Yii的Srbac插件用法详解


Posted in PHP onJuly 14, 2016

本文实例讲述了Yii的Srbac插件用法。分享给大家供大家参考,具体如下:

Yii的rbac,从开始安装arbc模块扩展,到调试分析其原理,断断续续地也花了不少时间。当然你了解它后,你会发现,yii的abrc是多的方便, 可以让你轻松实现资源控制访问,非常强大。现在就整理下学习笔记,分享一下。虽然authMangner组件实现了rbac,但是没有实现可视化编辑管 理。目前官方有Srbac 和 Right两个比较好的扩展模块,我们用它们非常方便的可视化管理角色(roles),任务(tasks),操作(operations)。

基于角色的访问控制( Role-Based Access Control ),是一种简单的而又强大的集中访问控制。基于Yii Framework 的 authManager 组件实现了分等级的 RBAC,能够帮助我们解决开发中遇到一些资源控制访问的问题。

对于这两个扩展模块,其实功能都差不多的,只是界面上的不同。看个人喜欢什么风格,就选择那个模块测试。至于安装调试,你只要下载它们,里面有详细介绍。下面我们分析下authManager 组件实现的原理。

授权项目,就是判断一个用户是否允许操作特定的资源,通过检查用户是否属于有权限访问该项资源的角色来判断。这里我们要明白,授权项目,角色,任务,操作之间的关系。

1.授权项目可分为,角色,任务,操作;
2.角色可以由若干个任务组成;
3.任务可以有若干个操作组成;
4.操作就是一个许可,不可在分。

这里也还要提到,业务规则问题,它其实就是一段php代码,在检查权限的时候会被执行。

下面我们分析下rbac实现中,需要三张表:authassignment、authitem、authitemchild的结构:

itemname varchar(64) 角色名称,区分大小写
userid   varchar(64) 用户ID,是自己项目中用户表的id
bizrule  text        业务规则,一段php code
data     text        序列化后的数组,用于给bizrule提供参数

name varchar(64) authassignment中的itemname相同

type integer     类型标识(0,1,2)
        |
        |-------- 0 表示 Operation 操作
        |-------- 1 表示 Task 任务
        |-------- 2 表示 Role 角色

description  text    相关描述
bizrule  text        业务规则,一段php code
data     text        序列化后的数组,用于给bizrule提供参数

parent    varchar(64) 父级名称,[角色名,也可以是任务];
children  varchar(64) 子对象名称。[任务名,也可以是操作];

使用验证方法CWebUser::checkAccess(),下面用一段demo code说明:

if(Yii::app()->user->checkAccess(what,$params)) {
  //what  --- role,或者task,也可以是operation,
  //params --- 是传进业务规则的参数key-value;
}

下面就演示一下具体的一个用户删除文章的操作:

$params=array('uid'=>$id);
if(Yii::app()->user->checkAccess('delArticle',$params)) {
  //检查当前用户是否有删除文章权限
  //并且使用业务规则,检查用户id等于文章里面的作者id
  //通过验证,就执行删除操作
}

Yii-srbac- 权限扩展模块工作原理

1、设置权限规则表:可放在module模块配置文件里面

public function init() {
  //操作权限表,必须存在以下字段:
  //itemname角色名/ID,
  //type授权项目类型/1(任务)或者2(角色),
  //bizrule权限/逻辑运算表达式为false是有权限操作,
  //data数据/YII暂无利用
  Yii::app()->authManager->itemTable = 'AuthItem';
  //会员组-权限对应表,必须存在以下字段:
  //child子角色/ID,
  //parent父角色/ID,此表可循环执行,可多级继承
  Yii::app()->authManager->itemChildTable = 'uthItemChild';
  //会员-会员组对应表,会员组可直接为操作名称,必须存在以下字段:
  //itemname角色名/ID,
  //userid用户名/ID,
  //bizrule权限/逻辑运算表达式为false是有权限操作,
  //data数据/YII暂无利用
  Yii::app()->authManager->assignmentTable = 'zd_mem_glog';
}

2、实现规则,所在控制器继承基类SBaseController,原来为Controller

class ProductController extends SBaseController
{
    ........
}
class SBaseController extends Controller
{
    ........
}

