寫在前面

• 以下內容適合Yii 1.0.x，其他版本可能有略微的差別。
• 根據您的評論和反饋，本文會不斷進行修改和補充，以方便新學習者。

開始準備

Yii提供了強大的配置機制和很多現成的類庫。在Yii中使用RBAC是很簡單的，完全不需要再寫RBAC代碼。所以準備工作就是，打開編輯器，跟我來。

設置參數、建立數據庫

在配置數組中，增加以下內容：

那這三個數據表怎么建立呢？很簡單，去看framework/web/auth/schema.sql。注意要和你的自定義的表名稱對應起來。比如SQL文件中的AuthItem你要修改為pre_auth_item。然后在數據庫中運行這個SQL文件中的語句。

了解概念

你可能要問，剩下的代碼呢？我告訴你，沒有啦。RBAC系統就這樣建立起來了。但是為了使用它，你需要了解它的運行機制。我會盡量講的啰嗦一點……（官方的RBAC文檔在這里，但是我曾經看了4-5遍才明白。）

三個概念

你需要了解的是，授權項目可分為operations（行動）,tasks（任務）和 roles（角色）。

一個用戶擁有一個或者多個角色，比如，我們這里有三個角色：銀行行長、銀行職員、顧客。我們假設：

• 張行長 有角色：銀行行長、銀行職員、顧客（人家自己可以存錢嘛）。
• 王職員 有角色：銀行職員、顧客。
• 小李 有角色：顧客。

那么，相應的，只要顧客可以做的事情，小李就可以做，王職員和張行長也可以。銀行職員可以做的事情，王職員和張行長都可以做，小李就不可以了。

比如，一個“顧客”可以存錢，那么擁有“顧客”角色的張行長、王職員、小李都可以存錢。“銀行職員”可以打印顧客的交易記錄，那么有“銀行職員”角 色的張行長和王職員都可以，而小李不行，必須找一個有“銀行職員”角色的人才可以打印詳細的交易記錄。一個“銀行行長”才可以進入銀行錢庫提錢，那么只有 張行長可以，因為它才有“銀行行長”的角色。

這就是基于角色的認證體系，簡稱RBAC。

角色的繼承

角色是可以繼承的，比如我們規定如下：

• 凡是“銀行行長”都是“銀行職員”，也就是說，只要銀行職員可以做的事情，銀行行長都可以做。
• 凡是“銀行職員”都是顧客，同上，顧客可以做的事情銀行職員也可以做。

那么角色關系就變成了：

• 張行長 有角色：銀行行長。
• 王職員 有角色：銀行職員。
• 小李 有角色：顧客。

這樣更簡單了，這就是角色的繼承。

任務的繼承

一個任務（task）是可以包含另外一個任務的，我們舉個例子，比如“進入銀行”。

我們設定“顧客”這個角色有“進入銀行”的權限。也就是說，“顧客”可以執行“進入銀行”的任務。接下來，我們假設“進入柜臺”是進入銀行的父權 限，也就是說，“進入柜臺”包含“進入銀行”。只要能“進入柜臺”的人都可以“進入銀行”。我們把“進入柜臺”這個任務權限給“銀行職員”。

那么從角色上來說，王職員可以進入銀行，因為王職員的角色是“銀行職員”，而“銀行職員”包含了“顧客”的角色。那么“顧客”可以進行的“任務”對于“銀行職員”來說也是可以進行的。而“顧客”可以“進入銀行”，那么王職員也可以“進入銀行”。這是角色的繼承帶來的。

我們再假設有個趙領導，是上級領導，可以進入柜臺進行視察。那么，我們的任務關系是：

• 趙領導 有任務：進入柜臺。

那么，趙領導就可以“進入銀行”。因為“進入銀行”是被“進入柜臺”包含的任務。只要可以執行“進入柜臺”的人都可以執行“進入銀行”。這就是任務的繼承。

關于行動

行動是不可劃分的一級。也就是說。而一個行動是不能包含其他行動的。假設我們有個行動叫“從銀行倉庫中提錢”。我們把這個行動作包含“進入柜臺”。那么只要可以執行“從銀行倉庫中提錢”的角色都可以執行“進入柜臺”這個任務。

三者關系

• 一個角色可以包含另外一個或者幾個角色。
• 一個角色可以包含另外一個或者幾個任務。
• 一個角色可以包含另外一個或者幾個行動。
• 一個任務可以包含另外一個或者幾個任務。
• 一個任務可以包含另外一個或者幾個行動。
• 一個行動只能被角色或者任務包含，行動是不可以包含其他，也不可再分。

