authorization权限控制_授权(Authorization)

最新推荐文章于 2023-10-26 22:00:00 发布
最新推荐文章于 2023-10-26 22:00:00 发布
阅读量7.8k 收藏 1
点赞数
文章标签: authorization权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34481252/article/details/113029962
版权

授权

授权是指验证用户是否允许做某件事的过程。Yii提供两种授权方法: 存取控制过滤器(ACF)和基于角色的存取控制(RBAC)。

存取控制过滤器

存取控制过滤器(ACF)是一种通过 yii\filters\AccessControl 类来实现的简单授权方法, 非常适用于仅需要简单的存取控制的应用。正如其名称所指,ACF 是一个种行动(action)过滤器 filter,可在控制器或者模块中使用。当一个用户请求一个 action 时, ACF会检查 yii\filters\AccessControl::rules 列表,判断该用户是否允许执 行所请求的action。(译者注: action 在本文中视情况翻译为行动、操作、方法等)

下述代码展示如何在 site 控制器中使用 ACF:

use yii\web\Controller;

use yii\filters\AccessControl;

class SiteController extends Controller

{

public function behaviors()

{

return [

'access' => [

'class' => AccessControl::className(),

'only' => ['login', 'logout', 'signup'],

'rules' => [

[

'allow' => true,

'actions' => ['login', 'signup'],

'roles' => ['?'],

],

[

'allow' => true,

'actions' => ['logout'],

'roles' => ['@'],

],

],

],

];

}

// ...

}

上面的代码中 ACF 以行为 (behavior) 的形式附加到 site 控制器。 这就是很典型的使用行动过滤器的方法。 only 选项指明 ACF 应当只 对 login, logout 和 signup 方法起作用。所有其它的 site 控制器中的方法不受存取控制的限制。 rules 选项列出了 yii\filters\AccessRule,解读如下:

允许所有访客(还未经认证的用户)执行 login 和 signup 操作。 roles 选项包含的问号 ? 是一个特殊的标识,代表”访客用户”。

允许已认证用户执行 logout 操作。@是另一个特殊标识, 代表”已认证用户”。

ACF 自顶向下逐一检查存取规则,直到找到一个与当前 欲执行的操作相符的规则。 然后该匹配规则中的 allow 选项的值用于判定该用户是否获得授权。如果没有找到匹配的规则, 意味着该用户没有获得授权。(译者注: only 中没有列出的操作,将无条件获得授权)

当 ACF 判定一个用户没有获得执行当前操作的授权时,它的默认处理是:

如果该用户是访客,将调用 yii\web\User::loginRequired() 将用户的浏览器重定向到登录页面。

如果该用户是已认证用户,将抛出一个 yii\web\ForbiddenHttpException 异常。

你可以通过配置 yii\filters\AccessControl::denyCallback 属性定制该行为:

[

'class' => AccessControl::className(),

...

'denyCallback' => function ($rule, $action) {

throw new \Exception('You are not allowed to access this page');

}

]

yii\filters\AccessRule 支持很多的选项。下列是所支持选项的总览。 你可以派生 yii\filters\AccessRule 来创建自定义的存取规则类。

yii\filters\AccessRule::allow: 指定该规则是 "允许" 还是 "拒绝" 。(译者注:true是允许,false是拒绝)

yii\filters\AccessRule::actions:指定该规则用于匹配哪些操作。 它的值应该是操作方法的ID数组。匹配比较是大小写敏感的。如果该选项为空,或者不使用该选项, 意味着当前规则适用于所有的操作。

yii\filters\AccessRule::controllers:指定该规则用于匹配哪些控制器。 它的值应为控制器ID数组。匹配比较是大小写敏感的。如果该选项为空,或者不使用该选项, 则意味着当前规则适用于所有的操作。(译者注:这个选项一般是在控制器的自定义父类中使用才有意义)

yii\filters\AccessRule::roles:指定该规则用于匹配哪些用户角色。 系统自带两个特殊的角色,通过 yii\web\User::isGuest 来判断:

?: 用于匹配访客用户 (未经认证)

