摘要：原文來自上一篇文章講了用戶的注冊，驗證和登錄，這一篇文章按照約定來說說之中的用戶和權限控制。探尋上面的一些列設置和代碼更改，已經實現了一小部分的用戶控制登錄的用戶才能發表。

  
原文來自： https://jellybool.com/post/programming-with-yii2-user-access-controls

上一篇文章講了用戶的注冊，驗證和登錄，這一篇文章按照約定來說說Yii2之中的用戶和權限控制。

你可以直接到Github下載源碼，以便可以跟上進度，你也可以重頭開始，一步一步按照這個教程來做。

  
鑒于本教材基于Yii2 Basic，所以對RBAC的詳細講解我后面再多帶帶出文章來說說吧，這里主要是簡單地說一說權限控制

上一篇文章所實現的功能還比較簡單，可以發一條狀態，但是不知道你注意到沒有，如果是沒有注冊的用戶也可以使用我們的應用(類似小微博)來發狀態，這是不符合情理的。正確的做法是在用戶沒有注冊，登錄之前，我們甚至都不應該給沒有注冊的用戶看到我們創建狀態的頁面，即是http://localhost:8999/status/create就不應該讓游客看到，更不用說編輯和刪除一條狀態(status)了。

什么是權限控制？個人覺得在一個Web應用當中，有以下幾種常見的角色和權限控制：

1. 游客，也就是沒有注冊的用戶，一般這個權限是最小的，對于一些需要登錄訪問的頁面沒有訪問權限


2. 用戶，這里的用戶特指注冊用戶，注冊過后的用戶一般可以使用整個web應用的主要功能，比如我們這里的發表一條狀態(status)

3. 作者，這個不知道確切應該使用什么名詞來描述，作者是在用戶注冊之后的一個權限判斷，比如A發表的status狀態，B君不能進行編輯，刪除等，反之亦然。

4. 管理員，這里的管理員通常會是應用的開發者(所有者，或者應該這么說)，幾乎可以說是對站點的所有權限都有

Yii2自帶的權限控制默認只支持兩個角色：

guest(游客，沒有登錄的，用?表示)

authenticated (登錄了的，用@表示)

在這里我們需要實現的是對這兩種不同的角色指定不同的訪問權限，就是為他們分配不同的可以訪問的控制器或者方法。

目前我們如果直接點擊導航欄的Status，我們還是可以在沒有登錄的情況之下進行發表狀態(status)，所以我們需要改一下我們的代碼和邏輯，Yii2在這方面的控制做得非常好，其實實現這個我們只需要修改一下StatusController.php里面的behaviors()方法而已，在這里面加入一段access設置：

```
public function behaviors()
    {
        return [
            "verbs" => [
                "class" => VerbFilter::className(),
                "actions" => [
                    "delete" => ["post"],
                ],
            ],
            "access" => [
                "class" => AccessControl::className(),
                "only" => ["index","create","update","view"],
                "rules" => [
                    // allow authenticated users
                    [
                        "allow" => true,
                        "roles" => ["@"],
                    ],
                    // everything else is denied
                ],
            ],
        ];
    }

```

加上access這一段之后，我們再次點擊Status，Yii2就會將未登錄的我重定向到登錄頁面。

而且，這個時候，一旦你登入進去，Yii會默認自動跳轉到上一個url，也就是我們剛剛點擊的status/index。

用戶一旦登錄進來之后，我們就可以通過下面這行代碼來獲取用戶的id了：

```
Yii::$app->user->getId();

```

一旦用戶的id獲取到，我們可以做的事就很多了。這里我們先來將一條狀態和用戶聯系起來，也就是添加用戶與說說的映射關系。要實現這個目標我們需要先修改我們的數據表(體驗一下當初設計數據表考慮不周全的情況)：

```
./yii migrate/create extend_status_table_for_created_by
Yii Migration Tool (based on Yii v2.0.6)

Create new migration "/Users/jellybool/Desktop/helloYii/migrations/m150806_034325_extend_status_table_for_created_by.php"? (yes|no) [no]:yes

New migration created successfully.

