Не срабатывает правило Access Control Filter в Yii2?

Question

[jekahm]

Доброго времени суток!
Пытаюсь реализовать фильтр доступа таким образом, чтобы ко всем экшнам контроллера коментов имели доступ только авторизованные юзеры, а к экшну удаление комента - только юзер с ролью moderator.
Сделал это след. образом:

class CommentsController extends FrontendController
{

    public function behaviors()
    {
        return [
            'verbs' => [
                'class' => VerbFilter::className(),
                'actions' => [
                    'create' => ['post'],
                    'add' => ['post'],
	                'delete' => ['post'],
                ],
            ],
            'access' => [
                'class' => \yii\filters\AccessControl::className(),
                'rules' => [
                    [
                        'allow' => true,
                        'roles' => ['@'],
                    ],
	                [
		                'allow' => true,
		                'actions' => ['delete'],
		                'roles' => ['moderator'],
	                ],
                ],
            ],
        ];
    }
...

Но в результате к экшну удаления комента по-прежнему имеют доступ все авторизованные юзеры.
В чем может быть проблема?
Заранее благодарен!

Answer 1

[Дмитрий]

Добрый вечер

[[yii\filters\AccessRule::roles|roles]]: задаёт роли пользователей, соответствующих этому правилу. Распознаются две специальные роли, которые проверяются с помощью [[yii\web\User::isGuest]]:

?: соответствует гостевому пользователю (не аутентифицирован),
@: соответствует аутентифицированному пользователю.
Использование других имён ролей будет приводить к вызову метода [[yii\web\User::can()]], который требует включения RBAC (будет описано дальше). Если свойство пустое или не задано, то правило применяется ко всем ролям.

https://github.com/yiisoft/yii2/blob/master/docs/g...

Comments

[jekahm]

Если это к тому, что нужно предварительно настроить RBAC, то всё реализовано

[Дмитрий]

jekahm: так проверяйте Yii::$app->user->can(Rbac::MODERATOR) или как у Вас это всё называется?
if(!Yii::$app->user->can(Rbac::MODERATOR)){*****}

[Дмитрий]

jekahm: И если у Вас настроен rbac, у упоминайте это в вопросе

[Дмитрий]

jekahm: 'roles' =>Rbac::MODERATOR

[jekahm]

slo_nik: проверять через CAN в самом экшне? Допустим такую ситуацию, что нужно для 100 экшнов сделать такую проверку. Получается, что нужно будет прописывать это условие в каждом экшне

[Дмитрий]

jekahm: Можно в action, можно в контроллере...
Последний пример я Вам написал из контроллера, как раз в AccessControl, так можно закрыть полностью файл пользователя от доступа модератору и наоборот.
Всё зависит от ситуации.