後臺的準備工作,除了皮膚,還有一個很重要的功能點,就是權限控制。
Yii2提供了一個權限控制的基礎框架,利用的是RBAC(Role Based Access Control),基於角色的訪問控制。
簡單說,不同角色有不同的權限,比如角色有admin/guest,admin可以瀏覽頁面,管理用戶,而guest用戶就只能瀏覽頁面,等等。到一個具體的用戶,可以綁定到一個角色上,從而行使該角色擁有的權限。
將vendor/yiisoft/yii2/rbac/migration/m140506_102106_rbac_init.php文件複製到console/migration文件下。
或者執行
yii
migrate --migrationPath=@yii/rbac/migrations
在yii目錄下,運行yii migrate,會提示是否運行我們剛複製進去的腳本,輸入yes,完成後可以看到數據庫中已經新建了四張表。
這些表的具體功能請參考 http://blog.csdn.net/yiifans/article/details/27528327
這裏不再贅述,主要講解如何將rbac使用起來。
首先我們的代碼裏做些配置。
common/config/main-local.php,將authManager改爲調用數據庫的方式,如下
...
'components' => [
...
'authManager' => [
'class' => 'yii\rbac\DbManager',
'defaultRoles' => ['guest'],
],
...
],
...
寫一個命令行腳本來初始化rbac和使用rbac。
在console/controllers/下新建RbacController.php
先說一下,console/controllers下的控制器是通過yii根目錄下的命令行工具yii運行的,也是支持route,即RbacController的actionInit方法,是用yii rbac/init進行調用的。
RbacController的代碼如下
<?php
namespace console\controllers;
use yii\console\Controller;
class RbacController extends Controller {
/**
* Init base roles
*/
public function actionInit() {
$auth = \Yii::$app->authManager;
$auth->removeAll();
$managerUser = $auth->createPermission("managerUser");
$managerUser->description = "manage user list";
$auth->add($managerUser);
$guest = $auth->createRole("guest");
$auth->add($guest);
$admin = $auth->createRole("admin");
$auth->add($admin);
$auth->addChild($admin, $managerUser);
}
/**
* Assign a specific role to the given user id
* @param int $userid
* @param string $role
*/
public function actionAssign($userid, $role) {
$auth = \Yii::$app->authManager;
$roleItem = $auth->getRole($role);
If ($roleItem == null) {
throw new Exception("the role is not found");
}
$auth->assign($roleItem, $userid);
}
}
其中的php-doc會顯示在命令行工具裏,輸入yii help,結果如下
首先輸入 yii rbac/init,這時會創建出兩個角色,admin和guest,其中admin會有managerUser的權限,而guest則沒有。
然後輸入 yii rbac/assign 1 admin,作用是給userid爲1的用戶配一個admin的角色。
準備工作完畢後,測試下權限是否生效。
新建backend/controllers/UserController.php,複寫behaviors方法,爲不同的action配置不同的權限。這裏我們爲manager-user的action添加了需要manageUser權限才能訪問的配置。具體代碼如下。
<?php
namespace backend\controllers;
use yii\web\Controller;
use yii\filters\AccessControl;
class UserController extends Controller {
public function behaviors() {
return [
'access' => [
'class' => AccessControl::className (),
'rules' => [
[
'actions' => [ 'update-userprofile'],
'allow' => true,
'roles' => [ '@' ]
],
[
'actions' => [ 'manage-user'],
'allow' => true,
'roles' => [ 'admin' ]
]
]
],
];
}
public function actionUpdateUserprofile()
{
return "sth";
}
public function actionManageUser() {
return "inside";
}
}
role爲@表示任何已登錄的用戶都可以訪問,role爲admin表示角色爲admin的用戶纔可以進行訪問。
可以試驗下結果。
admin用戶訪問時
非admin用戶訪問時