寫在前面
- 以下內(nèi)容適合Yii 1.0.x,其他版本可能有略微的差別。
- 根據(jù)您的評(píng)論和反饋,本文會(huì)不斷進(jìn)行修改和補(bǔ)充,以方便新學(xué)習(xí)者。
開始準(zhǔn)備
Yii提供了強(qiáng)大的配置機(jī)制和很多現(xiàn)成的類庫(kù)。在Yii中使用RBAC是很簡(jiǎn)單的,完全不需要再寫RBAC代碼。所以準(zhǔn)備工作就是,打開編輯器,跟我來。
設(shè)置參數(shù)、建立數(shù)據(jù)庫(kù)
在配置數(shù)組中,增加以下內(nèi)容:
| ‘components‘ => array( |
| //…… |
| ‘authManager‘=>array( |
| ‘class‘=>‘CDbAuthManager‘,//認(rèn)證類名稱 |
| ‘defaultRoles‘=>array(‘guest‘),//默認(rèn)角色 |
| ‘itemTable‘ => ‘pre_auth_item‘,//認(rèn)證項(xiàng)表名稱 |
| ‘itemChildTable‘ => ‘pre_auth_item_child‘,//認(rèn)證項(xiàng)父子關(guān)系 |
| ‘assignmentTable‘ => ‘pre_auth_assignment‘,//認(rèn)證項(xiàng)賦權(quán)關(guān)系 |
| ), |
| //…… |
那這三個(gè)數(shù)據(jù)表怎么建立呢?很簡(jiǎn)單,去看framework/web/auth/schema.sql。注意要和你的自定義的表名稱對(duì)應(yīng)起來。比如SQL文件中的AuthItem你要修改為pre_auth_item。然后在數(shù)據(jù)庫(kù)中運(yùn)行這個(gè)SQL文件中的語句。
了解概念
你可能要問,剩下的代碼呢?我告訴你,沒有啦。RBAC系統(tǒng)就這樣建立起來了。但是為了使用它,你需要了解它的運(yùn)行機(jī)制。我會(huì)盡量講的啰嗦一點(diǎn)……(官方的RBAC文檔在這里,但是我曾經(jīng)看了4-5遍才明白。)
三個(gè)概念
你需要了解的是,授權(quán)項(xiàng)目可分為operations(行動(dòng)),tasks(任務(wù))和 roles(角色)。
一個(gè)用戶擁有一個(gè)或者多個(gè)角色,比如,我們這里有三個(gè)角色:銀行行長(zhǎng)、銀行職員、顧客。我們假設(shè):
- 張行長(zhǎng) 有角色:銀行行長(zhǎng)、銀行職員、顧客(人家自己可以存錢嘛)。
- 王職員 有角色:銀行職員、顧客。
- 小李 有角色:顧客。
那么,相應(yīng)的,只要顧客可以做的事情,小李就可以做,王職員和張行長(zhǎng)也可以。銀行職員可以做的事情,王職員和張行長(zhǎng)都可以做,小李就不可以了。
比如,一個(gè)“顧客”可以存錢,那么擁有“顧客”角色的張行長(zhǎng)、王職員、小李都可以存錢。“銀行職員”可以打印顧客的交易記錄,那么有“銀行職員”角 色的張行長(zhǎng)和王職員都可以,而小李不行,必須找一個(gè)有“銀行職員”角色的人才可以打印詳細(xì)的交易記錄。一個(gè)“銀行行長(zhǎng)”才可以進(jìn)入銀行錢庫(kù)提錢,那么只有 張行長(zhǎng)可以,因?yàn)樗庞?#8220;銀行行長(zhǎng)”的角色。
這就是基于角色的認(rèn)證體系,簡(jiǎn)稱RBAC。
角色的繼承
角色是可以繼承的,比如我們規(guī)定如下:
- 凡是“銀行行長(zhǎng)”都是“銀行職員”,也就是說,只要銀行職員可以做的事情,銀行行長(zhǎng)都可以做。
- 凡是“銀行職員”都是顧客,同上,顧客可以做的事情銀行職員也可以做。
那么角色關(guān)系就變成了:
- 張行長(zhǎng) 有角色:銀行行長(zhǎng)。
- 王職員 有角色:銀行職員。
- 小李 有角色:顧客。
這樣更簡(jiǎn)單了,這就是角色的繼承。
任務(wù)的繼承
一個(gè)任務(wù)(task)是可以包含另外一個(gè)任務(wù)的,我們舉個(gè)例子,比如“進(jìn)入銀行”。
我們?cè)O(shè)定“顧客”這個(gè)角色有“進(jìn)入銀行”的權(quán)限。也就是說,“顧客”可以執(zhí)行“進(jìn)入銀行”的任務(wù)。接下來,我們假設(shè)“進(jìn)入柜臺(tái)”是進(jìn)入銀行的父權(quán) 限,也就是說,“進(jìn)入柜臺(tái)”包含“進(jìn)入銀行”。只要能“進(jìn)入柜臺(tái)”的人都可以“進(jìn)入銀行”。我們把“進(jìn)入柜臺(tái)”這個(gè)任務(wù)權(quán)限給“銀行職員”。
那么從角色上來說,王職員可以進(jìn)入銀行,因?yàn)橥趼殕T的角色是“銀行職員”,而“銀行職員”包含了“顧客”的角色。那么“顧客”可以進(jìn)行的“任務(wù)”對(duì)于“銀行職員”來說也是可以進(jìn)行的。而“顧客”可以“進(jìn)入銀行”,那么王職員也可以“進(jìn)入銀行”。這是角色的繼承帶來的。
我們?cè)偌僭O(shè)有個(gè)趙領(lǐng)導(dǎo),是上級(jí)領(lǐng)導(dǎo),可以進(jìn)入柜臺(tái)進(jìn)行視察。那么,我們的任務(wù)關(guān)系是:
- 趙領(lǐng)導(dǎo) 有任務(wù):進(jìn)入柜臺(tái)。
那么,趙領(lǐng)導(dǎo)就可以“進(jìn)入銀行”。因?yàn)?#8220;進(jìn)入銀行”是被“進(jìn)入柜臺(tái)”包含的任務(wù)。只要可以執(zhí)行“進(jìn)入柜臺(tái)”的人都可以執(zhí)行“進(jìn)入銀行”。這就是任務(wù)的繼承。
