Как в matchCallback передать используемую модель?

Question

[Сергей Беловенцев]

Есть необходимость разрешить редактирование поста только пользователем с ролью manager да и ещё авторами поста id автора поста хранится в ячейке autor_id
пытаюсь организовать это так в контроллере:

public function behaviors()
    {
    'access' => [
        'class' => AccessControl::className(),
        'ruleConfig' => [
            'class' => AccessRule::className(),
        ],
        'rules' => [
            [
                'actions' => ['update'],
                'allow' => true,
                'roles' => ['manager'],
                'matchCallback' => function ($rule, $action,$model) {
                    return Yii::$app->user->identity->id==$model->autor_id;}
            ],
        ]
    ]    
}

Доступ я не получаю, как вы понимаете, и понимаю, что делаю, что то не то. Не подскажите как правильно?

Answer 1

[matperez]

Мне кажется, вам уже можно использовать RBAC

И еще один момент. Ваша задача там решается так

[
    'allow' => true,
    'actions' => ['update'],
    'roles' => ['updatePost'],
    'roleParams' => function() {
        return ['post' => Post::findOne(Yii::$app->request->get('id'))];
    },
],

или так

[
    'allow' => true,
    'actions' => ['update'],
    'roles' => ['updatePost'],
    'roleParams' => ['postId' => Yii::$app->request->get('id')];
],

Если абстрагироваться от RBAC, то следуя этой логике вы должны самостоятельно найти модель в БД в matchCallback и там уже выполнить все необходимые проверки.

Comments

[Сергей Беловенцев]

1 А как вы в RBAC подключите проверку является этот конкретный манагер автором этого конкретного поста ?
2 RBAC разве отменяет правила доступа, по моему дополняет.
3 Как вы думаете от куда я получаю роли пользователя ?

[matperez]

Сергей Беловенцев:
1. В RBAC для отдельных специфических проверок предлагают использовать отдельные сущности наследованные от yii\rbac\Rule. Это есть в документации.
2. Я и не говорил, что RBAC заменяет правила доступа. Можно использовать и то и другое.
3. Понятия не имею. Это важно?

[matperez]

Итого:
1. Вы можете использовать RBAC, можете не использовать. Факт в том, что ваш сценарий практически один в один реализован в документации по RBAC.
2. Если ваша проверка до запуска действия в контроллере требует модель, то вы должны самостоятельно сходить в данные запроса, вытащить оттуда ID модели, сходить в базу за моделью и потом уже произвести проверку. Из воздуха модель не появится.

Answer 2

[Arman]

Можно в контроллере сделать метод getModel(), который будет кэшировать результат (ложить в свойство). тогда в замыкании можно сделать $this->getModel()->autor_id.

Проблема что фильтры запускают До основного действия.

Comments

[Сергей Беловенцев]

о тож

Answer 3

[Сергей Беловенцев]

но за это решение спасибо Post::findOne(Yii::$app->request->get('id')) в принципе ответ поэтому и присваиваю.