才有意义)

ips

维护了一个IP地址数组,例如

'ips'=>[
    192,168.*,      //*是通配符
    10.12.1.182,
],

verbs

指定该规则用于匹配哪种请求方法(例如GET,POST)。 这里的匹配大小写不敏感。

matchCallback

指定一个PHP回调函数用于 判定该规则是否满足条件。(译者注:此处的回调函数是匿名函数)

denyCallback

指定一个PHP回调函数, 当这个规则不满足条件时该函数会被调用。(译者注:此处的回调函数是匿名函数)

一个稍微负责的例子,

public function behaviors()
{
    return [
        'access'=>[
            'class' => AccessControl::className(),
            'rules' => [
                //任何人都可以访问index页面
                [
                    'actions' => ['index'],
                    'allow' => true,
                    'roles' => ['?'],
                ],
                //指定的IP内的游客们可以访问view页面
                [
                    'actions' => ['view'],
                    'allow' => true,
                    'ips' => [
                        '192.168.*',
                        '10.13.1.182'
                    ],
                    'roles' => ['?'],
                ],
                //登录的用户可以通过POST方式访问update页面
                [
                    'actions' => ['update'],
                    'allow' => true,
                    'verbs' => ['POST'],
                    'roles' => ['@'],
                ],
                //光棍节可以访问dog页面
                [
                    'actions' => ['dog'],
                    'allow' => true,
                    'matchCallback' => function ($rule, $action) {
                        return date('d-m') === '11-11';
                    },
                ],
                //愚人节这一天不可以访问fool页面
                [
                    'actions' => ['fool'],
                    'allow' => true,
                    'matchCallback' => function ($rule, $action) {
                        return date('d-m') === '04-01';
                    },
                ]
            ],
        ],
    ];
}

参考

zhyoulun
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
yii2授权之ACF
小白
09-02 3348
yii2授权之ACF        授权是指验证用户是否允许做某件事的过程,在yii2中中简单来讲就是是否允许某类访客是否能访问某个controller或者是其下的action。想一个这样的场景,一个师生交互平台,分为三部分:管理员,教师,学生。那在登录时,肯定要限制防止不同身份的访客登录不对称的页面,比如管理员只能登陆后台的管理页面,而其他身份的访客则不能登录了。        在yii2
Yii2 framework学习笔记(六) -- RBAC
iyak85的博客
01-14 771
后台的准备工作,除了皮肤,还有一个很重要的功能点,就是权限控制。 Yii2提供了一个权限控制的基础框架,利用的是RBAC(Role Based Access Control),基于角色的访问控制。 简单说,不同角色有不同的权限,比如角色有admin/guest,admin可以浏览页面,管理用户,而guest用户就只能浏览页面,等等。到一个具体的用户,可以绑定到一个角色上,从而行使该角色
yii2 处理跨域请求
Mr Qiang
11-25 5014
最近在一个 yii2 的项目中遇到了跨域请求的问题,研究了好半天,按照官方文档各种写,各写改还是不生效,特此在这里记录一下。 在控制器中添加如下代码: public function behaviors() { return [ 'corsFilter'=>[ 'class' => Cors::cl...
yii2 储存控制过滤器ACF笔记
mars167的博客
03-21 222
存取控制过滤器ACF use yii\web\Controller; use yii\filters\AccessControl; class SiteController extends Controller { public function behaviors() { return [ 'access' =&gt; [ ...
Yii 2.0鉴权之访问控制过滤器:很不错的介绍
黎志文
02-04 3179
鉴权就是验证一个用户是否有足够权限去做一件事的过程。 Yii提供了两种鉴权方式:Access Control Filter (ACF,访问控制过滤器)和Role-Based Access Control (RBAC,基于角色的访问控制)。 访问控制过滤器(ACF) ACF是一种简单的鉴权方式,是用来做一些简单的访问控制的一种好方法。 顾名思义,ACF是作为一个行
Yii matchCallback
bo1807772090的博客
04-20 422
allow=true,'roles' =&gt; ['@'],'matchCallback' =&gt; function($rule,$action){}'roles' =&gt; ['@'] 允许认证的用户访问actions中的动作,如果'roles' =&gt; ['?'],允许游客的身份访问actions中的动作allow=true 允许方法actions中的动作,'matchCallba...
Yii控制器中filter过滤器用法分析
10-21
主要介绍了Yii控制器中filter过滤器用法,结合实例形式简单分析了过滤器filter的使用步骤与功能实现技巧,需要的朋友可以参考下
yii2控制器Controller Ajax操作示例
10-21
主要介绍了yii2控制器Controller Ajax操作方法,结合实例形式分析了Yii控制器调用ajax的相关技巧,需要的朋友可以参考下
yii2 在控制器中验证请求参数的使用方法
01-20
写api接口时一般会在控制器中简单验证参数的正确性。 使用yii只带验证器(因为比较熟悉)实现有两种方式(效果都不佳)。 针对每个请求单独写个 Model , 定义验证规则并进行验证。 缺点:写好多参数验证的 Model ...
PHP的Yii框架中过滤器相关的使用总结
12-19
例如, 访问控制过滤器将被执行以确保在执行请求的动作之前用户已通过身份验证;性能过滤器可用于测量控制器执行所用的时间。 一个动作可以有多个过滤器过滤器执行顺序为它们出现在过滤器列表中的顺序。过滤器可以...
yii2项目实战-访问控制过滤器ACF
weixin_33928137的博客
06-30 267
2019独角兽企业重金招聘Python工程师标准>>> ...
YII2 的授权(Authorization)
热门推荐
05-27 2万+
说明:翻译本不是我应该做的,因为我的英语水平实在太差。但因为对YII的兴趣,所以也做一点,同时也能显示出我的胆量还是有的。。。希望不误导您。
Yii2 使用十三 RBAC
编程圈子-谢厂节的博客
05-13 7728
1.在/basic/config/console.php和/basic/config/web.php里,配置组件,这里只贴出console.php里的代码 : <?php Yii::setAlias('@tests', dirname(__DIR__) . '/tests'); $params = require(__DIR__ . '/params.php'); $db = require
Yii2授权
01-04 538
授权 授权是指验证用户是否允许做某件事的过程。Yii提供两种授权方法: 存取控制过滤器ACF)和基于角色的存取控制(RBAC)。 存取控制过滤器 存取控制过滤器ACF)是一种通过 yii\filters\AccessControl 类来实现的简单授权方法, 非常适用于仅需要简单的存取控制的应用。正如其名称所指,ACF 是一个种行动(action)过滤器 filter,可在控制
Yii2 常用配置和概念小记
u013948083的专栏
04-27 368
熟能生巧,学了就写从2015年开始弄 yii2 的开发,也是一路瞎摸过来。写下来也是为了省得重复思考,希望别人也用得上,不定期更新哈: 类级别的权限配置 请求方法中的权限配置 权限配置的数据格式 Yii::$app 的常用属性 类级别的权限控制 配置自定义角色(到同一个/多个请求 action)return [ 'access' => [ 'class' =>
yii2-过滤器检查安全请求和跨域访问设置
xmlife的专栏
07-03 1万+
过滤器 过滤器是 控制器 动作 执行之前或之后执行的对象。 例如访问控制过滤器可在动作执行之前来控制特殊终端用户是否有权限执行动作, 内容压缩过滤器可在动作执行之后发给终端用户之前压缩响应内容。 过滤器可包含 预过滤(过滤逻辑在动作之前) 或 后过滤(过滤逻辑在动作之后),也可同时包含两者。 使用过滤器 过滤器本质上是一类特殊的 行为,所以使用过滤器使用 行为一样。
Yii2 理解filters
weixin_33850890的博客
01-07 228
版本 ActionFilter AccessControl AccessRule VerbFilter 其它 1 版本 // yii\BaseYii\getVersion public static function getVersion() { return '2.0.10'; } 2 A...
Yii2 分析Controller::behaviors 触发过程
weixin_34324081的博客
01-07 329
版本 示例 客户端请求后的运行流程 简述 1 版本 // yii\BaseYii\getVersion public static function getVersion() { return '2.0.10'; } 2 示例 AccessControl是框架自带的,位于yii\filte...
yii2_behaviors() _AccessControl过滤器详解
最新发布
06-03
AccessControl 是 Yii2 中的一个过滤器(Filter),用于控制用户对某些操作的访问权限。使用 AccessControl 过滤器可以轻松地实现基于角色的访问控制(RBAC)。 AccessControl 过滤器需要在控制器中定义 behaviors...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值