srbac 使用

YII RBAC

• 博客分类：
• Yii

 

自带的不带管理功能，直接用的是srbac

 

1.下载extension

http://www.yiiframework.com/extension/srbac/

 

2.解压到module目录下

 注意：要给目录分配合理的权限，我的是755，而将其用户组更改为www-data，这样就不会出现srbaAlias "srbac.SrbacModule" is invalid 这个错误 了。

3.编辑main.config如下：

a.modules

 

Php代码  

1. 'modules'=>array(  
2.     // uncomment the following to enable the Gii tool  
3.       
4.     'gii'=>array(  
5.         'class'=>'system.gii.GiiModule',  
6.         'password'=>'123456',  
7.         // If removed, Gii defaults to localhost only. Edit carefully to taste.  
8.         'ipFilters'=>array('127.0.0.1','::1'),  
9.     ),  
10.          
11.        'Admin'=>array(  
12.            'class'=>'application.modules.admin.AdminModule',  
13.        ),  
14.          
15.        'srbac' => array(  
16.            'userclass'=>'User', //default: User  
17.            'userid'=>'user_id', //default: userid  
18.            'username'=>'username', //default:username  
19.            'delimeter'=>'@', //default:-  
20.            'debug'=>true, //default :false  
21.            'pageSize'=>10, // default : 15  
22.            'superUser' =>'Authority', //default: Authorizer  
23.            'css'=>'srbac.css', //default: srbac.css  
24.            'layout'=>  
25.            'application.views.layouts.main', //default: application.views.layouts.main,  
26.            //must be an existing alias  
27.            'notAuthorizedView'=> 'srbac.views.authitem.unauthorized', // default:  
28.            //srbac.views.authitem.unauthorized, must be an existing alias  
29.            'alwaysAllowed'=>array( //default: array()  
30.            'SiteLogin','SiteLogout','SiteIndex','SiteAdmin',  
31.            'SiteError', 'SiteContact'),  
32.            'userActions'=>array('Show','View','List'), //default: array()  
33.            'listBoxNumberOfLines' => 15, //default : 10 'imagesPath' => 'srbac.images', // default: srbac.images 'imagesPack'=>'noia', //default: noia 'iconText'=>true, // default : false 'header'=>'srbac.views.authitem.header', //default : srbac.views.authitem.header,  
34.            //must be an existing alias 'footer'=>'srbac.views.authitem.footer', //default: srbac.views.authitem.footer,  
35.            //must be an existing alias 'showHeader'=>true, // default: false 'showFooter'=>true, // default: false  
36.            'alwaysAllowedPath'=>'srbac.components', // default: srbac.components  
37.            // must be an existing alias )   
38.        ),         
39.       
40. ),  

 b.import

 

Php代码  

1. 'import'=>array(  
2.     'application.models.*',  
3.     'application.components.*',  
4.        'application.modules.srbac.controllers.SBaseController',  
5. ),  

 c.components

 

Php代码  

1. // application components  
2. 'components'=>array(  
3.     'user'=>array(  
4.         // enable cookie-based authentication  
5.         'allowAutoLogin'=>true,  
6.         //'loginUrl'=>array('auth/login')  
7.     ),  
8.          
9.        //SRBAC  
10.          
11.        'authManager' => array(    
12.            'class'=>'srbac.components.SDbAuthManager',  
13.            // The database component used  
14.            'connectionID'=>'db',  
15.            // The itemTable name (default:authitem)  
16.            'itemTable'=>'authitem',  
17.            // The assignmentTable name (default:authassignment)  
18.            'assignmentTable'=>'authassignment',  
19.            // The itemChildTable name (default:authitemchild)  
20.            'itemChildTable'=>'authitemchild',  
21.        ),  

 

4.然后通过 http://gm.me/snsplus_intranet/index.php?r=srbac/authitem来访问，会建立三张表，然后开始配置就可

 

 

 

RBAC即为role-based access control，它要解决的问题就是“谁能做什么”，分析此句，两大因素，人物（谁），动作（做什么）。

 

人物，在RBAC里分为两层，一层叫user，一层叫role。

张三是user，他可能同时拥有多个role，比如“注册用户”，“版主”，“帖子创建者”等。

user好解释，表中的某行就意味着一个user。

但角色，是由一个业务规则，或是说一个逻辑来指定的。比如“注册用户”的逻辑是“!Yii::app()->user->isGuest”，“版主”的逻辑是“in_array(Yii::app()->user->id, $board->owner_ids)”，“帖子创建者”的逻辑就是“Yii::app()->user->id == $post->user_id”。

如果这个逻辑判断为真，那么当前用户就属于这个角色。

 

动作，这也分两层。一层叫operation，一层叫task。

operation，是指一个原子操作。

而一个task可能包括了多个operation。

举个例子来说，“管理帖子”这个task就包括了“创建帖子”、“删除帖子”，“修改帖子”、“查看帖子”、“帖子列表”这四个operation。而“查看帖子”可能只包括了“查看帖子”、“帖子列表”这两个operation。

 

要执行权限检查，我们首先需要知道授权项目的名字。例如，要检查当前用户是否可以创建帖子，我们需要检查他是否拥有 createPost 所表示的权限。然后我们调用CWebUser::checkAccess 执行权限检查：