這樣，就形成了一個權限管理體系。關于“任務”和“行動”，你不必思考其字面上的意義。這兩者就是形成兩層權限。

進行賦權

我們建立了RBAC權限管理，就需要進行對權限的WEB管理。這些就需要你自己寫代碼了。

根據不同種類的項目調用下列方法之一定義授權項目：

• CAuthManager::createRole
• CAuthManager::createTask
• CAuthManager::createOperation

一旦我們擁有一套授權項目，我們可以調用以下方法建立授權項目關系：

• CAuthManager::addItemChild
• CAuthManager::removeItemChild
• CAuthItem::addChild
• CAuthItem::removeChild

最后，我們調用下列方法來分配角色項目給各個用戶：

• CAuthManager::assign
• CAuthManager::revoke

下面我們將展示一個例子是關于用所提供的API建立一個授權等級：

$auth=Yii::app()->authManager;  
$auth->createOperation('createPost','create a post'); 
$auth->createOperation('readPost','read a post'); 
$auth->createOperation('updatePost','update a post'); 
$auth->createOperation('deletePost','delete a post');  

$bizRule='return Yii::app()->user->id==$params["post"]->authID;'; 
$task=$auth->createTask('updateOwnPost','update a post by author himself',$bizRule); 
$task->addChild('updatePost');  

$role=$auth->createRole('reader'); 
$role->addChild('readPost');  

$role=$auth->createRole('author'); 
$role->addChild('reader'); 
$role->addChild('createPost'); 
$role->addChild('updateOwnPost'); 

$role=$auth->createRole('editor'); 
$role->addChild('reader'); 
$role->addChild('updatePost');  

$role=$auth->createRole('admin'); 
$role->addChild('editor'); 
$role->addChild('author');
$role->addChild('deletePost');  

$auth->assign('reader','readerA'); 
$auth->assign('author','authorB'); 
$auth->assign('editor','editorC'); 
$auth->assign('admin','adminD');

也就是說，你需要自己寫一個管理界面，來列出你的角色、任務、行動，然后可以在這個界面上進行管理。比如增加、刪除、修改。

權限檢查

假設你在你的管理界面進行了賦權，那么可以在程序里面進行權限檢查：

if(  Yii::app()->user->checkAccess('createPost')  )

{

// 這里可以顯示表單等操作

} else　{

// 檢查沒有通過的可以跳轉或者顯示警告

}

上面的代碼就檢查了用戶是否可以執行“createPost”，這createPost可能是一個任務，也可以是一個行動。

其他的

對于很多說Yii權限體系RBAC不好用的人其實都沒有看懂文檔。綜合我的體驗，我感覺Yii框架的RBAC是我用過的框架里面最好用的。而且是需要自己寫代碼最少的。

Yii的RBAC有更加高級的用法，比如“業務規則”，“默認角色”。你可以去參考官方文檔。

我知道，會有部分人仍舊不理解RBAC，或者不會用Yii的RBAC。沒有關系，你可以在下方的評論框里提問。

happy Yii ！

string(79) "D:\Program Files\Apach\htdocs\novemweb\themes\classic\views/admin/default\index" string(81) "D:\Program Files\Apach\htdocs\novemweb\themes\classic\views/admin/layouts/column1" string(78) "D:\Program Files\Apach\htdocs\novemweb\themes\classic\views/admin/layouts/main" string(81) "D:\Program Files\Apach\htdocs\novemweb\protected\modules\admin\views/layouts/main"

許多人用shell腳本完成一些簡單任務，而且變成了他們生命的一部分。不幸的是，shell腳本在運行異常時會受到非常大的影響。在寫腳本時將這類問題最小化是十分必要的。本文中我將介紹一些讓bash腳本變得健壯的技術。

使用set -u

你因為沒有對變量初始化而使腳本崩潰過多少次？對于我來說，很多次。

chroot=$1 ... rm -rf $chroot/usr/share/doc

如果上面的代碼你沒有給參數就運行，你不會僅僅刪除掉chroot中的文檔，而是將系統的所有文檔都刪除。那你應該做些什么呢？好在bash提供了set -u，當你使用未初始化的變量時，讓bash自動退出。你也可以使用可讀性更強一點的set -o nounset。

david% bash /tmp/shrink-chroot.sh

$chroot=

david% bash -u /tmp/shrink-chroot.sh

/tmp/shrink-chroot.sh: line 3: $1: unbound variable

david%

使用set -e

你寫的每一個腳本的開始都應該包含set -e。這告訴bash一但有任何一個語句返回非真的值，則退出bash。使用-e的好處是避免錯誤滾雪球般的變成嚴重錯誤，能盡早的捕獲錯誤。更加可讀的版本：set -o errexit

