Rbac- как настроить доступ на основе созданных ролей?

Question

[Maila]

B базе 3-пользователя (admin (id_1) , content(id_3) и user(id_2 ) которые есть в 'user', в 'auth_assigment' и в 'auth_item_child' им определены такие роли: есть 'auth_rule- isAuthor. Вроде бы все по логике работает - 'user' просматривая блог,admin.site.com/blog/blog/view?id=18 созданный пользователем 'content' не видит кнопок 'update', 'delete' как другие, т.к. прав не имеет.



Но если он заходит просто по ссылке admin.site.com/blog
то легко может удалить либо отредактировать любой пост. Как настроить эти роли здесь?

Comments

[Дмитрий]

Доброе утро.
В контроллере проверяйте роль, если не админ, то делайте редирект или показывайте ошибку.

[Maila]

slo_nik, Здравствуйте В SiteController (backend) у меня такой код:

class SiteController extends Controller
{
    /**
     * @inheritdoc
     */
    public function behaviors()
    {
        return [
            'access' => [
                'class' => AccessControl::className(),
                'rules' => [

                    [
                        'actions'=> ['index'],
                        'allow' => true,
                       'roles' => ['canAdmin'],
                        /* 'roles' => ['?'],*/


                    ],
                    [
                        'actions' => ['login', 'error'],
                        'allow' => true,
                        
                    ],
                    [
                      'actions' => ['logout','save-redactor-img','save-img'],
                      'allow' => true,
                      'roles' => ['@'],
                        ],
                    ],
              ],
            'verbs' => [
                'class' => VerbFilter::className(),
                'actions' => [
                    'logout' => ['post'],
                ],
            ],
        ];
    }

    /**
     * @inheritdoc
     */

В main.php (backend\config) добавлено:

'params' => $params,

     'on beforeAction' => function($event){ //цепляемся за событие перед запуском экшена
      Yii::$app->controller->attachBehavior('',[ //цепляем к текущему контролеру поведение
          'class' => \yii\filters\AccessControl::className(), //указываем класс поведения
          'except' => ['login','error','register'], 
         //исключим из правила экшены login и error, так как они должны быть доступны всем
          'rules' => [
              [
                  'allow' => true, //разрешаем доступ
                  'roles' => ['@'], //'@' только зарегистрированным пользователям или замените на 'admin',  что бы только админам позволить
              ],
          ],
      ]);
    },

Сейчас доступ в backend есть всем зарегистрированным пользователям. Так и должно быть, но только у всех должны быть разные права на странице блога admin.site.com/blog Сейчас, если к примеру, 'user' заходит через просмотр в пост , созданный 'content' или 'админ' - то кнопок 'update/delete' нет. Но т.к. кнопки есть здесь admin.site.com/blog он может совершать любые действия.
Для 'content' есть кнопки 'update/delete во view блога, созданного 'user', но нет для 'admin' 'Admin' же имеет все права. Вот как настроить эти роли здесь? admin.site.com/blog

[Дмитрий]

В действиях можно так проверять:

public function actionCreate()
    {
        if(!Yii::$app->user->can('createObject')){
            throw new ForbiddenHttpException(UsersModule::t('module', 'ERROR_FORBIDDEN_TEXT'));   
        }
        /* остальной код */
    }

Кнопки можно так скрыть:

<?php
          if(Yii::$app->user->can('admin')) :
        ?>
        <?= Html::a(UsersModule::t('module', 'USERS_BUTTON_DELETE'),
                    ['delete', 'id' => $model->id],
                    [
                        'class' => 'btn btn-danger',
                        'data' => [
                            'confirm' => 'Удалить?',
                            'method' => 'post',
                        ],
                    ]
        ) ?>
        <?php
          endif;
        ?>

Сейчас доступ в backend есть всем зарегистрированным пользователям.

Зарегистрированным пользователям нечего там делать, зачем давать доступ?

[Maila]

slo_nik, а куда этот код нужно добавить, в какой файл?

Зарегистрированным пользователям нечего там делать, зачем давать доступ?

Хочется сделать так, чтобы пользователи могли создавать и редактировать но только свои посты, а контент-менеджер и админ за этим бы следили. Или это нужно на fronted реализовывать? Либо сделать доступ в backend всем зарегистрированным, но с разными правами.

[Дмитрий]

Или это нужно на fronted реализовывать?

Естественно!!! Только так!!!
Backend для админов, frontend для пользователей

Answer 1

[Максим Федоров]

то легко может удалить либо отредактировать любой пост

1. Вам нужно настроить AccessControl для определения прав доступа к экшенам контроллера
2. Настроить отображение кнопок в ActionColumn с помощью свойства visibleButtons

Comments

[Maila]

В SiteController (backend) AccessControl у меня определен так:

public function behaviors()
    {
        return [
            'access' => [
                'class' => AccessControl::className(),
                'rules' => [

                    [
                        'actions'=> ['index'],
                        'allow' => true,
                       'roles' => ['canAdmin'],
                        /* 'roles' => ['?'],*/


                    ],
                    [
                        'actions' => ['login', 'error'],
                        'allow' => true,
                        
                    ],
                    [
                      'actions' => ['logout','save-redactor-img','save-img'],
                      'allow' => true,
                      'roles' => ['@'],
                        ],
                    ],
              ],
            'verbs' => [
                'class' => VerbFilter::className(),
                'actions' => [
                    'logout' => ['post'],
                ],
            ],
        ];
    }

    /**

Сейчас доступ в backend есть всем зарегистрированным пользователям. Так и должно быть, но только у всех должны быть разные права на странице блога admin.site.com/blog Сейчас, если к примеру, '
user' заходит через просмотр в пост , созданный 'content' или 'админ' - то кнопок 'update/delete' нет. Но т.к. кнопки есть здесь admin.site.com/blog он может совершать любые действия.
Для 'content' есть кнопки 'update/delete во view блога, созданного 'user', но нет для 'admin' 'Admin' же имеет все права. Вот как скрыть эти кнопки корзины и карандаш здесь admin.site.com/blog в соответствии с ролями в базе?

[Максим Федоров]

Maila, 2-й пункт моего ответа о этом

[Maila]

Максим Федоров, не совсем понятно, как настраивать этот доступ ActionColumn и где? в форме блога?

[Максим Федоров]

Maila, в GridView в ActionColumn посмотрите пример из документации