Yii2 framework学习笔记(六) -- RBAC-PHP开发-PHP中文网

后台的准备工作，除了皮肤，还有一个很重要的功能点，就是权限控制。

Yii2提供了一个权限控制的基础框架，利用的是RBAC(Role Based Access Control)，基于角色的访问控制。

简单说，不同角色有不同的权限，比如角色有admin/guest，admin可以浏览页面，管理用户，而guest用户就只能浏览页面，等等。到一个具体的用户，可以绑定到一个角色上，从而行使该角色拥有的权限。

将vendor/yiisoft/yii2/rbac/migration/m140506_102106_rbac_init.php文件复制到console/migration文件下。

在yii目录下，运行yii migrate，会提示是否运行我们刚复制进去的脚本，输入yes，完成后可以看到数据库中已经新建了四张表。

这些表的具体功能请参考 http://blog.csdn.net/yiifans/article/details/27528327
这里不再赘述，主要讲解如何将rbac使用起来。

首先我们的代码里做些配置。

common/config/main-local.php，将authManager改为调用数据库的方式，如下

...     
 'components' => [  
        ...  
        'authManager' => [  
            'class' => 'yii\rbac\DbManager',  
            'defaultRoles' => ['guest'],  
        ],  
        ...  
 ],  
...

写一个命令行脚本来初始化rbac和使用rbac。

在console/controllers/下新建RbacController.php

先说一下，console/controllers下的控制器是通过yii根目录下的命令行工具yii运行的，也是支持route，即RbacController的actionInit方法，是用yii rbac/init进行调用的。

RbacController的代码如下

<?php

namespace console\controllers;

use yii\console\Controller;
class RbacController extends Controller {
	/**
	 * Init base roles
	 */
	public function actionInit() {
		
		$auth = \Yii::$app->authManager;
		
		$auth->removeAll();
		
		$managerUser = $auth->createPermission("managerUser");
		$managerUser->description = "manage user list";
		$auth->add($managerUser);
		
		$guest = $auth->createRole("guest");
		$auth->add($guest);
		
		$admin = $auth->createRole("admin");
		$auth->add($admin);
		$auth->addChild($admin, $managerUser);
	}
	
	/**
	 * Assign a specific role to the given user id 
	 * @param int $userid
	 * @param string $role
	 */
	public function actionAssign($userid, $role) {
		$auth = \Yii::$app->authManager;
		$roleItem = $auth->getRole($role);
		If ($roleItem == null) {
			throw new Exception("the role is not found");
		}
		$auth->assign($roleItem, $userid);
	}
}

其中的php-doc会显示在命令行工具里，输入yii help，结果如下

首先输入 yii rbac/init，这时会创建出两个角色，admin和guest，其中admin会有managerUser的权限，而guest则没有。

然后输入 yii rbac/assign 1 admin，作用是给userid为1的用户配一个admin的角色。

准备工作完毕后，测试下权限是否生效。

新建backend/controllers/UserController.php，复写behaviors方法，为不同的action配置不同的权限。这里我们为manager-user的action添加了需要manageUser权限才能访问的配置。具体代码如下。

<?php
namespace backend\controllers;

use yii\web\Controller;
use yii\filters\AccessControl;
class UserController extends Controller {
	
	public function behaviors() {
		return [ 
			'access' => [ 
				'class' => AccessControl::className (),
				'rules' => [ 
					[ 
						'actions' => [ 'update-userprofile'],
						'allow' => true,
						'roles' => [ '@' ]
					],
					[
						'actions' => [ 'manage-user'],
						'allow' => true,
						'roles' => [ 'admin' ]
					]
				] 
			],
		];
	}
	
	public function actionUpdateUserprofile()
	{
		return "sth";
	}
	
	public function actionManageUser() {
		return "inside";
	}
}

role为@表示任何已登录的用户都可以访问，role为admin表示角色为admin的用户才可以进行访问。

可以试验下结果。

admin用户访问时