```

打開對應的migration文件，編輯up()和down()方法，如果你想加入數據庫的事務管理功能，你可以使用safeUp()和safeDown()方法

```
public function up()
    {
        $this->addColumn("{{%status}}","created_by",Schema::TYPE_INTEGER." NOT NULL");
        $this->addForeignKey("fk_status_created_by", "{{%status}}", "created_by", "{{%user}}", "id", "CASCADE", "CASCADE");
    }

public function down()
{
    $this->dropForeignKey("fk_status_created_by","{{%status}}");
    $this->dropColumn("{{%status}}","created_by");
}

```

我們需要為status表添加一個created_by字段，并且將它跟user表的id設為外鍵關系。

  
如果你在status表里面有一條數據記錄，你需要先刪除這一條記錄，不然可能會報錯。

執行migrate/up:

```
./yii migrate/up
Yii Migration Tool (based on Yii v2.0.6)

Total 1 new migration to be applied:
    m150806_034325_extend_status_table_for_created_by

Apply the above migration? (yes|no) [no]:yes
*** applying m150806_034325_extend_status_table_for_created_by
    > add column created_by integer NOT NULL to table {{%status}} ... done (time: 0.032s)
    > add foreign key fk_status_created_by: {{%status}} (created_by) references {{%user}} (id) ... done (time: 0.014s)
*** applied m150806_034325_extend_status_table_for_created_by (time: 0.059s)

```

數據表的外鍵設置好之后，我們就可以來聲明Status和User的關系了，不過在開始之前需要修改一下User.php里面的內容：

```


直接將原來的User模型的代碼都刪掉，只需要我們上面的代碼就可以了，因為我們使用了Yii2-User，

這里就是使用dektriumusermodelsUser這個模型，然后修改一下我們的config/web.php，再我們之前的user中加入幾行代碼：

```
 "modules" => [
        "user" => [
            "class" => "dektriumuserModule",
            "confirmWithin" => 21600,
            // add the following 3 lines
            "modelMap" => [
                "User" => "appmodelsUser",
            ],

            "cost" => 12,
            "admins" => ["admin"]
        ],
    ],

```


這樣之后，我們的User和Status的對應關系就會建立起來。

然后我們在Status.php寫上以下的說明：

```
public function getUser()
    {
        return $this->hasOne(User::className(), ["id" => "created_by"]);
    }

```


這里聲明的映射關系為hasOne，也就是說，一條狀態status(說說)對應一個用戶(User)，我們通過["id" => "created_by"]來指定外鍵映射。

有了Status和User的對應關系之后，我們需要在用戶發表狀態的時候將用戶的id保存到Status的created_by這一個字段中，所以我們需要在StatusController中的actionCreate方法中加上一行代碼：

```
if ($model->load(Yii::$app->request->post())) {
    $model->created_by = Yii::$app->user->getId();//add this line
    $model->created_at = time();
    $model->updated_at = time();
    if ($model->save()) {
        return $this->redirect(["view", "id" => $model->id]);
    }
}

```


這里需要確認的是，你需要保證create方法只能是登錄進來的用戶才能訪問觸發。

為了更好地展示一條狀態stutas的信息，我們修改一下展示狀態的視圖文件：status/view.php :

```
 $model,
        "attributes" => [
            "id",
            "user.email", // add this line
            "message:ntext",
            "created_by", // add this line
            "permissions",
            "created_at",
            "updated_at",
        ],
    ]) ?>

```


上面的user.email中的user其實是觸發Status::getUser()這個方法。

這樣一刷新之后，我們就可以看到創建這條狀態的用戶id和email了。



探尋RBAC

上面的一些列設置和代碼更改，已經實現了一小部分的用戶控制：登錄的用戶才能發表status。然而這還不能滿足我們在日常使用的需求，比如我們現在怎么確定一個用戶能不能對某條狀態進行修改和刪除？或者說，管理員的角色在哪里體現呢？現在貌似都是平等的角色，相同的權限，對于登錄的用戶來說。

鑒于官方文檔或者很多關于Yii2 RBAC的資料都是基于Yii2 Advanced Template，而我們一開始使用的是Yii2 Basic Template，并且我們也引入Yii2-User，所以這里我們嘗試來自己實現一點點的用戶權限控制。

首先我們需要在User中定義一些跟角色(role)相關的規定，比如根據不同的用戶角色來賦予不同的常量：

