Rbac yii2 чем отличается разрешние от роли?

Question

[AlexAll]

Кто нибудь на пальцах может объяснить, чем отличается роль от разрешения в rbac? сколько не пытался понять так и не понял. Ну например создали мы три роли Admin Manager User сделали разрешения AdminPanel и привязали его к Admin и User, а потом в AccessControl указали доступ для админки (или на всю админку) Но почему бы просто так же в AccessControl не указать доступ для этих ролей и все?

Answer 1

[Максим]

Разрешения это то, что может делать пользователь: просматривать админку, редактировать посты, удалять пользователей и так далее.

Чтобы одни и те же разрешения не присваивать каждый раз разным пользователям их привязывают к ролям. Затем данная роль присваивается пользователю либо сразу при регистрации, либо админом.

При присваивании роли «Администратор» какому-либо пользователю ему становятся доступны все разрешения этой роли. Так же роли можно наследовать. Админ может наследовать роль пользователя и дополнительные разрешения.

Если вы добавили новое разрешение системы, то вы просто присваиваете это разрешение необходимой роли. И всем пользователям этой роли становится доступно это разрешение. Если бы не было ролей - разрешение нужно было бы присваивать всем пользователям.

В небольших проектах можно обойтись ролями без разрешений.

Роль служит для группировки разрешений.

Достаточно понятно описано в Википедии.

Comments

[AlexAll]

сухи технические документации мне ни о чем не говорят перечитал не один десяток раз, на пальцах было бы понятнее. Для разрешения надо rules еще делать или как?

[Максим]

AlexAll, вроде и так объяснил вам на пальцах.

В rules вы передаёте разрешение или роль. Если у вас сложная логика, то лучше использовать в rules разрешения. Если логика не сложная можно обойтись без разрешений - только роли.

Например. Если вам нужно скрывать поле телефона всем кроме админа, то вы можете написать так:

if(Yii::$app->user->can(“admin”)) {
//code
}

Однако, если вы вдруг захотите ещё отображать телефон модераторам, то код усложнится. И придётся делать два условия в if. Либо вы вдруг решите, что телефон показывать можно модераторам, а у администратором нужно его скрывать. Такие действия ведут к изменению кода. Однако поступить можно иначе. Вместо роли указываем разрешение:

if(Yii::$app->user->can(“profile.view.mobilePhone”)) {
//code
}

В таком случае, для того чтобы дать права на просмотр телефона вам нужно только присвоить разрешение profile.view.mobilePhone к роли или конкретному пользователю. Захотели всем админам дали это разрешение, а захотели - только себе.

Таким образом везде в коде вы указываете разрешения. Далее эти разрешения создаёте в Rbac. Затем присваиваете эти разрешения какой-то роли или конкретному пользователю.

Если вы захотите ещё это разрешение на просмотр телефона дать и Васе, то просто добавляете ему это разрешение. Если всем moderator то так же добавляете это разрешение только уже к роли. И все модераторы будут видеть телефоны.

Не знаю. Я уже совсем просто объяснил. С разных сторон. Не понять это - просто совсем... Если совсем туго, то забудьте пока про это. Работайте с ролями. Затем поймёте.