使用-e把你從檢查錯誤中解放出來。如果你忘記了檢查，bash會替你做這件事。不過你也沒有辦法使用$?來獲取命令執行狀態了，因為bash無法獲得任何非0的返回值。你可以使用另一種結構：

command

if [ "$?"-ne 0]; then echo "command failed"; exit 1; fi

可以替換成：

command || { echo "command failed"; exit 1; }

或者使用：

if ! command; then echo "command failed"; exit 1; fi

如果你必須使用返回非0值的命令，或者你對返回值并不感興趣呢？你可以使用 command || true ，或者你有一段很長的代碼，你可以暫時關閉錯誤檢查功能，不過我建議你謹慎使用。

set +e

command1

command2

set -e

相關文檔指出，bash默認返回管道中最后一個命令的值，也許是你不想要的那個。比如執行 false | true 將會被認為命令成功執行。如果你想讓這樣的命令被認為是執行失敗，可以使用 set -o pipefail

程序防御 - 考慮意料之外的事

你的腳本也許會被放到“意外”的賬戶下運行，像缺少文件或者目錄沒有被創建等情況。你可以做一些預防這些錯誤事情。比如，當你創建一個目錄后，如果父目錄不存在，mkdir 命令會返回一個錯誤。如果你創建目錄時給mkdir命令加上-p選項，它會在創建需要的目錄前，把需要的父目錄創建出來。另一個例子是 rm 命令。如果你要刪除一個不存在的文件，它會“吐槽”并且你的腳本會停止工作。（因為你使用了-e選項，對吧？）你可以使用-f選項來解決這個問題，在文件不存在的時候讓腳本繼續工作。 

準備好處理文件名中的空格

有些人從在文件名或者命令行參數中使用空格，你需要在編寫腳本時時刻記得這件事。你需要時刻記得用引號包圍變量。

if [ $filename = "foo" ];

當$filename變量包含空格時就會掛掉。可以這樣解決：

if [ "$filename" = "foo" ];

使用$@變量時，你也需要使用引號，因為空格隔開的兩個參數會被解釋成兩個獨立的部分。

david% foo() { for i in $@; do echo $i; done }; foo bar "baz quux"

bar

baz

quux

david% foo() { for i in "$@"; do echo $i; done }; foo bar "baz quux"

bar

baz quux

我沒有想到任何不能使用"$@"的時候，所以當你有疑問的時候，使用引號就沒有錯誤。

如果你同時使用find和xargs，你應該使用 -print0 來讓字符分割文件名，而不是換行符分割。

 david% touch "foo bar"

david% find | xargs ls

ls: ./foo: No such file or directory

ls: bar: No such file or directory

david% find -print0 | xargs -0 ls

./foo bar

設置的陷阱

當你編寫的腳本掛掉后，文件系統處于未知狀態。比如鎖文件狀態、臨時文件狀態或者更新了一個文件后在更新下一個文件前掛掉。如果你能解決這些問題， 無論是 刪除鎖文件，又或者在腳本遇到問題時回滾到已知狀態，你都是非常棒的。幸運的是，bash提供了一種方法，當bash接收到一個UNIX信號時，運行一個 命令或者一個函數。可以使用trap命令。

trap command signal [signal ...]

你可以鏈接多個信號（列表可以使用kill -l獲得），但是為了清理殘局，我們只使用其中的三個：INT，TERM和EXIT。你可以使用-as來讓traps恢復到初始狀態。

信號描述

 

INT	Interrupt - 當有人使用Ctrl-C終止腳本時被觸發
TERM	Terminate - 當有人使用kill殺死腳本進程時被觸發
EXIT	Exit - 這是一個偽信號，當腳本正常退出或者set -e后因為出錯而退出時被觸發

 

 

 

 

當你使用鎖文件時，可以這樣寫：

if [ ! -e $lockfile ]; then

touch $lockfile

critical-section

rm $lockfile

else

echo "critical-section is already running"

fi

當最重要的部分(critical-section)正在運行時，如果殺死了腳本進程，會發生什么呢？鎖文件會被扔在那，而且你的腳本在它被刪除以前再也不會運行了。解決方法：

if [ ! -e $lockfile ]; then

trap " rm -f $lockfile; exit" INT TERM EXIT

touch $lockfile

critical-section

rm $lockfile

trap - INT TERM EXIT

else

echo "critical-section is already running"

fi

現在當你殺死進程時，鎖文件一同被刪除。注意在trap命令中明確地退出了腳本，否則腳本會繼續執行trap后面的命令。

竟態條件 (wikipedia)

在上面鎖文件的例子中，有一個竟態條件是不得不指出的，它存在于判斷鎖文件和創建鎖文件之間。一個可行的解決方法是使用IO重定向和bash的noclobber(wikipedia)模式，重定向到不存在的文件。我們可以這么做：

if ( set -o noclobber; echo "$$" > "$lockfile") 2> /dev/null;

then

trap 'rm -f "$lockfile"; exit $?' INT TERM EXIT

critical-section

rm -f "$lockfile"

trap - INT TERM EXIT

else

echo "Failed to acquire lockfile: $lockfile"

echo "held by $(cat $lockfile)"

fi

更復雜一點兒的問題是你要更新一大堆文件，當它們更新過程中出現問題時，你是否能讓腳本掛得更加優雅一些。你想確認那些正確更新了，哪些根本沒有變化。比如你需要一個添加用戶的腳本。

add_to_passwd $user

cp -a /etc/skel /home/$user

chown $user /home/$user -R

當磁盤空間不足或者進程中途被殺死，這個腳本就會出現問題。在這種情況下，你也許希望用戶賬戶不存在，而且他的文件也應該被刪除。

rollback() {

del_from_passwd $user

if [ -e /home/$user ]; then

rm -rf /home/$user

fi

exit

}

 

trap rollback INT TERM EXIT

add_to_passwd $user

 

cp -a /etc/skel /home/$user

chown $user /home/$user -R

trap - INT TERM EXIT

在腳本最后需要使用trap關閉rollback調用，否則當腳本正常退出的時候rollback將會被調用，那么腳本等于什么都沒做。

保持原子化

又是你需要一次更新目錄中的一大堆文件，比如你需要將URL重寫到另一個網站的域名。你也許會寫：

for file in $(find /var/www -type f -name "*.html"); do

perl -pi -e 's/www.example.net/www.example.com/' $file

done

如果修改到一半是腳本出現問題，一部分使用www.example.com，而另一部分使用www.example.net。你可以使用備份和trap解決，但在升級過程中你的網站URL是不一致的。

解決方法是將這個改變做成一個原子操作。先對數據做一個副本，在副本中更新URL，再用副本替換掉現在工作的版本。你需要確認副本和工作版本目錄在同一個磁盤分區上，這樣你就可以利用Linux系統的優勢，它移動目錄僅僅是更新目錄指向的inode節點。

cp -a /var/www /var/www-tmp

for file in $(find /var/www-tmp -type -f -name "*.html"); do

perl -pi -e 's/www.example.net/www.example.com/' $file

done

mv /var/www /var/www-old

mv /var/www-tmp /var/www

這意味著如果更新過程出問題，線上系統不會受影響。線上系統受影響的時間降低為兩次mv操作的時間，這個時間非常短，因為文件系統僅更新inode而不用真正的復制所有的數據。

這種技術的缺點是你需要兩倍的磁盤空間，而且那些長時間打開文件的進程需要比較長的時間才能升級到新文件版本，建議更新完成后重新啟動這些進程。對 于 apache服務器來說這不是問題，因為它每次都重新打開文件。你可以使用lsof命令查看當前正打開的文件。優勢是你有了一個先前的備份，當你需要還原 時，它就派上用場了。