```
class User extends BaseUser {
    const ROLE_USER = 10;
    const ROLE_MODERATOR = 20;
    const ROLE_ADMIN = 30;

}

```


上面的代碼寫在User模型里面，這里定義了三種角色，ROLE_USER，ROLE_MODERATOR，ROLE_ADMIN，USER可以發表狀態，MODERATOR可以修改但是不可以刪除，ADMIN可以修改和刪除。

然后在helloYii/目錄之下創建一個components/目錄，里面新建一個AccessRule.php文件：

roles) === 0) {
            return true;
        }
        foreach ($this->roles as $role) {
            if ($role === "?") {
                if ($user->getIsGuest()) {
                    return true;
                }
            } elseif ($role === User::ROLE_USER) {
                if (!$user->getIsGuest()) {
                    return true;
                }
                // Check if the user is logged in, and the roles match
            } elseif (!$user->getIsGuest() && $role === $user->identity->role) {
                return true;
            }
        }

        return false;
    }
}



這里就直接借用Yii2自帶的yiifiltersAccessRule來控制權限規則。但是由于Yii2-User在創建user數據表的時候并沒有role這個字段，所以我們需要手動添加，你可以直接在mysql敲命令行，或者也可以通過數據庫管理工具來添加。

最后更新一下我們的StatusController.php文件，這里的behaviors()方法會做出一些調整：

 [
                "class" => VerbFilter::className(),
                "actions" => [
                    "delete" => ["post"],
                ],
            ],
            "access" => [
                "class" => AccessControl::className(),
                // We will override the default rule config with the new AccessRule class
                "ruleConfig" => [
                    "class" => AccessRule::className(),
                ],
                "only" => ["index","create", "update", "delete"],
                "rules" => [
                    [
                        "actions" => ["index","create"],
                        "allow" => true,
                        // Allow users, moderators and admins to create
                        "roles" => [
                            User::ROLE_USER,
                            User::ROLE_MODERATOR,
                            User::ROLE_ADMIN
                        ],
                    ],
                    [
                        "actions" => ["update"],
                        "allow" => true,
                        // Allow moderators and admins to update
                        "roles" => [
                            User::ROLE_MODERATOR,
                            User::ROLE_ADMIN
                        ],
                    ],
                    [
                        "actions" => ["delete"],
                        "allow" => true,
                        // Allow admins to delete
                        "roles" => [
                            User::ROLE_ADMIN
                        ],
                    ],
                ],
            ],
        ];
    }



我們上面根據不同等級的用戶賦予不同的訪問權限，這時候，如果你先logout出來，再登錄回去，你還是可以看到這些status，但是一旦你點擊
delete(刪除按鈕)，你將會看到一個報錯的頁面：



我們手動創建的role是成功，但是我們怎么給一個注冊的用戶默認的權限呢，我們這里就是想實現在新用戶注冊的時候賦予用戶ROLE_USER的角色和權限。由于Yii2-User是在vendordektriumyii2-usermodelsRegistrationForm.php這個文件里面進行創建新的用戶的，我門這里只要修改一個小地方，找到register()方法：

  public function register()
    {
        if ($this->validate()) {
            $user = $this->module->manager->createUser([
                "email"    => $this->email,
                "username" => $this->username,
                "password" => $this->password,
                "role"=>10, // add this line User::ROLE_USER;                
            ]);

            return $user->register();
        }

        return false;
    }



添加"role"=>10就可以了。

如果你想證明一下我們的權限是否正確，你可以手動修改數據庫中的role字段的數值，然后在進行修改和刪除等操作，看看是否可以正確運行。

權限控制其實可以說是Yii2的一大特色和亮點，在這里可能并沒有說得很清晰，只是簡單地實現了一些規則，有機會借助Yii2 Advanced Template來實現一下。

源碼會放在 Github：https://github.com/JellyBool/helloYii

下一節

下一節嘗試集成一個編輯器和做一下url的美化，內容應該會比較簡單

Happy Hacking