Как сделать защиту от несанкционированного редактирования?

Question

[DarkByte2015]

Есть некоторый контроллер редактирования статей. Как мне сделать чтобы юзер не мог редактировать (и даже просматривать) чужие статьи? Причем я не хочу проверку писать в каждом методе. Их очень много. Мне надо как-то проверить до вызова экшэна имеет ли юзер доступ к статье или нет. Можно конечно проверять в beforeAction, вот только что проверять?? Например есть метод actionDeleteFile который удаляет файл статьи. Но я не передаю в него id статьи, ибо зачем? Этому методу достаточно знать id файла.

Так что сейчас у меня как-бы любой юзер может менять чужие статьи. Это не есть хорошо.

P.S. Единственным решением я вижу пока что прокидывать все-таки в каждый экшн даже там где это не требует id статьи, а в beforeAction выдернуть как-нибудь этот id из урла и если юзер не имеет права на редактирование - послать его на три буквы. :D

Answer 1

[DarkByte2015]

Решил так

private function checkAccess($article_id) {
	$article = Article::findOne($article_id);
	$user = Yii::$app->user;

	if ($article->user_id !== $user->id && !$user->can('editor'))
		throw new ForbiddenHttpException("Вы не имеете доступа к этой статье!");
}

И в каждом экшэне его дергаю. Вспомнил что прокидывать article_id вовсе не обязательно, ведь почти у всех моделей есть прямой или косвенный доступ к нему. Даже у файлов можно получить дополнительном запросом по FK связи автора, а у него уже есть article_id. На этом варианте наверное и остановлюсь. Кажется ничего лучше придумать не удастся.

Answer 2

[Максим Тимофеев]

У Вас есть некий индентификатор автора, допустим author_id
И есть экшен в котором запрашивается статья. Кто мешает добавить в условие
-andWhere(['author_id'=>Yii::$app->user->id])
Например:

public function actionView($id){
    if($model = Article::find()
                        ->andWhere(['author_id'=>Yii::$app->user->id])
                        ->andWhere(['id'=>$id])
                        ->one()){
       return $this->render('view',['model'=>$model])
    }
    throw new ForbiddenHttpExceptionn('Ты сюда не ходи, снег башка попадет');
}

Comments

[DarkByte2015]

В таблице файлов нет user_id зато есть article_id, а вот уже в таблице статей есть user_id.

[Максим Тимофеев]

DarkByte2015, что за таблица файлов? О чем Вы?

[DarkByte2015]

Максим Тимофеев, обычная таблица. У каждой статьи есть приложенный файл. Короче структура такая: article(id, user_id...); file(id, article_id, name...). И таких таблиц много, это только один из примеров. Есть метод удаления файла, который получает на вход только id файла (id статьи ему попросту не нужно для запроса на удаление). И как вы прикажете защитить тут чтобы юзер не удалил чужую статью? Кроме как прокидывать все-таки id статьи с которой связан этот файл и проверять права на доступ к ней ничего не приходит в голову.

[Дмитрий]

В таблице файлов нет user_id зато есть article_id, а вот уже в таблице статей есть user_id.

DarkByte2015, настройте связи и используйте user_id.
Работа со связными данными

[DarkByte2015]

slo_nik, вы вообще не поняли смысл вопроса.

[Дмитрий]

DarkByte2015, что именно я не понял?

[DarkByte2015]

slo_nik, абсолютно ничего.

[Дмитрий]

DarkByte2015, ну а всё таки?

[DarkByte2015]

slo_nik, ну а все-таки если внимательно прочитать пост станет ясно.

[Максим Тимофеев]

DarkByte2015, Вы про join слышали? Думаю нет, иначе Вы бы slo_nik -у не хамили, а спасибо сказали

[Максим Тимофеев]

DarkByte2015, там может Вы не верно объяснили?

[Дмитрий]

DarkByte2015, в таком случае думайте сами. Или оглашайте сумму гонорара, за которую Вам будут что либо подсказывать.

[Дмитрий]

DarkByte2015, вот это

if ($article->user_id !== $user->id && !$user->can('editor'))

делается совсем иначе, а не так как Вы сделали. Свалили в кучу всё, методом тыка и получили очередной говнокод)))
Поздравляю с очередным говносайтом!!!

[Дмитрий]

DarkByte2015, учитесь формулировать свои мысли, чтобы все могли Вас понять. И учитесь слушать, что Вам советуют.

[Модератор]

DarkByte2015 Тостер - не место для хамов. Продолжите в том же духе, получите бан.