Yii access — обязательно ли указывать список экшенов в 'Only'?

Question

[Антон Р.]

Пробую контроль доступа (фильтр). Есть Контроллер Blog и у него экшены: index, add. При вот таком коде почему-то в любом случае (и при blog/index и blog/add) кидает на login хотя в списке указан только экшен add:

public function behaviors()
	{
	    return [
	        'access' => [
	            'class' => AccessControl::className(),
	            'rules' => [
	                [
	                    'actions' => ['add'],
	                    'allow' => true,
	                    'roles' => ['admin'],
	                ],
	            ],
	        ]
	    ];
	}

А если добавить Only то уже index нормально доступен, а add нет:

public function behaviors()
	{
	    return [
	        'access' => [
	            'class' => AccessControl::className(),
	            'only' => ['add'],
	            'rules' => [
	                [
	                    'actions' => ['add'],
	                    'allow' => true,
	                    'roles' => ['admin'],
	                ],
	            ],
	        ]
	    ];
	}

Получается строку Only надо всегда в любом случае прописывать? Хотя во многих примерах кода этого Only нет. Пример где нет и норм работает у человека:

Comments

[Дмитрий]

Утро доброе.
roles поддерживает две роли, "?" и "@". Откуда у Вас берётся "admin"?

[Дмитрий]

И уберите код картинкой.

[Антон Р.]

Дмитрий, это скрин из видео, я физически не смогу вставить его текстом.

[Антон Р.]

Дмитрий, роль admin будет браться из базы (настроил компонент в хостинге и сделал миграции), или.... я что-то не то понял?

[Дмитрий]

это скрин из видео, я физически не смогу вставить его текстом

Антон Р., можете, было бы желание. Кода не так много.
Что Вы не поняли?
у roles только два значения, вот цитата из документации.

roles: задаёт роли пользователей, соответствующих этому правилу. Распознаются две специальные роли, которые проверяются с помощью yii\web\User::$isGuest:
?: соответствует гостевому пользователю (не аутентифицирован),
@: соответствует аутентифицированному пользователю.

Если Вы хотите сделать так, как Вы делаете, то подключайте RBAC.

[Дмитрий]

Антон Р., и что за видео Вы смотрите?

[Антон Р.]

Дмитрий, https://youtu.be/kXhzSN_InV0?t=1932

[Антон Р.]

Дмитрий, rbac указал в конфиге:

'authManager' => [
            'class' => 'yii\rbac\DbManager',
            'cache' => 'cache'
        ],

базу тоже настроил, осталось понять как использовать в контроллере.

[Дмитрий]

Антон Р., действия index и add, кто и к какому действию должен иметь доступ?

[Антон Р.]

Дмитрий, например add должен иметь право делать только admin.

[Дмитрий]

Антон Р.,

return [
            'access' => [
                'class' => AccessControl::class,
                'except' => ['login'],
                'rules' => [
                    [
                        'allow' => true,
                        'actions' => ['index'],
                        'roles' => ['moderator']
                    ],
                    [
                        'allow' => true,
                        'actions' => ['add'],
                        'roles' => ['admin']
                    ],
                ]
            ]
        ];

Модератор имеет доступ к index, админ к add.

[Дмитрий]

Антон Р., какие ещё действия в контролере?
Лучше вынести действия, которые имеет право выполнять только admin в отдельный контроллер.

[Антон Р.]

Дмитрий, так а как сделать так чтобы при работе этого контроллера подтягивались роли из базы?
Судя по этой инструкции https://yiiframework.com.ua/ru/doc/guide/2/securit... нужно написать еще RbacController и классы правил, например AuthorRule.

[Дмитрий]

Антон Р., какого контролера?

[Антон Р.]

Дмитрий, в общем я немного разобрался, я забыл сделать запись в таблицу auth_assignment и связать роль юзера admin с самой ролью admin.

Answer 1

[Артур]

Можно поменять порядок применения правил, с "все что не разрешено - запрещено", на "все что не запрещено - разрешено". Посмотрите доку к AccessControl