Почему не срабатывает или как использовать правило для разрешения RBAC?

Question

[Виктор Янышев]

Есть правило для проверки может ли юзер редактировать, удалять и т.д. Сейчас получается то запись модератора может редактировать обычный пользователь у которого нету commentUpdate|Delete, а только commenOwnUpdate|Delete. Используя:

if(Yii::$app->user->can('commentUpdate', ['user_id' => Yii::$app->user->id])) {
 // Пользователь true
 // Модератор true
 // любой другой false
}

Сейчас в контроллере:

public function behaviors()
    {
        return [
            'access' => [
                'class' => AccessControl::className(),
                'rules' => [
                    [
                        'allow' => true,
                        'actions' => ['update', 'delete'],
                        'roles' => ['commentUpdate', 'commentDelete'],
                        'roleParams' => ['user_id' => Yii::$app->user->id]
                    ]

                ]
            ],
        ];
    }

Но обычный юзер все равно может исполнять методы.

UPD
'roleParams' => ['user_id' => $model->user_id] а не 'roleParams' => ['user_id' => Yii::$app->user->id]

Answer 1

[Дмитрий]

Добрый вечер.
А Вы случаем ничего не путаете?
AccessControl это одно, а RBAC другое.
Может правильней будет в контроллере, в действии проверить(например)

public function actionUpdate()
{
     if (\Yii::$app->user->can('createPost')) {
         // update post
    }
}

Comments

[Виктор Янышев]

хочу именно через поведение

[Дмитрий]

Виктор Янышев,

[[yii\filters\AccessRule::roles|roles]]: задаёт роли пользователей, соответствующих этому правилу. Распознаются две специальные роли, которые проверяются с помощью [[yii\web\User::isGuest]]:

?: соответствует гостевому пользователю (не аутентифицирован),
@: соответствует аутентифицированному пользователю.

[Виктор Янышев]

slo_nik, Не уловил мысли

[Дмитрий]

Виктор Янышев, в этой статье показано, как можно rbac прикрутить к AccessRule

[Виктор Янышев]

slo_nik, понятно, суть вопроса была не в этом. А в том что разрешение всегда true возвращало через поведения(не принципиально через behaviors) , а решением стало что что я не тот id закидывал.