YII framework下基于角色的访问控制（RBAC）,权限设置 yii下，filters()和accessControl()是YII基本的访问控制体系， public function filt

yii下，filters()和accessControl()是YII基本的访问控制体系， public function filters(){     return array(            'accessControl',     ); } public function accessControl(){     return array(         array(             'allow', //allow or deny 允许或者拒绝             'controllers' => array('controllersList'), //对控制器进行访问控制             'actions' => array('actionsList'), //对action进行访问控制             'users' => array('usersList'), //对用户             'roles' => array('roles'), //对角色             'ips' => array('ip 地址'), //对客户端地址             'verbs' => array('GET','POST'), //对客户端的请求方式             'expression' => '' //对表达式（一般是业务逻辑）             'message' => 'thank your access', //错误信息提示，一般是deny时用到          ),        array(....),        ....        array('deny', users => array('*')),     ); } 好了，有了以上的访问控制，我们针对上面的roles进行讨论RBAC。 Yii的RBAC是基于一个组件authManager的，可以先在main。php中配置authManager authManger分为基于数据库的和基于PHP脚本的，一般如果你的应用程序基于数据库（mysql或者pgsql)，最好把authManger配置为CDbAuthManger，而不是CPhpAuthManger。 ... 'authManager' => array(      'class' => 'CDbAuthManager',      'connectionID' => 'db', ), 'db' => array(...), ... 配置好了以后，需要在数据库中增加3个存放RBAC规则的表： AuthItem -- 存放建立的授权项目（role、task或者opration) AuthItemChild -- 存放授权项目的继承关系 AuthAssignMent -- 存放用户和授权项目的关系表 CREATE TABLE `authitem` (              `name` varchar(64) NOT NULL,              `type` int(11) NOT NULL,              `description` text,              `bizrule` text,              `data` text,              PRIMARY KEY (`name`)            ) ENGINE=InnoDB DEFAULT CHARSET=utf8; CREATE TABLE `authitemchild` (                   `parent` varchar(64) NOT NULL,                   `child` varchar(64) NOT NULL,                   PRIMARY KEY (`parent`,`child`),                   KEY `child` (`child`),                   CONSTRAINT `authitemchild_ibfk_1` FOREIGN KEY (`parent`) REFERENCES `authitem` (`name`) ON DELETE CASCADE ON UPDATECASCADE,                   CONSTRAINT `authitemchild_ibfk_2` FOREIGN KEY (`child`) REFERENCES `authitem` (`name`) ON DELETE CASCADE ON UPDATECASCADE                 ) ENGINE=InnoDB DEFAULT CHARSET=utf8; CREATE TABLE `authassignment` (                    `itemname` varchar(64) NOT NULL,                    `userid` varchar(64) NOT NULL,                    `bizrule` text,                    `data` text,                    PRIMARY KEY (`itemname`,`userid`),                    CONSTRAINT `authassignment_ibfk_1` FOREIGN KEY (`itemname`) REFERENCES `authitem` (`name`) ON DELETE CASCADE ON UPDATECASCADE                  ) ENGINE=InnoDB DEFAULT CHARSET=utf8; 建好表以后，就可以用Yii提供的authManger组件的API建立相关的授权项目，并指定授权关系了。 下面是一个例子： 下面做一个实例：   我们要实现上面的授权关系。 class AuthManagerController extends Controller {     public function actionIndex(){         $auth = Yii::app()->authManager;                  if ($auth !== NULL){             $auth->clearAll();             //create roles             $roleOwner = $auth->createRole('owner');             $roleReader = $auth->createRole('reader');             $roleMember = $auth->createRole('member');             $roleBlackList = $auth->createRole('blackList');             //create operations             //issues             $auth->createOperation('createIssue', 'create issue in project');             $auth->createOperation('readIssue', 'read issue');             $auth->createOperation('updateIssue', 'update issue');             $auth->createOperation('deleteIssue', 'delete issue');             //projects             $auth->createOperation('createProject', 'create a new project');             $auth->createOperation('readProject', 'read project');             $auth->createOperation('updateProject', 'update project');             $auth->createOperation('deleteProject', 'delete project');             //users             $auth->createOperation('createUser', 'create a new user');             $auth->createOperation('readUser', 'read user');             $auth->createOperation('updateUser', 'update user');             $auth->createOperation('deleteUser', 'delete user');             //authorization             $roleReader->addChild('readIssue');             $roleReader->addChild('readProject');             $roleReader->addChild('readUser');             $roleMember->addChild('reader');             $roleMember->addChild('createIssue');             $roleMember->addChild('updateIssue');             $roleMember->addChild('deleteIssue');             $roleOwner->addChild('reader');             $roleOwner->addChild('member');             $roleOwner->addChild('createProject');             $roleOwner->addChild('updateProject');             $roleOwner->addChild('deleteProject');             $roleOwner->addChild('createUser');             $roleOwner->addChild('updateUser');             $roleOwner->addChild('deleteUser');             //assign             //此时，在Issue中的rules中设置view和index的roles=>array('member'),不管是什么用户，都无法访问这两个action             $userAdmin = User::model()->findByAttributes(array('username' => 'admin'));             $auth->assign('owner', $userAdmin->id);             $auth->assign('member', $userAdmin->id); //将用户名为admin（id=3）指定为member角色，这样就可以访问了。             $auth->assign('reader', $userAdmin->id);             $userDemo = User::model()->findByAttributes(array('username' => 'demo'));             $auth->assign('member', $userDemo->id); //将用户名为admin（id=3）指定为member角色，这样就可以访问了。             $auth->assign('reader', $userDemo->id); //将用户名为demo（id=4）指定为reader角色                          $userDemo2 = User::model()->findByAttributes(array('username' => 'demo2'));             $auth->assign('reader', $userDemo2->id); //将用户名为demo（id=4）指定为reader角色             $userBlackList = User::model()->findByAttributes(array('username' => 'demo3'));             $auth->assign('blackList', $userBlackList->id);         }else{             $message = 'Please config your authManage as a compontion in main.php';             throw new CHttpException(0, $message);         }     } } 建立授权关系以后，更新accessRules为： public function accessRules()     {         return array(             array('allow', // allow all users to perform 'index' and 'view' actions                 'actions'=>array('index','view'),                 'users'=>array('@'),                                 'roles' => array('member', 'owner', 'reader'),             ),             array('allow', // allow authenticated user to perform 'create' and 'update' actions                 'actions'=>array('create','update'),                 'users'=>array('@'),                                 'roles' => array('member', 'owner'),             ),             array('allow', // allow admin user to perform 'admin' and 'delete' actions                 'actions'=>array('admin','delete'),                 'users'=>array('@'),                                 'roles' => array('owner'),             ),             array('deny', // deny all users                 'users'=>array('*'),             ),         );     } 就是把刚刚建立的授权项目加入到访问控制列表中。 另外一个例子 $auth = Yii::app()->authManger; $roleManager = $auth->createRole('manager'); //建立一个角色 $auth->createTask('projectManager'); //建立任务 $auth->createTask('userManager'); $auth->createOpration('createProject'); //建立操作 $auth->createOpration('updateProject'); $auth->createOpration('deleteUser'); $user = User::model()->findByPk('1'); //检索用户 $roleManager->addChild('projectManager'); //为角色授权任务 $roleManager->addChild('updateProject');//为角色授权操作 $auth->assign('manager', $user->id);//指定用户权限

