Как запретить действие для всех, кроме владельца?

Question

Iossarian @Iossarian

Yii

Как запретить действие для всех, кроме владельца?

В проекте доступы регулируются с помощью rbac-бихейвера. Есть страница платежной информации к которой можно загрузить договор. Также загруженный договор затем можно скачать. Проблема в том, что ссылка скачивания имеет вид типа site/attachments/file/download?id=43. Использую виджет nemmo/yii2-attachments. В таблице с файлами есть поля itemId (модель, к которой загружается файл) и iserId - собственно, загрузивший договор юзер. Так вот, каким образом в бехейвере или еще где-либо можно прописать условие на возможность скачивания договора только для его владельца? Что-то вроде File->userId !== Yii::$app->user->identity->getId(), но как это правильно прописать?

Вопрос задан более трёх лет назад
38 просмотров

6 комментариев

Подписаться 1 Простой 6 комментариев

Дмитрий @slo_nik Куратор тега Yii

Добрый день.
Используйте RBAC
.

Написано более трёх лет назад
Iossarian @Iossarian Автор вопроса
slo_nik, используется такого вида:
[ 'allow' => true, 'actions' => ['upload', 'download'], 'roles' => ['@'], ],

и вот надо как-то задать условия на 'download', что каждому юзеру можно скачивать только свои файлы.
Написано более трёх лет назад
Дмитрий @slo_nik Куратор тега Yii

Iossarian, вот я и говорю, используйте RBAC.

Написано более трёх лет назад
Дмитрий @slo_nik Куратор тега Yii
Iossarian, при использовании rbac, Вы назначаете роли и права для пользователей и тогда проверка кто может, а кто не может сводится к такой строке в действии.
if(!Yii::$app->user->can('UpdateOwnPost'){ throw yii\web\ForbiddenHttpException; }
Написано более трёх лет назад
Iossarian @Iossarian Автор вопроса

Проверить я смогу, а вот задать условие, которое будет проверяться - этого я пока не могу

Написано более трёх лет назад
Дмитрий @slo_nik Куратор тега Yii

Iossarian, почитайте для начала документацию.
Так же посмотрите это видео.
После того, как посмотрите видео, можете почитать эту статью.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Yii

+1 ещё

Простой
Почему не могу проверять заголовки в тестах yii2?
- 1 подписчик
- 26 нояб.
- 19 просмотров
0

ответов
PHP

+1 ещё

Средний
Yii2-dynamic-form при добавлении строки слетает кодировка. Как решить?
- 1 подписчик
- 23 нояб.
- 51 просмотр
2

ответа
Yii

Простой
Как внутри yii2 сделать запрос на centrifugo?
- 1 подписчик
- 23 нояб.
- 25 просмотров
1

ответ
PHP

+2 ещё

Средний
Как отладить обновление строки, залоченой SELECT FOR UPDATE в MySQL8?
- 6 подписчиков
- 10 нояб.
- 540 просмотров
0

ответов
Yii

Простой
Как в rules в Yii2 задать уникальность сочетания 2 полей?
- 1 подписчик
- 21 окт.
- 59 просмотров
1

ответ
JavaScript

+1 ещё

Средний
Как добавить новый функционал в редактор prosemirror?
- 1 подписчик
- 18 окт.
- 77 просмотров
0

ответов
Yii

Простой
Как сделать запрос к БД по средствам Yii2 на php?
- 1 подписчик
- 17 окт.
- 86 просмотров
1

ответ
Yii

+2 ещё

Простой
Почему отображается ошибка «Invalid recaptcha verify response»?
- 1 подписчик
- 15 окт.
- 100 просмотров
1

ответ
Yii

+1 ещё

Простой
Нужно ли самому контролировать, выполнилась ли задача в очереди?
- 2 подписчика
- 09 окт.
- 112 просмотров
1

ответ
Yii

+1 ещё

Средний
Как сделать поиск для сайта на yii2?
- 1 подписчик
- 08 окт.
- 73 просмотра
1

ответ
Показать ещё Загружается…

Fullstack PHP разработчик

Barlane

от 250 000 ₽

Fullstack разработчик PHP (удаленно)

MYFORCE

от 40 000 ₽

Manual QA Engineer

Proskater

от 40 000 до 60 000 ₽

Несложная верстка из Figma bootstrap5 scss npm

18 дек. 2024, в 04:59

1000 руб./в час

Отправка команды на открытие всех окон автомобиля Chery Tiggo 7 Pro

18 дек. 2024, в 03:28

16000 руб./за проект

Установить музыкальный софт

18 дек. 2024, в 01:04

5000 руб./за проект

slo_nik, используется такого вида:
[ 'allow' => true, 'actions' => ['upload', 'download'], 'roles' => ['@'], ],

и вот надо как-то задать условия на 'download', что каждому юзеру можно скачивать только свои файлы.
Iossarian, вот я и говорю, используйте RBAC.
Iossarian, при использовании rbac, Вы назначаете роли и права для пользователей и тогда проверка кто может, а кто не может сводится к такой строке в действии.
if(!Yii::$app->user->can('UpdateOwnPost'){ throw yii\web\ForbiddenHttpException; }
Проверить я смогу, а вот задать условие, которое будет проверяться - этого я пока не могу
Iossarian, почитайте для начала документацию.
Так же посмотрите это видео.
После того, как посмотрите видео, можете почитать эту статью.

Answer 1 · 2019-03-28 16:26:35

регулируются с помощью rbac-бихейвера

конкретного? Где ссылка на это поведение или код?

как это правильно прописать?

В вашем никому не известном поведении - только гадалка поможет.
Но из коробки для этого есть rules:
https://www.yiiframework.com/doc/guide/2.0/ru/secu...
http://yii.internetsite.com.ua/blog/rbac#использов...

Как запретить действие для всех, кроме владельца?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт