Yii受权之基于角色的存取控制 （RBAC）

一：基本概念

角色是 权限 的集合 （例如：建贴、改贴）。一个角色 能够指派给一个或者多个用户。要检查某用户是否有一个特定的权限， 系统会检查该包含该权限的角色是否指派给了该用户。

能够用一个规则 rule 与一个角色或者权限关联。一个规则用一段代码表明， 规则的执行是在检查一个用户是否知足这个角色或者权限时进行的。例如，"改帖" 的权限 可使用一个检查该用户是不是帖子的建立者的规则。权限检查中，若是该用户 不是帖子建立者，那么他（她）将被认为不具备 "改帖"的权限。

角色和权限均可以按层次组织。特定状况下，一个角色可能由其余角色或权限构成， 而权限又由其余的权限构成。Yii 实现了所谓的 局部顺序 的层次结构，包含更多的特定的 树 的层次。 一个角色能够包含一个权限，反之则不行。（译者注：可理解为角色在上方，权限在下方，从上到下若是碰到权限那么再往下不能出现角色）

二：配置 RBAC

在开始定义受权数据和执行存取检查以前，须要先配置应用组件 yiibaseApplication::authManager 。 Yii 提供了两套受权管理器： yiirbacPhpManager 和 yiirbacDbManager。前者使用 PHP 脚本存放受权数据， 然后者使用数据库存放受权数据。 若是你的应用不要求大量的动态角色和权限管理， 你能够考虑使用前者

1：使用yiirbacPhpManager

return [
    // ...
    'components' => [
        'authManager' => [
            'class' => 'yii\rbac\PhpManager',
        ],
        // ...
    ],
];

配置完成以后你就能够经过Yii::$app->authManager来访问 authManager

yiirbacPhpManager 默认将 RBAC 数据保存在 @app/rbac 目录下的文件中。 若是权限层次数据在运行时会被修改，需确保WEB服务器进程对该目录和其中的文件有写权限。

2：使用yiirbacDbManager

(1)配置yiirbacDbManager

return [
    // ...
    'components' => [
        'authManager' => [
            'class' => 'yii\rbac\DbManager',
            // uncomment if you want to cache RBAC items hierarchy
            // 'cache' => 'cache',
        ],
        // ...
    ],
];

这里注意：

若是你使用的是Yii的基础模板的话，上面的配置你须要在config/console.php和config/web.php文件中都进行配置，若是你是Yii的高级模板的话，只须要在common/config/main.php文件中配置一次就能够了

(2)生成所须要的权限表

使用yiirbacDbManager的话，须要生成4个数据库表存放权限数据(他们都有默认表名，若是你须要修改表名的话，在配置yiirbacDbManager时进行修改)

itemTable： 该表存放受权条目（译者注：即角色和权限）。默认表名为 "auth_item" 。
itemChildTable： 该表存放受权条目的层次关系。默认表名为 "auth_item_child"。
assignmentTable： 该表存放受权条目对用户的指派状况。默认表名为 "auth_assignment"。
ruleTable： 该表存放规则。默认表名为 "auth_rule"。

在项目目录执行

yii migrate --migrationPath=@yii/rbac/migrations

执行上面的命令后，这时候在咱们的数据库中就会生成上述所说的四个表了

若是你不细化使用命令生成数据库的话，你能够将vendoryiisoftyii2rbacmigrationsschema-mysql.sql 的内容拷贝里面到数据库运行生成数据表

生成对应的权限表以后，这时候咱们就可使用Yii::$app->authManager来访问 authManager

三：创建受权数据

1:添加(建立)权限(在auth_item表中生成权限数据，type为2表示权限)

$auth = Yii::$app->authManager;
// 添加 "createPost" 权限
$createPost = $auth->createPermission('createPost');
$createPost->description = '建立了createPost权限';
$auth->add($createPost);

2:建立角色(在auth_item表中生成角色数据，type为1表示角色)

$auth = Yii::$app->authManager;
$role = $auth->createRole('author');
$role->description = '建立了author角色';
$auth->add($role);

3：给角色赋予权限

（1）给角色赋予指定权限

$auth = Yii::$app->authManager;
$createPost = $auth->createPermission('createPost');//建立权限对象
$role = $auth->createRole('author');//建立角色对象
$auth->addChild($role, $createPost); //添加对应关系(给author角色添加createPost权限)

(2)给角色赋予指定角色的全部权限

$auth = Yii::$app->authManager;
$role1 = $auth->createRole('author1');//建立角色对象
$role2 = $auth->createRole('author2');//建立权限对象
$auth->addChild($role1, $role2); //添加对应关系(给author1角色添加author2角色全部权限)

4:给用户分配角色

$auth = Yii::$app->authManager;
$role = $auth->createRole('author');//建立角色对象
$auth->assign($role, 1); #1是IdentityInterface::getId()返回的id,及用户表的id

四：验证权限

\Yii::$app->user->can($action) #$action表示权限
\Yii::$app->user->can('createPost') #判断用户是否具备createPost权限

获取用户所属角色

$auth = Yii::$app->authManager;
$roles = $auth->getRolesByUser($userId);

获取用户所属权限

$auth = Yii::$app->authManager;
$roles = $auth->getPermissionsByUser($userId);

上面就是基于角色的存取控制 （RBAC）简单了解，详细可参考Yii的官方文档：https://www.yiichina.com/doc/...