YII非rbac通用权限,controller中加权限过滤器beforeaction

Java代码 getId(); } if ($module === null && $this->getModule()) { $module = $this->getModule()->getId(); } return Privilege::model()->checkPower($module, $contrl, $action); } public function beforeAction($action) { $contrl = $this->getId(); $actionId = $action->getId(); $route = $contrl . '/' . $actionId; if (!in_array($route, array('site/login', 'site/error', 'site/logout')) && Yii::app()->user->id != 1) { $module = null; if ($action && $this->getModule()) { $module = $this->getModule()->getId(); } $this->purview($module, $contrl, $actionId); } return parent::beforeAction($action); }" wmode="transparent"> 

1. public function purview($module, $control, $action) {  
2.     if (!$this->checkPower($action, $control, module)) {  
3.         throw new CHttpException(403, '您没有访问权限！');  
4.         Yii::app()->end();  
5.     }  
6. }  
7.   
8. // CGRIDVIEW buttonID 'visible' =>'$this->grid->controller->checkPower("delete")',  
9. public function checkPower($action, $contrl = null, $module = null) {  
10.     if ($contrl === null) {  
11.         $contrl = $this->getId();  
12.     }  
13.   
14.     if ($module === null && $this->getModule()) {  
15.         $module = $this->getModule()->getId();  
16.     }  
17.   
18.     return Privilege::model()->checkPower($module, $contrl, $action);  
19. }  
20. public function beforeAction($action) {  
21.     $contrl = $this->getId();  
22.     $actionId = $action->getId();  
23.     $route = $contrl . '/' . $actionId;  
24.     if (!in_array($route, array('site/login', 'site/error', 'site/logout')) && Yii::app()->user->id != 1) {  
25.         $module = null;  
26.         if ($action && $this->getModule()) {  
27.             $module = $this->getModule()->getId();  
28.         }  
29.         $this->purview($module, $contrl, $actionId);  
30.     }  
31.     return parent::beforeAction($action);  
32. }  

在这里的visible表达式中设置调用$this->checkPower('操作名');就可以隐藏没有权限访问的菜单了

RBAC0 定义了能构成一个RBAC控制系统的最小的元素集合
在RBAC之中,包含用户users(USERS)、角色roles(ROLES)、目标objects(OBS)、操作operations(OPS)、许可权permissions(PRMS)五个基本数据元素，权限被赋予角色,而不是用户，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的权限。会话sessions是用户与**的角色集合之间的映射。RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性，RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。
RBAC1 引入角色间的继承关系
角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系，允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构。
RBAC2 模型中添加了责任分离关系
RBAC2 的约束规定了权限被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻**一个角色时所应遵循的强制性规则。责任分离包括静态责任分离和动态责任分离。约束与用户-角色-权限关系一起决定了RBAC2模型中用户的访问许可。
RBAC3 包含了RBAC1和RBAC2

YII提供了2套权限访问系统，一套是简单的filter（过滤器）模式，另一套是复杂全面的RBAC模式，两者之间，前者先于后者。即访问的控制判断机制有个先后顺序：先进行访问控制过滤器的判断，再进行角色访问控制判断。而RBAC和默认的按照users的原理一样。通过指定”roles”来限定对应角色用户的可用action的权限。用”roles”替 换”users”即可，因为Yii的accessControl是支持roles的。通过这种方式，在Contoller内部，通过指定 accessRules就可以控制权限。在其他地方，比如控制一些view的显示的时候，可以用 Yii::app()->user->checkAccess(role)来进行权限判断。
RBAC本身也有特别之处。看官方的一段原话：
在Yii的RBAC的一个基本概念是authorization item（授权项目）。一个授权项目是一个做某事的许可（如创造新的博客发布，管理用户）。根据其粒度和targeted audience， 授权项目可分为operations（行动）,tasks（任务）和 roles（角色）。角色包括任务，任务包括行动，行动是许可是个原子。 例如，我们就可以有一个administrator角色，包括post management和user management任务。user management 任务可能包括create user，update user和delete user行动。为了更灵活，Yii也可以允许角色包括其他角色和动作，任务包括其他任务，行动包括其他行动。
也就是说在Yii::app()->user->checkAccess(role)的时候，role可以是operations,tasks和roles。

rights,srbac可视化配置，自动安装表 http://www.yiiframework.com/extension/srbac/但是一定要弄懂Yii的内部 rbac 因为这扩展个都是建立在这个基础上的.