3、SBaseController继承基类Controller,前填加beforeAction,实现权限验证。

protected function beforeAction($action) {
  //载入模块分隔符
  $del = Helper::findModule('srbac')->delimeter;
  //取得前模块名称
  $mod = $this->module !== null ? $this->module->id . $del : "";
  $contrArr = explode("/", $this->id);
  $contrArr[sizeof($contrArr) - 1] = ucfirst($contrArr[sizeof($contrArr) - 1]);
  $controller = implode(".", $contrArr);
  $controller = str_replace("/", ".", $this->id);
  // 生成静态页面 模块+分隔符+控制器(首字母大写)+方法(首字母大写)例: model-ControllerAction
  if(sizeof($contrArr)==1){
   $controller = ucfirst($controller);
  }
  $access = $mod . $controller . ucfirst($this->action->id);
  //验证访问页面地址是否在总是允许列表里面,是返回有权限
  if (in_array($access, $this->allowedAccess())) {
   return true;
  }
  //验证SRBAC有无安装,没在安装,返回的权限访问
  if (!Yii::app()->getModule('srbac')->isInstalled()) {
   return true;
  }
  //验证SRBAC有无开启,没在开启,返回的权限访问
  if (Yii::app()->getModule('srbac')->debug) {
   return true;
  }
  // 权限验证
  if (!Yii::app()->user->checkAccess($access) || Yii::app()->user->isGuest) {
   $this->onUnauthorizedAccess();
  } else {
   return true;
  }
}

4、CDbAuthManager读取当前用户角色

public function getAuthAssignments($userId)
{
  $rows=$this->db->createCommand()
    ->select()
    ->from($this->assignmentTable)
    ->where('userid=:userid', array(':userid'=>$userId))
    ->queryAll();
  $assignments=array();
  foreach($rows as $row)
  {
    if(($data=@unserialize($row['data']))===false)
      $data=null;
    $assignments[$row['itemname']]=new CAuthAssignment($this,$row['itemname'],$row['userid'],$row['bizrule'],$data);
  }
  return $assignments;
}

5、CDbAuthManager读取角色对应权限

public function getAuthItem($name)
{
  $row=$this->db->createCommand()
    ->select()
    ->from($this->itemTable)
    ->where('name=:name', array(':name'=>$name))
    ->queryRow();
  if($row!==false)
  {
    if(($data=@unserialize($row['data']))===false)
      $data=null;
    return new CAuthItem($this,$row['name'],$row['type'],$row['description'],$row['bizrule'],$data);
  }
  else
    return null;
}

6、CDbAuthManager读取权限对应操作

protected function checkAccessRecursive($itemName,$userId,$params,$assignments)
{
  if(($item=$this->getAuthItem($itemName))===null)
    return false;
  Yii::trace('Checking permission "'.$item->getName().'"','system.web.auth.CDbAuthManager');
  if(!isset($params['userId']))
    $params['userId'] = $userId;
  if($this->executeBizRule($item->getBizRule(),$params,$item->getData()))
  {
    if(in_array($itemName,$this->defaultRoles))
      return true;
    if(isset($assignments[$itemName]))
    {
      $assignment=$assignments[$itemName];
      if($this->executeBizRule($assignment->getBizRule(),$params,$assignment->getData()))
        return true;
    }
    $parents=$this->db->createCommand()
      ->select('parent')
      ->from($this->itemChildTable)
      ->where('child=:name', array(':name'=>$itemName))
      ->queryColumn();
    foreach($parents as $parent)
    {
      if($this->checkAccessRecursive($parent,$userId,$params,$assignments))
        return true;
    }
  }
  return false;
}

7、CAuthManager验证权限

public function executeBizRule($bizRule,$params,$data)
{
  return $bizRule==='' || $bizRule===null || ($this->showErrors ? eval_r($bizRule)!=0 : @eval_r($bizRule)!=0);
}

三、SRBAC 测试

SRBAC里面一些需要注意的配置信息
SRBAC主题环境的搭建,以及如何将其整合到我们具体的项目中(可以将其放到modules目录下,再在配置文件中进行一些配置)上面有说的

在install的时候我们可以选择是否生成一些测试数据,当然,如果没有生成的话也不要紧,我们可以自己根据它的规则来手动进行一些数据的配置。

在介绍数据的配置之前,我们需要对折个SRBAC模块的工作原理有一点了解:

SRBAC模块是通过roles-- tasks-- operations 这三者之间的映射关系来实现权限控制的。

users对应于我们的用户

roles对应于我们系统需要的所有角色名称

operations对应于我们我们需要进行权限管理的所有具体操作的名称(例如某个具体的action,我们只允许某个role来访问)

在SRBAC的主界面我们可以看到三个icon,分别对应于不同的操作。

我们就先来新建一些我们需要的数据信息(对应于第一个icon):

新建具体的operation:这里的operation的命名需要注意,必须是ControllernameActionname的格式。controller、action的名字组合,且二者的首字母都必须要大写。

新建具体的task:一个task可以对应于多个operation,我们可以按照相应的功能来命名task。例如:可以使用News Management 来表示新闻管理的task。这里的命名没有严格的格式要求,只要做到见名知意即可。

新建具体的roles:这个很简单,就是输入我们需要的角色而已。
ok,数据新建完毕。接下来我们就来到assign页面(对应于第二个icon),对具体的数据来进行映射设置了。

