yii2权限管理

ACF：存取控制过滤器
存取控制过滤器（ACF）是一种通过 yii\filters\AccessControl 类来实现的简单授权方法。
介绍其使用：

    public function behaviors()
    {
        return [
            'access' => [
                'class' => yii\filters\AccessControl::className(),
                    'rules' => [
                        [
                            'allow' => true,
                            'actions' => ['create', 'update', 'view', 'delete'],
                            'roles' => ['@'],
                        ],
                        [
                            'allow' => true,
                            'actions' => ['index'],
                            'roles' => ['?'],
                        ],
                    ],
            ],
        ];
    }

1. rules：array a list of access rule objects or configuration arrays for creating the rule objects.
   
   • If a rule is specified via a configuration array, it will be merged with [[ruleConfig]] first
   • before it is used for creating the rule object.
2. 允许所有访客（还未经认证的用户）执行 index 操作。 roles 选项包含的问号 ? 是一个特殊的标识，代表”访客用户”。
   允许已认证用户执行 create update view delete操作。@是另一个特殊标识， 代表”已认证用户”。

基于角色的存取控制 （RBAC）
只简单介绍使用数据库存放授权数据
在配置文件web.php中添加component配置：

'components' => [
    ......
    'authManager' => [   
                 'class' => 'yii\rbac\DbManager',    
                 'itemTable' => 'auth_item',    
                 'assignmentTable' => 'auth_assignment',    
                 'itemChildTable' => 'auth_item_child',
            ],
]

DbManager 使用4个数据库表存放它的数据：

• yii\rbac\DbManager::$itemTable： 该表存放授权条目（译者注：即角色和权限）。默认表名为 “auth_item” 。
• yii\rbac\DbManager::$itemChildTable： 该表存放授权条目的层次关系。默认表名为 “auth_item_child”。
• yii\rbac\DbManager::$assignmentTable： 该表存放授权条目对用户的指派情况。默认表名为 “auth_assignment”。

• yii\rbac\DbManager::$ruleTable： 该表存放规则。默认表名为 “auth_rule”。

  你需要在数据库中创建这些表。你可以使用存放在 @yii/rbac/migrations 目录中的数据库迁移文件来做这件事。
  授权步骤如下：

• 定义角色和权限

• 建立角色和权限的关系
• 定义规则
• 将规则与角色和权限作关联

• 指派角色给用户

  具体实现如下代码：

public function actionAccess()
    {
        $auth = Yii::$app->authManager;
        //创建agent权限
        $agentPermission = $auth->createPermission('agent');
        $agentPermission->description = 'create agent operate permission.';
        $auth->add($agentPermission);  
        //创建admin角色
        $adminRole = $auth->createRole('admin');    
        $adminRole->description = 'create admin role.';    
        $auth->add($adminRole);
        //将权限赋予角色
        $auth->addChild($adminRole, $agentPermission);
        //将角色赋予用户
        $userId = 1;
        $auth->assign($adminRole, $userId);
    }

授权结束后就可以进行控制器请求执行前的权限判断了。如下：

    public function beforeAction($action)
    {
        if (!parent::beforeAction($action)) {
            return false;
        }

        if (Yii::$app->user->can(Yii::$app->controller->id)) {
            return true;
        }

        throw new \yii\web\UnauthorizedHttpException('无权查看');
    }

Yii::$app->user->can($permissionName)
传入权限的名称，yii会自动去判断当前用户是否具有这种权限，返回true或false。
如果为true就可以继续执行请求的方法了。
如果为false，我们可以做一些拦截，比如直接抛出异常。

参考：Yii2.0授权指南
http://www.yiichina.com/doc/guide/2.0/security-authorization