开始准备 
Yii提供了强大的配置机制和很多现成的类库。在Yii中使用RBAC是很简单的，完全不需要再写RBAC代码。所以准备工作就是，打开编辑器，跟我来。 设置参数、建立数据库 
在配置数组中，增加以下内容：

srbac 

Java代码  

1. 'components' => array(  
2.     'authManager' => array(  
3.         'class' => 'srbac.components.SDbAuthManager',  
4.         'connectionID' => 'db', //使用的数据库组  
5.         'itemTable' => 'tbl_items', // 授权项目表 (默认:authitem)  
6.         'assignmentTable' => 'tbl_assignments', // 授权分配表 (默认:authassignment)  
7.         'itemChildTable' => 'tbl_itemchildren', // 授权子项目表 (默认:authitemchild)  
8.     ),  
9. ),  

注意这里，'class'=>'srbac.components.SDbAuthManager', 手册上写的错了

那这三个数据表怎么建立呢？很简单，去看framework/web/auth/schema.sql。注意要和你的自定义的表名称对应起来。然后在数据库中运行这个SQL文件中的语句。

修改对应的配置

Java代码  

1. 'modules' => array(  
2.     'srbac' => array(  
3.         'userclass' => 'Member', //default: User  
4.         'userid' => 'mid', //default: userid  
5.         'username' => 'username', //default:username  
6. ****  

index.php?r=srbac,安装成功可以删除modules\srbac\views\authitem\install文件夹也可以重命名。然后找到protected\modules\srbac\controllers\AuthitemController.php注释掉beforeAction方法中代码。

Java代码 redirect(array("install")); return false; }" wmode="transparent"> 

1. if (!$this->module->isInstalled() && $action->id != "install") {  
2.   $this->redirect(array("install"));  
3.   return false;  
4. }  

 rights有4个表在data下

Java代码  

1. 'import' => array(  
2.     // rights  
3.     'application.modules.rights.*',  
4.     'application.modules.rights.models.*',  
5.     'application.modules.rights.components.*', // Correct paths if necessary.  
6. ),  
7.   
8. 'modules' => array(  
9.     'rights' => array(  
10.         //'debug' => true,  
11.         'install' => true,  
12.         //'enableBizRuleData' => true,  
13.     ),  
14. ),  
15. 'components' => array(  
16.     'authManager' => array(  
17.         'class' => 'RDbAuthManager',  
18.         'connectionID' => 'db',  
19.         'itemTable' => 'r_auth_item',  
20.         'itemChildTable' => 'r_auth_item_child',  
21.         'assignmentTable' => 'r_auth_assignment',  
22.         'rightsTable' => 'r_rights',  
23.     ),  
24.     'user' => array(  
25.         'class' => 'RWebUser',  
26.     ),  
27. )  

rights 

Java代码  

1. class Controller extends RController {  
2.     public function filters() {  
3.         return array(  
4.             'rights',  
5.         );  
6.     }  
7. }  

进行赋权

我们建立了RBAC权限管理，就需要进行对权限的WEB管理。这些就需要你自己写代码了。
根据不同种类的项目调用下列方法之一定义授权项目 ：

    * CAuthManager::createRole
    * CAuthManager::createTask
    * CAuthManager::createOperation

一旦我们拥有一套授权项目，我们可以调用以下方法建立授权项目关系：
    * CAuthManager::addItemChild
    * CAuthManager::removeItemChild
    * CAuthItem::addChild
    * CAuthItem::removeChild

最后，我们调用下列方法来分配角色项目给各个用户：
    * CAuthManager::assign
    * CAuthManager::revoke

权限数据的添加 项目调用定义授权项目后会在table中插入相应的数据

2.