Как запретить действие для всех, кроме владельца?

Question

Iossarian @Iossarian

Yii

Как запретить действие для всех, кроме владельца?

В проекте доступы регулируются с помощью rbac-бихейвера. Есть страница платежной информации к которой можно загрузить договор. Также загруженный договор затем можно скачать. Проблема в том, что ссылка скачивания имеет вид типа site/attachments/file/download?id=43. Использую виджет nemmo/yii2-attachments. В таблице с файлами есть поля itemId (модель, к которой загружается файл) и iserId - собственно, загрузивший договор юзер. Так вот, каким образом в бехейвере или еще где-либо можно прописать условие на возможность скачивания договора только для его владельца? Что-то вроде File->userId !== Yii::$app->user->identity->getId(), но как это правильно прописать?

Вопрос задан более трёх лет назад
38 просмотров

6 комментариев

Подписаться 1 Простой 6 комментариев

Дмитрий @slo_nik Куратор тега Yii

Добрый день.
Используйте RBAC
.

Написано более трёх лет назад
Iossarian @Iossarian Автор вопроса
slo_nik, используется такого вида:
[ 'allow' => true, 'actions' => ['upload', 'download'], 'roles' => ['@'], ],

и вот надо как-то задать условия на 'download', что каждому юзеру можно скачивать только свои файлы.
Написано более трёх лет назад
Дмитрий @slo_nik Куратор тега Yii

Iossarian, вот я и говорю, используйте RBAC.

Написано более трёх лет назад
Дмитрий @slo_nik Куратор тега Yii
Iossarian, при использовании rbac, Вы назначаете роли и права для пользователей и тогда проверка кто может, а кто не может сводится к такой строке в действии.
if(!Yii::$app->user->can('UpdateOwnPost'){ throw yii\web\ForbiddenHttpException; }
Написано более трёх лет назад
Iossarian @Iossarian Автор вопроса

Проверить я смогу, а вот задать условие, которое будет проверяться - этого я пока не могу

Написано более трёх лет назад
Дмитрий @slo_nik Куратор тега Yii

Iossarian, почитайте для начала документацию.
Так же посмотрите это видео.
После того, как посмотрите видео, можете почитать эту статью.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Yii

Простой
Можно ли сделать динамическую модель для таблиц в Yii2?
- 1 подписчик
- 14 апр.
- 35 просмотров
0

ответов
Yii

+1 ещё

Средний
Почему открывается папка (директория) вместо страницы docker yii2?
- 1 подписчик
- 12 апр.
- 68 просмотров
1

ответ
Yii

Простой
Почему приходит пустой массив?
- 1 подписчик
- 09 апр.
- 35 просмотров
0

ответов
PHP

+1 ещё

Простой
Как исправить баг со списком?
- 1 подписчик
- 09 апр.
- 82 просмотра
1

ответ
Yii

Простой
Как правильно указать путь к файлу который нужно использовать по умолчанию?
- 1 подписчик
- 04 апр.
- 40 просмотров
0

ответов
Yii

+1 ещё

Средний
Yii2 codeception REST API mock external API?
- 1 подписчик
- 03 апр.
- 73 просмотра
1

ответ
Yii

Простой
Как сделать, чтобы если пользователь сайта не загрузил свой favicon, то использовать favicon который я загрузил сам?
- 1 подписчик
- 03 апр.
- 49 просмотров
0

ответов
PHP

+1 ещё

Простой
Почему не загружаются картинки yii2?
- 1 подписчик
- 02 апр.
- 49 просмотров
1

ответ
Yii

Простой
Как подключить сохранение в базу данных картинки которую загрузил пользователь?
- 1 подписчик
- 29 мар.
- 34 просмотра
1

ответ
Yii

Простой
Как исправить переключение между табами?
- 1 подписчик
- 27 мар.
- 113 просмотров
0

ответов
Показать ещё Загружается…

Backend-разработчик на Yii2 на проектную занятость

E-Produce

До 220 000 ₽

Backend-разработчик

НПО «СтарЛайн» • Санкт-Петербург

от 250 000 ₽

Fullstack PHP Developer

Smapse Education

от 40 000 до 65 000 ₽

Написать индикатор на TradingView по хаям/лоям дня недели

25 апр. 2024, в 08:45

4000 руб./за проект

Вычислить размер объекта по карте глубин

25 апр. 2024, в 07:37

5000 руб./за проект

Спарсить TON PLACE: скрейпинг фото и текста с анкет по списку URL

25 апр. 2024, в 05:57

3000 руб./за проект

slo_nik, используется такого вида:
[ 'allow' => true, 'actions' => ['upload', 'download'], 'roles' => ['@'], ],

и вот надо как-то задать условия на 'download', что каждому юзеру можно скачивать только свои файлы.
Iossarian, вот я и говорю, используйте RBAC.
Iossarian, при использовании rbac, Вы назначаете роли и права для пользователей и тогда проверка кто может, а кто не может сводится к такой строке в действии.
if(!Yii::$app->user->can('UpdateOwnPost'){ throw yii\web\ForbiddenHttpException; }
Проверить я смогу, а вот задать условие, которое будет проверяться - этого я пока не могу
Iossarian, почитайте для начала документацию.
Так же посмотрите это видео.
После того, как посмотрите видео, можете почитать эту статью.

Answer 1 · 2019-03-28 16:26:35

регулируются с помощью rbac-бихейвера

конкретного? Где ссылка на это поведение или код?

как это правильно прописать?

В вашем никому не известном поведении - только гадалка поможет.
Но из коробки для этого есть rules:
https://www.yiiframework.com/doc/guide/2.0/ru/secu...
http://yii.internetsite.com.ua/blog/rbac#использов...

Как запретить действие для всех, кроме владельца?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт