Yii2 RBAC дать отдельно пользователю permission возможно?

Question

[Александр N++]

Собственно дать отдельно Permissions без привязки к роли, пользователю можно.
Правильно ли это?
Причем что этот перемешен нормально будет функционировать при проверке
Yii::$app->user->can('TEST')

Почему спрашиваю, так как метод getPermissionsByUser из класса \yii\rbac\DbManager не видит пермишины которые не привязаны к роли.

Comments

[Виталий Хоменко]

У меня сразу к вам вопрос: Как вы боретесь с большим кол-вом генерируемых RBAC запросов к БД? У нас сложная система, где множество ролей и разрешений. На определенных страницах RBAC генерирует по 600(!!!) запросов к БД, что очень печально.

[Никита]

Виталий IIIFX Хоменко: У вас в системе ~600 ролей? Что за монстр это?

[Виталий Хоменко]

Никита: Это внутренняя CMF с большим функционалом. В данный момент 86 ролей, которые пересекаются между собой. Проверки производятся в разных местах, в независимых друг от друга компонентах.

[Александр N++]

Я бы сделал кэш всех ролей и пермишинов на уровне компонента DBManager или WebUser нужно подробно копать эти классы наследовать и переписывать часть логики.

например тут есть кэш
https://github.com/orcsis/yii2-admin/blob/master/c...

Я просто форкнул проект этого человека и все переписал полностью модуль под себя.

[Виктор]

Виталий IIIFX Хоменко: Так есть же встроенное хеширование https://github.com/yiisoft/yii2/blob/master/framew...
достаточно просто задать в настройках параметр $cache

[Виталий Хоменко]

Виктор: Знаю. Но есть несколько моментов:
1. Он кэширует большую часть запросов, но не все. Часть повторяющихся запросов при большом кол-ве проверок все же останется. Этого было бы достаточно, если бы не следующий момент.
2. Кэш у него залипает. Через некоторое время работы начинаются странности. К примеру он может видеть роль, которой уже нет. Роль вы удалили, а он RBAC продолжает ее видеть.

[Виталий Хоменко]

Александр N++: Так он есть по дефолту в RBAC. Вопрос в том, что он плохо работает. И тут скорее нужен не кэш, а копия состояния в памяти самого RBAC для быстрой работы. То есть при первом запросе к RBAC получить все данные ролей себе, сгенерировать состояние и работать уже с ним. Я думал про такое, но пока увы нет времени.

[Виктор]

Виталий IIIFX Хоменко:
1. По хорошему выловить где он отправляет запросы и посмотреть нужны ли они вообще и тоже отправить в кеш
2. Да странное поведение, такое может быть если удалять запросами из базы, не очищая кеш, вместо использования функций DbManager

[Виталий Хоменко]

Виктор: 1. для этого нужно переписать Rbac, на что сейчас совсем нет времени.

[Виталий Хоменко]

Виктор: 2. Там все по канону, через DbManager

[Олег Полудненко]

Думаю это вполне нормально. Роль, по сути, это тот же Permission, который содержит другие Permissions. А по поводу getPermissionsByUser я бы сделал Pull Request ;)

Answer 1

[maxxi165]

По идеологии RBAC пользователю можно назначить только роли. Разрешения можно привязать только к ролям. Соответственно проверка разрешений у пользователя производится только через роли.

В доке по Yii так и написано.

Роль представляет собой набор разрешений (permissions) (например создание сообщения, обновление сообщения). Роль может быть назначена на одного или многих пользователей. Чтобы проверить, имеет ли пользователь указанные разрешения, мы должны проверить назначена ли пользователю роль, которая содержит данное разрешение.

дока

Comments

[Александр N++]

Но можно дать пользователю не связанный permission он также будет работать как и роли в 'class' => AccessControl::className(),
....

+ в проверках Yii::app->user->can(PermisiionConst:"TestDeleteOwn)