 

Php代码  

1. if(Yii::app()->user->checkAccess('createPost'))  
2. {  
3.     // 创建帖子  
4. }  

 

如果授权规则关联了一条需要额外参数的业务规则，我们也可以传递给它。例如，要检查一个用户是否可以更新帖子，我们可以通过 $params 传递帖子的数据：

 

Php代码  

1. $params=array('post'=>$post);  
2. if(Yii::app()->user->checkAccess('updateOwnPost',$params))  
3. {  
4.     // 更新帖子  
5. }  

 

 

许多 Web 程序需要一些可以分配给系统中所有或大多数用户的比较特殊的角色。例如，我们可能想要分配一些权限给所有已通过身份验证的用户。如果我们特意指定并存储这些角色分配，就会引起很多维护上的麻烦。我们可以利用默认角色 解决这个问题。

默认角色就是一个隐式分配给每个用户的角色，这些用户包括通过身份验证的用户和游客。我们不需要显式地将其分配给一个用户。当 CWebUser::checkAccess 被调用时，将会首先检查默认的角色，就像它已经被分配给这个用户一样。

默认角色必须定义在 CAuthManager::defaultRoles 属性中。例如，下面的配置声明了两个角色为默认角色：authenticated 和guest。

 

Php代码  

1. return array(  
2.     'components'=>array(  
3.         'authManager'=>array(  
4.             'class'=>'CDbAuthManager',  
5.             'defaultRoles'=>array('authenticated', 'guest'),  
6.         ),  
7.     ),  
8. );  

 

由于默认角色会被分配给每个用户，它通常需要关联一个业务规则以确定角色是否真的要应用到用户。例如，下面的代码定义了两个角色， authenticated 和guest，很高效地分别应用到了已通过身份验证的用户和游客用户。

 

Php代码  

1. $bizRule='return !Yii::app()->user->isGuest;';  
2. $auth->createRole('authenticated', 'authenticated user', $bizRule);  
3.    
4. $bizRule='return Yii::app()->user->isGuest;';  
5. $auth->createRole('guest', 'guest user', $bizRule);  

 

关于rbac的一个实例：

/config/main.php

 

Php代码  

1. 'authManager' => array(    
2.             //'class'=>'application.modules.srbac.components.SDbAuthManager',  
3.             'class'=>'CDbAuthManager',  
4.             // The database component used  
5.             'connectionID'=>'db',  
6.             // The itemTable name (default:authitem)  
7.             'itemTable'=>'authitem',  
8.             // The assignmentTable name (default:authassignment)  
9.             'assignmentTable'=>'authassignment',  
10.             // The itemChildTable name (default:authitemchild)  
11.             'itemChildTable'=>'authitemchild',  
12.         ),   

 

site控制器的initauth

 

Php代码  

1. public function actionInitauth(){  
2.     $auth=Yii::app()->authManager;  
3.     $auth->createOperation('createPost','create a post');  
4.     $auth->createOperation('readPost','read a post');  
5.     $auth->createOperation('updatePost','update a post');  
6.     $auth->createOperation('deletePost','delete a post');  
7.     //此处的$params是以后要验证的时候checkAccess传进来的参数  
8.     //比如，如果我是帖子的作者，我当前登录的uid是1，那么下面就赋予uid 1 作者这个角色，这样我就可以修改我自己的帖子  
9.     $bizRule='return Yii::app()->user->id==$params["post_uid"];';  
10.       
11.     $task=$auth->createTask('updateOwnPost','update a post by author himself',$bizRule);  
12.     $task->addChild('updatePost');  
13.        
14.     $role=$auth->createRole('reader');  
15.     $role->addChild('readPost');  
16.        
17.     $role=$auth->createRole('author');  
18.     $role->addChild('reader');  
19.     $role->addChild('createPost');  
20.     $role->addChild('updateOwnPost');  
21.        
22.     $role=$auth->createRole('editor');  
23.     $role->addChild('reader');  
24.     $role->addChild('updatePost');  
25.        
26.     $role=$auth->createRole('admin');  
27.     $role->addChild('editor');  
28.     $role->addChild('author');  
29.     $role->addChild('deletePost');  
30.        
31.     $auth->assign('reader',1);  
32.     //赋予uid1为author角色  
33.     $auth->assign('author','1');  
34.     $auth->assign('editor','3');  
35.     $auth->assign('admin','12');     
36. }  

 

 

初始化之后，然后如果你要验证权限updateOwnPost，其实这个权限既可以是task，亦可以是operation

 

Php代码  

1.         $params = array('post_uid' => 1);  
2.         $result = Yii::app()->user->checkAccess('updateOwnPost', $params);  
3.         //此处的假如我知道发布帖子的这个人的uid是1，真实情况下需要做一次查询，这样就会根据之前设置权限的时候的bizRule做复杂一点的自定义校验  
4. /*  
5. $bizRule='return Yii::app()->user->id==$params["post_uid"];'; 
6.  $task=$auth->createTask('updateOwnPost','update a post by author himself',$bizRule); 
7.  */      
8.   
9. 这样的话返回的结果就是true