根据前面所说的,将operations分配给各个task,然后我们再将tasks分配给具体的role。

最后再给user指定roles。

到这一步,我们的权限配置基本就结束了。

这时,我们可以通过点击第三个icon来查看我们具体的用户的权限信息时候正确。

确认无误以后,我们就可以来进行我们的权限验证了。

不过,在此之前还有最后一步,我们要确认已经关闭了SRBAC的debug模式。

因为查看源代码我们会发现,如果debug模式是开启状态的话,我们的权限管理是不会起作用的。

可以到config/main.php来进行查看:

'modules' => array(
  'srbac' => array(
    'userclass' => 'User',
    'userid' => 'id',
    'username' => 'username',
    'debug' => false,//confirm this field

到这一步,我们的权限模块就可以work了。去检查一下我们的配置是否正常吧,呵呵

希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。

PHP 相关文章推荐
header中Content-Disposition的作用与使用方法
Jun 13 PHP
Could not load type System.ServiceModel.Activation.HttpModule解决办法
Dec 29 PHP
基于HBase Thrift接口的一些使用问题及相关注意事项的详解
Jun 03 PHP
深入extjs与php参数交互的详解
Jun 25 PHP
php把大写命名转换成下划线分割命名
Apr 27 PHP
PHP使用NuSOAP调用Web服务的方法
Jul 18 PHP
PHP实现仿Google分页效果的分页函数
Jul 29 PHP
php无限分类使用concat如何实现
Nov 05 PHP
ThinkPHP静态缓存简单配置和使用方法详解
Mar 23 PHP
CodeIgniter分页类pagination使用方法示例
Mar 28 PHP
让Laravel API永远返回JSON格式响应的方法示例
Sep 05 PHP
TP5框架实现上传多张图片的方法分析
Mar 29 PHP
Yii中srbac权限扩展模块工作原理与用法分析
Jul 14 #PHP
Yii视图操作之自定义分页实现方法
Jul 14 #PHP
全面解析PHP操作Memcache基本函数
Jul 14 #PHP
Yii视图CGridView实现操作按钮定义地址示例
Jul 14 #PHP
Yii中的relations数据关联查询及统计功能用法详解
Jul 14 #PHP
Yii基于CActiveForm的Ajax数据验证用法示例
Jul 14 #PHP
Yii实现Command任务处理的方法详解
Jul 14 #PHP
You might like
php邮件发送,php发送邮件的类
2011/03/24 PHP
PHP 时间日期操作实战
2011/08/26 PHP
php将mysql数据库整库导出生成sql文件的具体实现
2014/01/08 PHP
PHP快速生成各种信息提示框的方法
2016/02/03 PHP
PHPExcel导出2003和2007的excel文档功能示例
2017/01/04 PHP
PHP封装的验证码工具类定义与用法示例
2018/08/22 PHP
asp.net和asp下ACCESS的参数化查询
2008/06/11 Javascript
JS面向对象编程浅析
2011/08/28 Javascript
jQuery使用一个按钮控制图片的伸缩实现思路
2013/04/19 Javascript
解决window.opener=null;window.close(),只支持IE6不支持IE7,IE8的问题
2014/01/14 Javascript
浅谈Javascript实现继承的方法
2015/07/06 Javascript
当jquery ajax遇上401请求的解决方法
2016/05/19 Javascript
Vue.js每天必学之方法与事件处理器
2016/09/06 Javascript
JavaScript-html标题滚动效果的简单实现
2016/09/08 Javascript
JS基于onclick事件实现单个按钮的编辑与保存功能示例
2017/02/13 Javascript
原生js编写2048小游戏
2017/03/17 Javascript
fullPage.js和CSS3实现全屏滚动效果
2017/05/05 Javascript
深入学习JavaScript 高阶函数
2019/06/11 Javascript
详解element-ui动态限定的日期范围选择器代码片段
2020/07/03 Javascript
js获取图片的base64编码并压缩
2020/12/05 Javascript
[48:51]完美世界DOTA2联赛PWL S2 Magma vs InkIce 第一场 11.28
2020/12/02 DOTA
python 字典(dict)遍历的四种方法性能测试报告
2014/06/25 Python
仅用500行Python代码实现一个英文解析器的教程
2015/04/02 Python
python和ruby,我选谁?
2017/09/13 Python
Python Numpy 数组的初始化和基本操作
2018/03/13 Python
在Python中将函数作为另一个函数的参数传入并调用的方法
2019/01/22 Python
浅谈keras中Dropout在预测过程中是否仍要起作用
2020/07/09 Python
利用Storage Event实现页面间通信的示例代码
2018/07/26 HTML / CSS
小橄榄树:Le Petit Olivier
2018/04/23 全球购物
Parfumdreams英国:香水和化妆品
2019/05/10 全球购物
不错的求职信范文
2014/07/20 职场文书
2014办公室副主任四风对照检查材料思想汇报
2014/09/20 职场文书
大学自主招生自荐信(2016精选篇)
2016/01/28 职场文书
python tqdm用法及实例详解
2021/06/16 Python
Nginx动静分离配置实现与说明
2022/04/07 Servers
前端使用svg图片改色实现示例
2022/07/23 HTML / CSS