三個概念
你需要瞭解的是,授權項目可分為operations(行動),tasks(任務)和 roles(角色)。
一個使用者擁有一個或者多個角色,比如,我們這裡有三個角色:銀行行長、銀行職員、顧客。我們假設:
* 張行長 有角色:銀行行長、銀行職員、顧客(人家自己可以存錢嘛)。
* 王職員 有角色:銀行職員、顧客。
* 小李 有角色:顧客。
那麼,相應的,只要顧客可以做的事情,小李就可以做,王職員和張行長也可以。銀行職員可以做的事情,王職員和張行長都可以做,小李就不可以了。
比如,一個“顧客”可以存錢,那麼擁有“顧客”角色的張行長、王職員、小李都可以存錢。“銀行職員”可以列印顧客的交易記錄,那麼有“銀行職員”角色的張行長和王職員都可以,而小李不行,必須找一個有“銀行職員”角色的人才可以列印詳細的交易記錄。一個“銀行行長”才可以進入銀行錢庫提錢,那麼只有張行長可以,因為它才有“銀行行長”的角色。
這就是基於角色的認證體系,簡稱RBAC。
角色的繼承
角色是可以繼承的,比如我們規定如下:
* 凡是“銀行行長”都是“銀行職員”,也就是說,只要銀行職員可以做的事情,銀行行長都可以做。
* 凡是“銀行職員”都是顧客,同上,顧客可以做的事情銀行職員也可以做。
那麼角色關係就變成了:
* 張行長 有角色:銀行行長。
* 王職員 有角色:銀行職員。
* 小李 有角色:顧客。
這樣更簡單了,這就是角色的繼承。
任務的繼承
一個任務(task)是可以包含另外一個任務的,我們舉個例子,比如“進入銀行”。
我們設定“顧客”這個角色有“進入銀行”的許可權。也就是說,“顧客”可以執行“進入銀行”的任務。接下來,我們假設“進入櫃檯”是進入銀行的父許可權,也就是說,“進入櫃檯”包含“進入銀行”。只要能“進入櫃檯”的人都可以“進入銀行”。我們把“進入櫃檯”這個任務許可權給“銀行職員”。
那麼從角色上來說,王職員可以進入銀行,因為王職員的角色是“銀行職員”,而“銀行職員”包含了“顧客”的角色。那麼“顧客”可以進行的“任務”對於“銀行職員”來說也是可以進行的。而“顧客”可以“進入銀行”,那麼王職員也可以“進入銀行”。這是角色的繼承帶來的。
我們再假設有個趙領導,是上級領導,可以進入櫃檯進行視察。那麼,我們的任務關係是:
* 趙領導 有任務:進入櫃檯。
那麼,趙領導就可以“進入銀行”。因為“進入銀行”是被“進入櫃檯”包含的任務。只要可以執行“進入櫃檯”的人都可以執行“進入銀行”。這就是任務的繼承。
關於行動
行動是不可劃分的一級。也就是說。而一個行動是不能包含其他行動的。假設我們有個行動叫“從銀行倉庫中提錢”。我們把這個行動作包含“進入櫃檯”。那麼只要可以執行“從銀行倉庫中提錢”的角色都可以執行“進入櫃檯”這個任務。
三者關係
* 一個角色可以包含另外一個或者幾個角色。
* 一個角色可以包含另外一個或者幾個任務。
* 一個角色可以包含另外一個或者幾個行動。
*
* 一個任務可以包含另外一個或者幾個任務。
* 一個任務可以包含另外一個或者幾個行動。
*
* 一個行動只能被角色或者任務包含,行動是不可以包含其他,也不可再分。
這樣,就形成了一個許可權管理體系。關於“任務”和“行動”,你不必思考其字面上的意義。這兩者就是形成兩層許可權。
進行賦權
我們建立了RBAC許可權管理,就需要進行對許可權的WEB管理。這些就需要你自己寫代碼了。
根據不同種類的項目調用下列方法之一定義授權項目:
* CAuthManager::createRole
* CAuthManager::createTask
* CAuthManager::createOperation
一旦我們擁有一套授權項目,我們可以調用以下方法建立授權項目關係:
* CAuthManager::addItemChild
* CAuthManager::removeItemChild
* CAuthItem::addChild
* CAuthItem::removeChild
最後,我們調用下列方法來分配角色項目給各個使用者:
* CAuthManager::assign
* CAuthManager::revoke
下面我們將展示一個例子是關於用所提供的API建立一個授權等級:
複製代碼 代碼如下:
$auth=Yii::app()->authManager;
$auth->createOperation('createPost','create a post');
$auth->createOperation('readPost','read a post');
$auth->createOperation('updatePost','update a post');
$auth->createOperation('deletePost','delete a post');
$bizRule='return Yii::app()->user->id==$params["post"]->authID;';
$task=$auth->createTask('updateOwnPost','update a post by author himself',$bizRule);
$task->addChild('updatePost');
$role=$auth->createRole('reader');
$role->addChild('readPost');
$role=$auth->createRole('author');
$role->addChild('reader');
$role->addChild('createPost');
$role->addChild('updateOwnPost');
$role=$auth->createRole('editor');
$role->addChild('reader');
$role->addChild('updatePost');
$role=$auth->createRole('admin');
$role->addChild('editor');
$role->addChild('author');
$role->addChild('deletePost');
$auth->assign('reader','readerA');
$auth->assign('author','authorB');
$auth->assign('editor','editorC');
$auth->assign('admin','adminD');
也就是說,你需要自己寫一個管理介面,來列出你的角色、任務、行動,然後可以在這個介面上進行管理。比如增加、刪除、修改。
許可權檢查
假設你在你的管理介面進行了賦權,那麼可以在程式裡面進行許可權檢查:
複製代碼 代碼如下:
if( Yii::app()->user->checkAccess('createPost') )
{
// 這裡可以顯示表單等操作
} else {
// 檢查沒有通過的可以跳轉或者顯示警告
}
上面的代碼就檢查了使用者是否可以執行“createPost”,這createPost可能是一個任務,也可以是一個行動。
其他的
對於很多說Yii許可權體系RBAC不好用的人其實都沒有看懂文檔。綜合我的體驗,我感覺Yii架構的RBAC是我用過的架構裡面最好用的。而且是需要自己寫代碼最少的。
Yii的RBAC有更加進階的用法,比如“商務規則”,“預設角色”。你可以去參考官方文檔。
我知道,會有部分人仍舊不理解RBAC,或者不會用Yii的RBAC。沒有關係,你可以在下方的評論框裡提問。
happy Yii !
http://www.bkjia.com/PHPjc/327750.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/327750.htmlTechArticle寫在前面 * 我的feed地址已經修改為: http://feeds.imdong.net ,請更新您的閱讀器。 * 以下內容適合Yii 1.0.x,其他版本可能有略微的差別。 * 根...
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