關(guān)于行動(dòng)
行動(dòng)是不可劃分的一級(jí)。也就是說。而一個(gè)行動(dòng)是不能包含其他行動(dòng)的。假設(shè)我們有個(gè)行動(dòng)叫“從銀行倉(cāng)庫(kù)中提錢”。我們把這個(gè)行動(dòng)作包含“進(jìn)入柜臺(tái)”。那么只要可以執(zhí)行“從銀行倉(cāng)庫(kù)中提錢”的角色都可以執(zhí)行“進(jìn)入柜臺(tái)”這個(gè)任務(wù)。
三者關(guān)系
- 一個(gè)角色可以包含另外一個(gè)或者幾個(gè)角色。
- 一個(gè)角色可以包含另外一個(gè)或者幾個(gè)任務(wù)。
- 一個(gè)角色可以包含另外一個(gè)或者幾個(gè)行動(dòng)。
- 一個(gè)任務(wù)可以包含另外一個(gè)或者幾個(gè)任務(wù)。
- 一個(gè)任務(wù)可以包含另外一個(gè)或者幾個(gè)行動(dòng)。
- 一個(gè)行動(dòng)只能被角色或者任務(wù)包含,行動(dòng)是不可以包含其他,也不可再分。
這樣,就形成了一個(gè)權(quán)限管理體系。關(guān)于“任務(wù)”和“行動(dòng)”,你不必思考其字面上的意義。這兩者就是形成兩層權(quán)限。
進(jìn)行賦權(quán)
我們建立了RBAC權(quán)限管理,就需要進(jìn)行對(duì)權(quán)限的WEB管理。這些就需要你自己寫代碼了。
根據(jù)不同種類的項(xiàng)目調(diào)用下列方法之一定義授權(quán)項(xiàng)目:
一旦我們擁有一套授權(quán)項(xiàng)目,我們可以調(diào)用以下方法建立授權(quán)項(xiàng)目關(guān)系:
最后,我們調(diào)用下列方法來分配角色項(xiàng)目給各個(gè)用戶:
下面我們將展示一個(gè)例子是關(guān)于用所提供的API建立一個(gè)授權(quán)等級(jí):
$auth=Yii::app()->authManager;
$auth->createOperation('createPost','create a post');
$auth->createOperation('readPost','read a post');
$auth->createOperation('updatePost','update a post');
$auth->createOperation('deletePost','delete a post');
$bizRule='return Yii::app()->user->id==$params["post"]->authID;';
$task=$auth->createTask('updateOwnPost','update a post by author himself',$bizRule);
$task->addChild('updatePost');
$role=$auth->createRole('reader');
$role->addChild('readPost');
$role=$auth->createRole('author');
$role->addChild('reader');
$role->addChild('createPost');
$role->addChild('updateOwnPost');
$role=$auth->createRole('editor');
$role->addChild('reader');
$role->addChild('updatePost');
$role=$auth->createRole('admin');
$role->addChild('editor');
$role->addChild('author');
$role->addChild('deletePost');
$auth->assign('reader','readerA');
$auth->assign('author','authorB');
$auth->assign('editor','editorC');
$auth->assign('admin','adminD');
也就是說,你需要自己寫一個(gè)管理界面,來列出你的角色、任務(wù)、行動(dòng),然后可以在這個(gè)界面上進(jìn)行管理。比如增加、刪除、修改。
權(quán)限檢查
假設(shè)你在你的管理界面進(jìn)行了賦權(quán),那么可以在程序里面進(jìn)行權(quán)限檢查:
if( Yii::app()->user->checkAccess('createPost') ) { // 這里可以顯示表單等操作
} else { // 檢查沒有通過的可以跳轉(zhuǎn)或者顯示警告
}
上面的代碼就檢查了用戶是否可以執(zhí)行“createPost”,這createPost可能是一個(gè)任務(wù),也可以是一個(gè)行動(dòng)。
其他的
對(duì)于很多說Yii權(quán)限體系RBAC不好用的人其實(shí)都沒有看懂文檔。綜合我的體驗(yàn),我感覺Yii框架的RBAC是我用過的框架里面最好用的。而且是需要自己寫代碼最少的。
Yii的RBAC有更加高級(jí)的用法,比如“業(yè)務(wù)規(guī)則”,“默認(rèn)角色”。你可以去參考官方文檔。
我知道,會(huì)有部分人仍舊不理解RBAC,或者不會(huì)用Yii的RBAC。沒有關(guān)系,你可以在下方的評(píng)論框里提問。
happy Yii !
posted on 2013-01-15 19:38
小果子 閱讀(1978)
評(píng)論(2) 編輯 收藏 引用 所屬分類:
學(xué)習(xí)筆記 、
框架 、
開源