@: 用于匹配已认证用户

使用其他角色名时,将触发调用 yii\web\User::can(),这时要求 RBAC 的支持 (在下一节中阐述)。 如果该选项为空或者不使用该选项,意味着该规则适用于所有角色。

yii\filt

最低0.47元/天 解锁文章
Yayoi Go
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
authorization权限控制_认证、授权、鉴权和权限控制
weixin_29117669的博客
01-31 1910
1.1 认证、授权、鉴权和权限控制​ 认证 --> 授权 --> 鉴权 --> 权限控制1.1.1 认证(identification)​ 认证主要是用来确认访问者的身份,确认这个人是不是这个人(常见实现方式是通过用户名和密码,以及身份证)。为了确认用户的身份,防止伪造,在安全要求高的场合,经常会使用组合认证(或者叫多因素认证),也就是同时使用多个认证方式对用户的身份进行...
Swagger注解-@Authorization 和 @AuthorizationScope
dejunyang的博客
04-27 1万+
@Authorization 使用场景 接口授权,不单独使用,作为 @Api 或 @ApiOperation 的属性使用 概述 定义要在资源或操作上使用的授权方案。使用的授权方案需要首先在Swagger各级别声明。此注解不直接使用,Swagger不会解析,应该作为 @Api 或 @ApiOperation 属性使用 属性 属性名称 数据类型 默认值 说明 value String ...
Postman中9大Authorization授权机制
qq19970496的博客
05-28 9095
API通过授权来确保客户端请求安全地访问数据。主要包括:发送者身份验证和访问权限认证。Postman中Authorization授权机制主要包括:下面10种 Inheriting auth继承认证 No auth 无授权认证 Bearer Token令牌 Basic auth基本授权认证 Digest auth OAuth 1.0 OAuth 2.0 Hawk authentication AWS Signature NLTM authentication 1Inheriting auth继承认证 如果将
认证 (Authentication) 和授权 (Authorization)的区别是什么?
weixin_71812382的博客
03-15 1478
认证 (Authentication) 和授权 (Authorization)的区别是什么?
SpringBoot集成Swagger3接口文档及添加Authorization授权
dengdaijc的专栏
12-12 1万+
SpringBoot集成swagger3接口文档,支持oauth授权测试接口。
flask-restplus框架swagger页面的Authorizations认证登陆功能
arnolan的博客
05-04 4009
效果 对于flask-restplus框架,本身集成了swagger api页面,那么如何在swagger页面当中显示一个“Authorize”模块呢,如下图所示: 点击Authorize按钮弹出窗中可以输入Username和Password 方案 事实上,我们在申明api对象的时候是可以指定Authoritarian的方式的,然后启动主程序即可: # 以下为Basic验证举例 # 先声明一...
AUAT授权系统v1.0.zip_AUAT_Authorization_fpr_yky_授权
09-24
在AUAT授权系统中,index.php可能包含了主要的业务逻辑,如用户登录、授权验证、权限管理等功能。 4. **install.sql**: 这个文件包含了创建数据库表结构的SQL脚本,用于初始化AUAT授权系统的数据库。安装过程中,...
PriManage.rar_DELPHI 权限_delphi 权限控制_delphi权限管理_权限delphi
09-23
5. **授权Authorization)和验证(Authentication)**:验证用户身份后,根据其角色授权执行操作。 6. **事件驱动编程**:在菜单项的点击事件中,进行权限检查,决定是否执行相应操作。 7. **数据库操作权限**:...
ERP信息化专业资料:SAP专业学习资料01_authorization_in_bw.ppt
09-29
【ERP信息化专业资料:SAP专业学习资料01_authorization_in_bw.ppt】这份文档主要聚焦于SAP Business Warehouse (BW)系统中的权限管理,即Authorization in BW,这是ERP信息化领域的一个关键知识点。BW是SAP提供的...
Oauth_授权_
09-28
标题中的“Oauth_授权_”明确指出我们要探讨的是OAuth授权机制,这在开发具有权限控制功能的项目中至关重要。描述中的“授权专用,当项目再做某一个权限控制时,可以集成此类”进一步强调了OAuth在实现特定权限管理...
