Как правильно организовать цепочку ролей rbac?

Question

[bagos]

Добрый вечер.
Задача следующая. Нужно чтобы при проверке actionCreate, для роли admin происходила проверка только роли RoleA с правилом RuleA, а для роли manager сначала прогонялась роль RoleA с правилом RuleA, затем RoleB с правилом RuleB. Вот схема ролей.

В моем понимании проверка ролей идет в обратную сторону.
В AuthItemChild
admin - roleA
roleB - roleA
manager - roleB
В контроллере:

'allow' => true,
'roles' => ['roleA'],
'actions' => ['create'],

В данном случае, при вызове actionCreate, для пользователя с ролью manager, вызывается роль, затем рольБ, и для admin также перебираются все роли, сначала рольА, затем рольБ, как исключить для пользователя с ролью админ проверку ролиБ ? Данный пример сильно упростил, хочется понять как правильно строить цепочки из ролей с правилами.
Или же стоит делать так? Что тоже сомнительно, ведь тогда придётся прописывать доступы для каждой роли отдельно.
Что то вроде

'allow' => true,
'roles' => ['admin'],
'actions' => ['create'],
'matchCallback' => function($rule, $action){
        return Yii::$app->user->can('roleA');
    },
'allow' => true,
'roles' => ['manager'],
'actions' => ['create'],
'matchCallback' => function($rule, $action){
        return Yii::$app->user->can('roleC');
    }

Заранее спасибо!

Answer 1

[Дмитрий Ким]

Пишу с телефона, поэтому не могу проверить.
Но попробуйте использовать matchCallback

[
    'actions' => ['create'],
    'roles' => ['roleA'],
    'matchCallback' => function($rule, $action){
        return Yii::$app->user->can('ruleA');
    }
]

Comments

[bagos]

return Yii::$app->user->can('ruleA');

ruleA - правило

[Дмитрий Ким]

bagos, а в чем проблема?

[bagos]

Дмитрий Ким, в метод can можно же передавать только имя роли или разрешения, наличие правила проверяется в checkAccessRecursive, и проверяется оно там по наличию названия правила в ruleName authItem'a

[Дмитрий Ким]

bagos, ясно, показалось что именно про правило == разрешение идет речь.

[bagos]

В checkAccessRecursive всегда дергается parent items, и рекурсивно прогоняет по ним. Значит неизбежно будут проверятся все роли из дерева с их правилами вверх по иерархии. А мне бы хотелось исключить проверку правил, которые не относятся к данной роли пользователя.

Как вариант еще вижу такую связку
admin - roleA
manager - roleA
manager - roleB

И проверять

[
    'actions' => ['create'],
    'roles' => ['admin'],
    'matchCallback' => function($rule, $action){
        return Yii::$app->user->can('roleA');
    }
],
[
    'actions' => ['create'],
    'roles' => ['manager'],
    'matchCallback' => function($rule, $action){
        return Yii::$app->user->can('roleA') && Yii::$app->user->can('roleB');
    }
]

Может такой подход является верным? Единственное что когда много промежуточных ролей с правилами, придется для каждой роли пользователя прописывать доступы с набором правил

Yii::$app->user->can('roleA') && Yii::$app->user->can('roleB');

и связывать их в таблице AuthItemChild

[bagos]

В данном примере разрешения не использую, т.к. набор actions нужно проверять в рамках одной роли пользователя admin или manager и ролей с правилами

[
    'actions' => ['create', 'update', 'show',....],
    'roles' => ['manager'],
    'matchCallback' => function($rule, $action){
        return Yii::$app->user->can('roleA') && Yii::$app->user->can('roleB');
    }
]

[Дмитрий Ким]

Может вам стоит пересмотреть иерархию и тем самым упростить дальнейшее использование.

[bagos]

Возможно, но каким образом? Есть возможность привести пример? В голове "засел" только такой вид иерархии, по другому не вижу.

[Дмитрий Ким]

Можно же добавить проверку ролей в само правило, и тогда вам нужно будет создать лишь один фильтр с этим правилом на обе роли.

[bagos]

Пока сделал так,
admin - roleA
manager - roleA
manager - roleB

И фильтры

[
                        'allow' => true,
                        'roles' => ['admin'],
                        'actions' => ['create'],
                        'matchCallback' => function ($rule, $action) {
                            return Yii::$app->user->can('roleA');
                        }
                    ],
                    [
                        'allow' => true,
                        'roles' => ['manager'],
                        'actions' => ['create'],
                        'matchCallback' => function ($rule, $action) {
                            return Yii::$app->user->can('roleA')
                                && Yii::$app->user->can('roleB');
                        }
                    ],

Громозко, зато есть возможность проверять по определенной цепочке, т.е. мне важно чтобы для manager сначала была проверка правила из roleA, а затем уже проверка правила из roleB

[Дмитрий Ким]

Пусть тогда B наследует A. Тогда вам не нужно будет таскать эту связку.