• yii 基于php的Rbac权限控制


    RBAC, 基于角色的访问控制, 对RBAC有问题的朋友, 可以转移到: 基于角色的访问控制RBAC 一文, 进行了解.

    Yii2中, 实现的是NIST RBAC模型.

    Yii2中, 的RBAC管理, 涉及到的内容有: 权限, 角色, 规则, 为角色赋予权限, 为用户分配角色.

    我们会以一个案例, 贯穿整个RBAC的使用, 请继续阅读, 和跟随练习, 保证可以全面了解Yii2的RBAC机制实现.

    目标案例准备

    准备一:  控制器中的几个动作方法, 完成典型的CRUD方法, 不去展示具体的方法实现, 仅针对访问这些方法的权限进行测试, 代码如下:

    <?php
    /**
     * Created by phpstorm
     * User: jinlei
     * Date: 2017/5/30
     * Time: 21:26
     */
    namespace backendcontrollers;
    use yiiwebController;
    class PostController extends Controller
    {
        public function actionAdd()
        {
            return $this->renderContent('添加');
        }
        public function actionDelete()
        {
            return $this->renderContent('删除');
        }
        public function actionUpdate()
        {
            return $this->renderContent('更新');
        }
        public function actionSelect()
        {
            return $this->renderContent('查询');
        }
    }

    准备二: 创建几个用户, 便于分配不同的角色, 进行访问权限测试. 用户表, 采用yii2提供的默认user表结构, 如果没有可以使用如下的命令创建, 进入yii2项目根目录, 键入下面的命令:

    $./yii migrate/create create_users_table
    $./yii migrate

    此时用户user表, 就被自动创建出来了. (PS: 你要先配置好数据库连接db组件才可以) 插入几条用户测试数据, 可以用yii2自带的注册功能完成(r=site/signup), 注册完成后, 当前的user表内容和结构如下:

    注意上面的用户ID

    有了以上的动作和用户的基本数据后, 就可以完成, 哪个用户属于某个角色, 是否具有操作某个动作的RBAC测试了. 继续..

     

    配置授权管理组件


    授权管理组件authManager, 是完成Yii2中权限管理和检查的核心组件, 因此需要先配置. 以Php文件存储授权数据为例, config/web.php配置如下:

    return [
        'components' => [
            'authManager' => [
                'class' => 'yii
    bacPhpManager',
            ],
    }

    该授权组件, 可选择由PHP文件存储授权数据或使用数据库存储授权数据. 分别使用yii bacPhpManager和yii bacDbManager实现. 文件存储直观, 编辑简单, 但不适合频繁大量的授权更新操作. 而数据库管理方案适合频繁的授权变动. 请依据自己项目的情况自行选择.  以上的配置中, 选择的PhpManager, 以PHP文件方式存储授权, 此时需要@app/rbac目录(backend/rbac)存在, 并具有可写权限. 如果需要使用数据库管理授权数据, 请看后边的DbManager授权管理小节.

    配置完毕后, 使用Yii::$app->authManager就可以访问到授权组件了.

     

    管理角色


    角色是yii bacRole类的实例, 通过Yii::$app->authManage组件的createRole()方法可以创建,  创建角色时需要为角色确定ID. 创建完毕后, 使用Yii::$app->authManage组件的add()方法将角色添加. 示例代码如下:

    // 获取authMananger组件对象
    $auth = Yii::$app->authManager;
    // 增加3个角色
    $author = $auth->createRole('author');
    $auth->add($author);
    $reader = $auth->createRole('reader');
    $auth->add($reader);
    $editor = $auth->createRole('editor');
    $auth->add($editor);

    可以将以上代码定义在任意的控制器方法中, 请求运行该方法, 就会生成3个角色, 存储在PHP文件或者数据表中.取决于实现authManager组件的具体类. 我们选择的PhpManager, 则会存储在文件中.

    文件位于@app/rbac目录的items.php文件中:

    items.php
    <?php
    return [
        'author' => [
            'type' => 1,
        ],
        'reader' => [
            'type' => 1,
        ],
        'editor' => [
            'type' => 1,
        ],
    ];

    可见, 增加了author, reader, editor的3个角色.

    额外的, 角色不但可以增加, 还可以删除, 使用authManager对象的方法remove(), 就可以删除:

     $editor = $auth->createRole('editor');
    $auth->remove($editor);

    为用户分配角色


    有了角色之后, 就可以将用户和角色关联起来了, 去设置, 那个用户属于那个角色.

