寫在前面

• 以下內容適合Yii 1.0.x，其他版本可能有略微的差別。
• 根據您的評論和反饋，本文會不斷進行修改和補充，以方便新學習者。

開始準備

Yii提供了強大的配置機制和很多現成的類庫。在Yii中使用RBAC是很簡單的，完全不需要再寫RBAC代碼。所以準備工作就是，打開編輯器，跟我來。

設置參數、建立數據庫

在配置數組中，增加以下內容：

那這三個數據表怎么建立呢？很簡單，去看framework/web/auth/schema.sql。注意要和你的自定義的表名稱對應起來。比如SQL文件中的AuthItem你要修改為pre_auth_item。然后在數據庫中運行這個SQL文件中的語句。

了解概念

你可能要問，剩下的代碼呢？我告訴你，沒有啦。RBAC系統就這樣建立起來了。但是為了使用它，你需要了解它的運行機制。我會盡量講的啰嗦一點……（官方的RBAC文檔在這里，但是我曾經看了4-5遍才明白。）

三個概念

你需要了解的是，授權項目可分為operations（行動）,tasks（任務）和 roles（角色）。

一個用戶擁有一個或者多個角色，比如，我們這里有三個角色：銀行行長、銀行職員、顧客。我們假設：

• 張行長 有角色：銀行行長、銀行職員、顧客（人家自己可以存錢嘛）。
• 王職員 有角色：銀行職員、顧客。
• 小李 有角色：顧客。

那么，相應的，只要顧客可以做的事情，小李就可以做，王職員和張行長也可以。銀行職員可以做的事情，王職員和張行長都可以做，小李就不可以了。

比如，一個“顧客”可以存錢，那么擁有“顧客”角色的張行長、王職員、小李都可以存錢。“銀行職員”可以打印顧客的交易記錄，那么有“銀行職員”角 色的張行長和王職員都可以，而小李不行，必須找一個有“銀行職員”角色的人才可以打印詳細的交易記錄。一個“銀行行長”才可以進入銀行錢庫提錢，那么只有 張行長可以，因為它才有“銀行行長”的角色。

這就是基于角色的認證體系，簡稱RBAC。

角色的繼承

角色是可以繼承的，比如我們規定如下：

• 凡是“銀行行長”都是“銀行職員”，也就是說，只要銀行職員可以做的事情，銀行行長都可以做。
• 凡是“銀行職員”都是顧客，同上，顧客可以做的事情銀行職員也可以做。

那么角色關系就變成了：

• 張行長 有角色：銀行行長。
• 王職員 有角色：銀行職員。
• 小李 有角色：顧客。

這樣更簡單了，這就是角色的繼承。

任務的繼承

一個任務（task）是可以包含另外一個任務的，我們舉個例子，比如“進入銀行”。

我們設定“顧客”這個角色有“進入銀行”的權限。也就是說，“顧客”可以執行“進入銀行”的任務。接下來，我們假設“進入柜臺”是進入銀行的父權 限，也就是說，“進入柜臺”包含“進入銀行”。只要能“進入柜臺”的人都可以“進入銀行”。我們把“進入柜臺”這個任務權限給“銀行職員”。

那么從角色上來說，王職員可以進入銀行，因為王職員的角色是“銀行職員”，而“銀行職員”包含了“顧客”的角色。那么“顧客”可以進行的“任務”對于“銀行職員”來說也是可以進行的。而“顧客”可以“進入銀行”，那么王職員也可以“進入銀行”。這是角色的繼承帶來的。

我們再假設有個趙領導，是上級領導，可以進入柜臺進行視察。那么，我們的任務關系是：

• 趙領導 有任務：進入柜臺。

那么，趙領導就可以“進入銀行”。因為“進入銀行”是被“進入柜臺”包含的任務。只要可以執行“進入柜臺”的人都可以執行“進入銀行”。這就是任務的繼承。

關于行動

行動是不可劃分的一級。也就是說。而一個行動是不能包含其他行動的。假設我們有個行動叫“從銀行倉庫中提錢”。我們把這個行動作包含“進入柜臺”。那么只要可以執行“從銀行倉庫中提錢”的角色都可以執行“進入柜臺”這個任務。

三者關系

• 一個角色可以包含另外一個或者幾個角色。
• 一個角色可以包含另外一個或者幾個任務。
• 一個角色可以包含另外一個或者幾個行動。
• 一個任務可以包含另外一個或者幾個任務。
• 一個任務可以包含另外一個或者幾個行動。
• 一個行動只能被角色或者任務包含，行動是不可以包含其他，也不可再分。

這樣，就形成了一個權限管理體系。關于“任務”和“行動”，你不必思考其字面上的意義。這兩者就是形成兩層權限。

進行賦權

我們建立了RBAC權限管理，就需要進行對權限的WEB管理。這些就需要你自己寫代碼了。

根據不同種類的項目調用下列方法之一定義授權項目：

• CAuthManager::createRole
• CAuthManager::createTask
• CAuthManager::createOperation

一旦我們擁有一套授權項目，我們可以調用以下方法建立授權項目關系：

• CAuthManager::addItemChild
• CAuthManager::removeItemChild
• CAuthItem::addChild
• CAuthItem::removeChild

最后，我們調用下列方法來分配角色項目給各個用戶：

• CAuthManager::assign
• CAuthManager::revoke

下面我們將展示一個例子是關于用所提供的API建立一個授權等級：

$auth=Yii::app()->authManager;  
$auth->createOperation('createPost','create a post'); 
$auth->createOperation('readPost','read a post'); 
$auth->createOperation('updatePost','update a post'); 
$auth->createOperation('deletePost','delete a post');  

$bizRule='return Yii::app()->user->id==$params["post"]->authID;'; 
$task=$auth->createTask('updateOwnPost','update a post by author himself',$bizRule); 
$task->addChild('updatePost');  

$role=$auth->createRole('reader'); 
$role->addChild('readPost');  

$role=$auth->createRole('author'); 
$role->addChild('reader'); 
$role->addChild('createPost'); 
$role->addChild('updateOwnPost'); 

$role=$auth->createRole('editor'); 
$role->addChild('reader'); 
$role->addChild('updatePost');  

$role=$auth->createRole('admin'); 
$role->addChild('editor'); 
$role->addChild('author');
$role->addChild('deletePost');  

$auth->assign('reader','readerA'); 
$auth->assign('author','authorB'); 
$auth->assign('editor','editorC'); 
$auth->assign('admin','adminD');

也就是說，你需要自己寫一個管理界面，來列出你的角色、任務、行動，然后可以在這個界面上進行管理。比如增加、刪除、修改。

權限檢查

假設你在你的管理界面進行了賦權，那么可以在程序里面進行權限檢查：

if(  Yii::app()->user->checkAccess('createPost')  )

{

// 這里可以顯示表單等操作

} else　{

// 檢查沒有通過的可以跳轉或者顯示警告

}

上面的代碼就檢查了用戶是否可以執行“createPost”，這createPost可能是一個任務，也可以是一個行動。

其他的

對于很多說Yii權限體系RBAC不好用的人其實都沒有看懂文檔。綜合我的體驗，我感覺Yii框架的RBAC是我用過的框架里面最好用的。而且是需要自己寫代碼最少的。

Yii的RBAC有更加高級的用法，比如“業務規則”，“默認角色”。你可以去參考官方文檔。

我知道，會有部分人仍舊不理解RBAC，或者不會用Yii的RBAC。沒有關系，你可以在下方的評論框里提問。

happy Yii ！