文件的特殊權限SGID, SUID..SBIT

        大家都知道文件和目錄的權限最常見的有三個.可讀(r)..可寫(w)..可執行(x)..它們的級別分別是4..2..1..我們有時也會發現有些文件 所屬主的權限上帶有一個s的標志位.目錄的所屬組上也帶有s標志位.很多人不理解這是為什么....下面我們舉例來看一下...
         #ls -l  /usr/bin/passwd
         -rwsr-xr-x 1 root root 19876 Jul 17  2006 /usr/bin/passwd
         這個文件的所屬主的x標志位上變成了s,這時稱為set uid ..簡寫就是suid..其實這個文件屬性也沒有特殊的含義..當這個s標志位出現在一些腳本上時,它就有意義了...比方說我我們有一個腳本名為sum.sh.這個腳本的權限如下:
        -rwsrwxr-x 1 root root   117 Feb  6 20:46 sum.sh
         這個腳本的所屬主和所屬組為root.我們當然可以以root的用戶的身份執行它..我們還可以看見它的所屬主的標志位上有個s..其他人有讀取和執行的 權限.假如我們現在有個普通用戶名為redhat..現在切換到redhat..執行此腳本..表面上我們看是執行成功了..其實我們是借助root用戶 的身份來執行它..而不是redhat..這就是suid的特性....
        下滿我們來說下SGID,看了上面的SUID后很容易就知道所謂SGID就是將標志s加到gid的x標志位上..稱為set gid.簡稱sgid..在這強調一下SUID我們一般用在文件上.特別是一些腳本上...SGID用在目錄上最多...比方說我以root身份創建一個 目錄a.給他加上sgid權限
        #mkdir a
        #chmod   2757  a
        #ls  -l
          drwxr-srwx 2 root root  4096 Feb  6 21:09  a
        因為我們給a目錄其他人所具有的權限是可讀,可寫,可執行...當我們以redhat用戶的身份切換到另外一個終端..進入a目錄中,我們在此目錄中創建一個目錄b和一個文件c
        [redhat@station18 a]$ mkdir b
        [redhat@station18 a]$ touch c
        [redhat@station18 a]$ ls -l
        drwxrwsr-x 2 redhat root 4096 Feb  6 21:20 b
        -rw-rw-r-- 1    redhat root    0 Feb  6 21:20 c
        我們可以看到目錄b和文件c的所屬組都為root......當你將一個a目錄置為sgid權限時候,如果其他人有讀取,執行和寫入的權限時,別人在此目 錄中創建的任何文件和目錄的所屬組都為a目錄的所屬組..但所屬主還是自己...這個會經常的用到....有一點大家得注意...就是任何人在a目錄中創 建的東西.別人都可以刪掉...這就是我們下面要講到的SBIT....
        SBIT 全稱Sticky Bit.但是它只對目錄有效,對文件卻是無效的,它的作用就是防止別人刪除對方的資料...我們舉例來說明...
      1..我用root用戶登錄創建一個目錄名為test
       [root@station18 ~]# mkdir test
       [root@station18 ~]# chmod o+w test/
       [root@station18 ~]# ls -l
       drwxr-xrwx 2 root root  4096 Feb  6 21:30 test
      2..我們切換到redhat用戶登錄一個終端,創建一個目錄a..
       [redhat@station18 test]$ mkdir a
      3.我們在切換到xiaoming用戶登錄一個終端,創建一個目錄b...
       [xiaoming@station18 test]$ mkdir b
       [xiaoming@station18 test]$ ls  -l
       drwxrwxr-x 2 redhat   redhat   4096 Feb  6 21:32 a
       drwxrwxr-x 2 xiaoming xiaoming 4096 Feb  6 21:31 b
       我們可以以任何用戶的身份進入test目錄發現可以刪除a和b目錄...這樣就亂了套...別人的目錄你豈能隨便刪的...這時我們就需要將test目錄加上SBIT權限了...
       [root@station18 ~]# chmod  1757  test/
       [root@station18 ~]# ls -l
       drwxr-xrwt 4 root root  4096 Feb  6 21:42 test
       我們在用別的用戶登錄進入test目錄他就刪不掉別人的資料了,系統會提示rm: cannot remove directory `a': Operation not permitted..意思是你權限不夠....呵呵...這樣別人就沒轍了....我測試過成功的...
       下面我來說一下關于SUID SGID  SBIT權限的設定...
        SUID為4
        SGID為2
        SBIT為1
        我在上面設定一些文件或目錄的權限你可能看不懂,,下面我來詳細講解...
        假如我們有個文件叫file.有一個目錄叫test..file它的權限是644..test的權限是755
        1..如果我們想把file加上suid權限的話執行此命令
        #chmod  4755  file
        2..如果我們想把test目錄加上sgid的話執行此命令
        #chmod  2755   test/
        3.如果我們想把test目錄加上sbit權限的話執行此命令
        #chmod  1755   test/
        4..大家可以看得出來s與t都是取代x權限的...
        5..如果不想讓test具備SUID和SGID權限執行此命令
        #chmod   7666  file
        #ls  -l
         -rwSrwSrwT 1 root root     0 Feb  6 21:49 file
        這里的S和T就代表空..不具備其他人執行的權限...7666也就是說用戶,組,以及其他的人都不具備x的權限,除了root.任何人修改不了此文件...
        這兒我用數字代替給文件加一些 權限....我們也可以用別的方法.比方說..我們給file文件加上suid權限
        #chmod  u=rwxs,o=rx   file
        給test目錄加上SGID權限和other可讀取寫入執行權限
        #chmod  g+s,o=wrx    test/
        給test目錄加上SBIT權限和other可讀取寫入執行權限
        #chmod   o=rwxt   test/