    使用Yii::$app->authManager组件对象的assign()方法, 就可以为用户分配角色. 或者将角色分配给某个用户.

    使用下面的代码, 可以为我们之间的测试用户分配不同的角色:

    // 为用户分配角色
    $auth->assign($author, 2);
    $auth->assign($reader, 2);
    $auth->assign($reader, 3);
    $auth->assign($reader, 4);
    $auth->assign($editor, 5);
    // 2, 3, 4, 5是不同的用户ID.

    可以将以上代码定义在任意的控制器方法中, 请求运行该方法. 就分配了不同的角色给不同的用户. 其中2ID的用户, 同时属于两个角色 author和reader.

    同样的, 分配完成后, Yii::$app->authManager组件对象会记录下用户所属的角色, 记录在@app/rbac/assignments.php文件中, 本例的结果如下:

    <?php
    return [
        2 => [
            'author',
            'reader',
        ],
        3 => [
            'reader',
        ],
        4 => [
            'reader',
        ],
        5 => [
            'editor',
        ],
    ];

    可以看到, 不同的用户ID, 对应不同的角色. 而且2ID用户对于2个角色, author和reader.

    到此, 为用户分配角色的任务完成.

    ACF权限过滤(静态的授权管理)


    当用户与角色的关系建立完毕后,  就可以去配置授权了.

    配置方法之一, 也是比较容易的方法, 就是使用之前说过的ACF访问控制过滤器(ACF不了解的朋友, 可以参考小韩说理的:  Yii2权限管理之ACF), 完成哪个角色的用户可以访问那个动作的过滤, 示例过滤器的配置如下:

    @app/controllers/PostController.php
    class PostController extends Controller
    {
    // 定义过滤器的方法
        public function behaviors()
        {
            return [
                // 访问过滤控制器
                'access' => [
                    'class' => AccessControl::className(),
                    'only' => ['add', 'delete', 'update', 'select'],
                    'rules' => [
                        // author角色的访问授权
                        [
                            'allow' => true,
                            'actions' => ['add', 'update'],
                            'roles' => ['author'],
                        ],
                        // editor角色的访问授权
                        [
                            'allow' => true,
                            'actions' => ['update', 'select', 'delete'],
                            'roles' => ['editor'],
                        ],
                        // reader的访问授权
                        [
                            'allow' => true,
                            'actions' => ['select'],
                            'roles' => ['reader'],
                        ],
                    ],
    
    
                ],
            ];
        }
    // 此控制器的其他代码, 包含: add, select, update, delete动作
    }

    经过以上的配置之后, 就确定了, 哪些角色可以访问哪些动作. 这样, 当特定的用户登录时,  确定当前用户的角色, 就可以确定是否有权限访问动作了.

    测试访问

    其实, 到此, 就已经完成了, RBAC, 基于角色的访问控制的实现. 可以好好整理, 休息下了.


    实操中, 新的问题就是, 如何动态的配置权限? 如何更精致的管理权限? ACF的方式就有点吃力的, 因为他需要与定义在控制器中的behaviors()方法配合使用, 如果需要更改权限, 就需要更改behaviors()中的代码. 因此, 想要获得更动态的授权的管理办法, 请继续阅读: 授权管理和规则管理 小节, 获得更完整的内容.

     

    authManager授权管理(动态的授权管理)


    动态管理权限, 其实就是将用权限分配和校验, 都是使用PHP代码完成, 在程序运行时完成, 需要的方法如下

    $auth = Yii::$app->authMananger;

    $auth->createPermission(), 创建权限对象

    $auth->createRole(), 创建角色对象

    $auth->add(), 添加角色或者权限或者规则

    $auth->addChild(), 为角色赋予权限, 添加子权限

    $auth->assign(), 为用户分配角色

    $auth->remove(), 删除某个授权数据

    $auth->removeAll(), 删除全部授权数据包括, 角色, 权限, 规则

    Yii::$app->user->can(‘权限’))检测用户是否具有某权限

    以上方法, 有的已经用过了.

    下面就组成一个可以动态管理的代码示例:

    // 增加的用于测试权限管理方法的动作, 放在控制器中请求执行即可
    public function actionAuth()
    {       
            $auth = Yii::$app->authManager;
            // 删除全部
            $auth->removeAll();
    
            // 增加权限
            $postAdd = $auth->createPermission('postAdd');
            $postAdd->description = '文章添加';
            $auth->add($postAdd);
            $postDelete = $auth->createPermission('postDelete');
            $postDelete->description = '文章删除';
            $auth->add($postDelete);
            $postUpdate = $auth->createPermission('postUpdate');
            $postUpdate->description = '文章编辑';
            $auth->add($postUpdate);
            $postSelect = $auth->createPermission('postSelect');
            $postSelect->description = '文章查看';
            $auth->add($postSelect);
    
            // 增加角色
            $author = $auth->createRole('author');
            $auth->add($author);
            $reader = $auth->createRole('reader');
            $auth->add($reader);
            $editor = $auth->createRole('editor');
            $auth->add($editor);
    
    
            // 为角色赋予权限
            $auth->addChild($author, $postAdd);// 作者 添加文章
            $auth->addChild($author, $postUpdate);// 作者 编辑文章
            $auth->addChild($reader, $postSelect);// 读者 看文章
            $auth->addChild($editor, $postDelete);
            $auth->addChild($editor, $postSelect);
            $auth->addChild($editor, $author);
            $auth->addChild($editor, $reader);
    
            // 为用户分配角色
            $auth->assign($author, 2);
            $auth->assign($reader, 2);
            $auth->assign($reader, 3);
            $auth->assign($reader, 4);
            $auth->assign($editor, 5);
    }

    以上代码一旦运行, 就会生成权限文件和权限分配文件如下:

    权限文件:items.php

    items.php权限列表文件
    <?php
    return [
        'postAdd' => [
            'type' => 2,
            'description' => '文章添加',
        ],
        'postDelete' => [
            'type' => 2,
            'description' => '文章删除',
        ],
        'postUpdate' => [
            'type' => 2,
            'description' => '文章编辑',
        ],
        'postSelect' => [
            'type' => 2,
            'description' => '文章查看',
        ],
        'author' => [
            'type' => 1,
            'children' => [
                'postAdd',
                'postUpdate',
            ],
        ],
        'reader' => [
            'type' => 1,
            'children' => [
                'postSelect',
            ],
        ],
        'editor' => [
            'type' => 1,
            'children' => [
                'postDelete',
                'postSelect',
                'author',
                'reader',
            ],
        ],
    ];

    角色分配文件:assignments.php

    assignments.php角色分配文件
    <?php
    return [
        2 => [
            'author',
            'reader',
        ],
        3 => [
            'reader',
        ],
        4 => [
            'reader',
        ],
        5 => [
            'editor',
        ],
    ];

    大家可以看到, 这个角色分配文件, 与我们之前的一致.

    在此基础上, 增加了权限记录文件items.php 这个文件记录下来了那个角色有哪些权限, 这样就不需要再使用ACF进行权限与动作的对应了.

    注意, 在yii的RBAC系统中, 可以将角色视为权限的集合, 因此 才会有代码:

            $auth->addChild($author, $postAdd);// 作者 添加文章
            $auth->addChild($author, $postUpdate);// 作者 编辑文章
            $auth->addChild($reader, $postSelect);// 读者 看文章
            $auth->addChild($editor, $postDelete);
            $auth->addChild($editor, $postSelect);
            $auth->addChild($editor, $author); // 添加author角色权限为editor权限的子权限
            $auth->addChild($editor, $reader);

    将权限设置为角色的子对象, 和将角色设置为角色的自对象. 可以理解成权限的集合, 和集合的合并(继承)操作.

    有了以上的代码,  就有能力去动态的设置角色的权限了. 可以在后台增加一个权限管理界面,  完成角色的权限分配了.

    权限的校验(动态校验)

    当使用了动态授权管理后, 通常就不去使用ACF管理权限了.

    就可以使用user组件提供的can()方法来检测当前用户是否具有某个权限了. 在某个具体的动作中, 使用方法: $user->can(‘postAdd’) 就可以知道是否具有操作postAdd的权限, 示例代码如下:

        public function actionAdd()
        {
            $user = Yii::$app->user;
            if (! $user->can('postAdd')) {
                return $this->renderContent('没有权限执行该操作');
            }
    
            return $this->renderContent('添加');
        }

    此时, 登录的用户, 就可以判断是否具有postAdd权限, 从而去继续执行. 此时不再需要配置access过滤器了.

    有了该方法, 就可以完全自由的去选择, 在何处完成校验权限了.

    (PS: 也可以使用yii bacManagerInterface::checkAccess()方法)

     

    自定义授权规则


    我们除了可以动态的管理授权规则外, Yii中还提供更加自由的自定义的授权规则, 例如, 我们所定义的例子, 作者角色不能删除post, 包括他自己的. 此时, 在业务逻辑上就会出现问题.

    如果需要修正, 作者不能删除post, 但是可以删除自己发布的post这个逻辑上权限问题, 就可以使用自定义授权规则rule完成:

    我们需要先创建一个规则, 起个名字, 并在execute()方法中定义自己的验证逻辑, 示例代码如下:

    <?php
    /**
     * Created by phpstorm
     * User: jinlei
     * Date: 2017/5/30
     * Time: 21:26
     */
    namespace backend
    bac; use yii
    bacRule; class AuthorDelete extends Rule { public $name = 'deleteIsAuthor'; /** * @param string|integer $user 用户 ID. * @param Item $item 该规则相关的角色或者权限 * @param array $params 传给 ManagerInterface::checkAccess() 的参数 * @return boolean 代表该规则相关的角色或者权限是否被允许 */ public function execute($user, $item, $params) { // 判断post的createdby是否为当前用户($user为当前用户ID) return isset($params['post']) ? $params['post']->createdBy == $user : false; } }

    定义好规则后, 与某个权限绑定,  之后将权限与作者author角色绑定:

    增加规则, 增加绑定规则的权限, 权限分配角色, 设置权限层级:

            // 增加规则
            $authorDeleteRule = new ackend
    bacAuthorDelete;
            $auth->add($authorDeleteRule);
            
            // 增加权限, 绑定规则
            $authorDelete = $auth->createPermission('authorDelete');
            $authorDelete->description = '作者删除文章允许';
            // 绑定规则
            $authorDelete->ruleName = $authorDeleteRule->name;
            $auth->add($authorDelete);
            
            // 将权限分配给author角色 
            $auth->addChild($author, $authorDelete);
            // postDelete规则作为authorDelete规则的子规则, 这样, 在检测postDelete规则时就会向上找到authorDelete规则
            $auth->addChild($authorDelete, $postDelete);

    设置完毕后, 在@app/rbac/rules.php文件中, 就生成了规则的配置内容:

    rules.php
    <?php
    return [
        'deleteIsAuthor' => 'O:25:"backend\rbac\AuthorDelete":3:{s:4:"name";s:14:"deleteIsAuthor";s:9:"createdAt";N;s:9:"updatedAt";N;}',
    ];

    规则配置好后,  在检测用户权限时, 传递额外的post参数表示文章, 即可:

    //  测试用删除动作
        public function actionDelete()
        {
            // 伪造的文章
            $post = new stdClass();
    //        文章作者ID
            $post->createdBy = 2;// xiao的ID, yes
            // $post->createdBy = 3;// han的ID, no
            $user = Yii::$app->user;
            // 校验时, 传递当前文章
            if (! $user->can('postDelete', ['post'=>$post])) {
                return $this->renderContent('没有权限执行该操作');
            }
            return $this->renderContent('删除');
        }

    上面的测试中, 假设文章作者的ID是2, 这样, 在xiao用户, 登录时, xiao用户没有postDelete权限, 但是执行该操作是可以成功的! 就是执行了我们定义的规则校验!

    规则, 可大大提升rbac的授权验证法则, 不仅仅限于动作层面, 可以增加自己的业务逻辑, 一下就使得权限的验证的规则就上升了一个层次. 值得大家去好好好好学习..

  • 相关阅读:
    Python-Celery分布式任务队列
    1、Go语言基础之变量和常量
    Django-使用支付宝支付
    jmeter处理http请求Content-Type类型和传参方式
    LR中解决接口请求中包含中文字符,服务器不识别的问题
    LoadRunner随机数
    LoadRunner参数传递给参数
    LoadRunner脚本编写
    [Scala] 语法基础
    [设计模式] 设计模式课程(十一)-- 单例模式
  • 原文地址:https://www.cnblogs.com/cjymuyang/p/9448595.html
Copyright © 2020-2023  润新知