elixir_authorization_tutorial:此存储库是Phoenix应用程序中有关授权的截屏视频的配套代码
02-05
1. 克隆或下载`elixir_authorization_tutorial-master`仓库。 2. 安装Elixir和Phoenix环境,确保所有依赖项都已安装。 3. 阅读代码,理解Phoenix项目的基本结构和组件。 4. 按照视频教程逐步运行和测试代码。 5. ...
解释token及Authorization
weixin_41917467的博客
11-24 3万+
header里面放Authorization,就是为了验证用户身份,现在前后端分离,有跨域问题,session经常会失效 所以使用了token来验证用户身份(目前只知道可以用于验证用户身份) token和session拥有同一功能就是判断当前用户是不是之前登录了的用户 比如你登陆后,在同一浏览器不同页面打开同一网址,你想跳过登录环节 这时候因为跨域问题,发送给后台的session会是一个新的ses...
登录和第三方授权(Cookie和Authorization
Vincent的博客
03-13 1万+
文章目录1 登录和授权的区别2 Cookie2.1 Cookie的工作机制2.2 Cookie的作用2.3 Cookie存在的问题(了解即可)3 Authorization3.1 Basic3.2 Bearer3.2.1 OAuth2流程(第三方授权)3.2.2 微信登录(第三方登录)3.2.3 OAuth2流程简单总结3.2.4 自家App中使用Bearer token3.2.5 Refresh...
4种认证(authentication)或授权authorization)方式
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
认证 (Authentication) 和授权 (Authorization) 的区别
CsbLanca
10-25 1116
authentication(认证) 和 authorization(授权), 举个例子来说: 你要登机,你需要出示你的身份证和机票,身份证是为了证明你张三确实是你张三,这就是 authentication;而机票是为了证明你张三确实买了票可以上飞机,这就是 authorization。 在 computer science 领域再举个例子: 你要登陆论坛,输入用户名张三,密码1234,密码正确,...
授权信息(登录信息)解析为接口方法的参数(@Authorization + HandlerMethodArgumentResolver + WebMvcConfigurer)
宋冠巡的博客
10-26 203
对于需要`授权或登录`的系统,大量的接口,需要获取到用户的 ` 授权信息 / 登录信息 ` 。这些信息可能存在于Session或token中。 将` 授权信息 / 登录信息 `解析为`接口`的`参数`。 这样避免了在每个接口中重复写信息解析的代码,提交了效率。
Http请求Authorization认证
热门推荐
程序员深夜写bug
03-21 10万+
1、需求 a、对http请求进行访问权限设定 b、对特定请求方法进行拦截,统一进行权限认证 2、方案 自定义注解(用于控制哪些方法需要拦截),通过AOP在需要拦截的Controller方法进行统一拦截权限认证 3、代码 a、自定义注解 import java.lang.annotation.*; @Target({ElementType.PA...
b050闲置图书分享-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
最新发布
07-23
本次开发的闲置图书分享平台实现了收货地址管理、字典管理、公告管理、留言板管理、图书管理、图书收藏管理、图书评价管理、图书订单管理、用户管理、管理员管理等功能。系统用到了关系型数据库中王者MySql作为系统的数据库,有效的对数据进行安全的存储,有效的备份,对数据可靠性方面得到了保证。并且程序也具备程序需求的所有功能,使得操作性还是安全性都大大提高,让闲置图书分享平台更能从理念走到现实,确确实实的让人们提升信息处理效率。 管理图书的数据,此页面主要实现图书的增加、修改、删除、查看的功能。公告信息管理页面提供的功能操作有:新增公告,修改公告,删除公告操作。公告类型管理页面显示所有公告类型,在此页面既可以让管理员添加新的公告信息类型,也能对已有的公告类型信息执行编辑更新,失效的公告类型信息也能让管理员快速删除。
Shiro权限控制入门教程:身份验证、授权与Spring集成详解
Shiro是一个强大的安全框架,用于身份验证(Authentication)、授权Authorization)以及会话管理和缓存集成。以下是主要内容概览: 1. **章节一:SHIRO简介** - 本章首先介绍了Shiro的基本概念,包括其在Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值