インターネットの継続的な発展に伴い、Web サイトやアプリケーションのセキュリティと信頼性を確保するために、ユーザー権限の管理と制御を?qū)g裝する必要がある Web サイトやアプリケーションがますます増えています。人気のある PHP フレームワークとして、Yii フレームワークは、システムへのユーザー アクセス許可を制御するための RBAC (Role-Based Access Control) 許可管理メカニズムの完全なセットを提供します。この記事では、Yii フレームワークの RBAC 権限管理メカニズムを紹介し、簡(jiǎn)単な例でその使用法を示します。

1. RBAC 権限管理メカニズムの概要

RBAC はロールベースのアクセス制御メカニズムであり、ユーザーと権限をそれぞれロールに関連付けることにより、ユーザーと権限の関係がロール內(nèi)で実現(xiàn)されます。認(rèn)証プロセスを分離することで、ユーザー権限の変更によって引き起こされるシステム パフォーマンスの低下の問(wèn)題を解決します。 RBAC では、アクセス許可は操作、オブジェクト、ルールに分割されます。操作とは、作成、読み取り、更新、削除などのデータに対する操作を指します。オブジェクトとは、記事、コメント、ユーザーなど、操作する必要があるデータを指します。ルールは、アクセス許可に関するいくつかの制限です。データ等の所有者ロールは、複數(shù)の権限で構(gòu)成されるユーザー権限の集合であり、通常、一連の操作、一連のオブジェクト権限、およびいくつかのルールが含まれます。 Yii フレームワークでは、RBAC は CPhpAuthManager を通じて実裝されます。

2. RBAC 権限管理の基本操作

まず、システムに権限とロールを追加する必要があります。これは、Yii フレームワークの認(rèn)可管理オブジェクト CPhpAuthManager に新しいパーミッションとロールを追加することで実現(xiàn)できます。以下は、新しい権限を追加するためのサンプル コードです。

// 添加新權(quán)限
$auth=Yii::app()->authManager; 
$auth->createOperation('createPost','create a new post'); 
$auth->createOperation('readPost','read a post'); 
$auth->createOperation('updatePost','update a post'); 
$auth->createOperation('deletePost','delete a post'); 

上記のコードでは、記事の作成、記事の読み取り、記事の更新、記事の削除の 4 つの新しい権限を追加しました。

次に、ロールを定義し、ロールに権限を追加する必要があります。次のコードは、「admin」という名前のロールに上記の権限を追加する方法を示しています。

// 添加一個(gè)新角色，將權(quán)限添加到角色中
$auth=Yii::app()->authManager; 
$role=$auth->createRole('admin'); 
$role->addChild('createPost'); 
$role->addChild('readPost'); 
$role->addChild('updatePost'); 
$role->addChild('deletePost'); 

上記のコードでは、「admin」という名前のロールを定義し、上記の 4 つの権限をこのロールに追加します。

最後に、ユーザーのアクセス要求を処理するときに、ユーザーが対応する権限を持っているかどうかを確認(rèn)する必要があります。次のコードは、ユーザーが「createPost」権限を持っているかどうかを確認(rèn)する方法を示しています。

//檢查用戶是否具有createPost權(quán)限
$auth=Yii::app()->authManager; 
if($auth->checkAccess('createPost',$userId))
{
    // 用戶具有權(quán)限，進(jìn)行操作
}
else
{
    // 用戶不具有權(quán)限，返回錯(cuò)誤
}

上記のコードでは、最初に認(rèn)可管理オブジェクト $auth を取得し、次にその checkAccess メソッドを呼び出して、ユーザーが「createPost」権限を持っているかどうかを確認(rèn)します。 createPost権限を持っています。ユーザーがこの権限を持っている場(chǎng)合、対応する操作を?qū)g行できます。そうでない場(chǎng)合は、エラー メッセージを返す必要があります。

3. RBAC 権限管理の例

ブログ Web サイトがあるとします。Web サイトには、記事、コメント、ユーザーという 3 つの基本的なエンティティが含まれています。これら 3 つのエンティティに対するユーザーのアクセス権を制御する必要があります。 。この例では、管理者と通常ユーザーという 2 つの基本的な役割を定義します。管理者はすべてのエンティティに対する作成、読み取り、更新、および削除の権限を持ちますが、一般ユーザーは記事とコメントに対する読み取り権限のみを持ちます。

まず、Yii フレームワークの設(shè)定ファイルで RBAC 権限管理コンポーネントを設(shè)定します:

'authManager'=>array(
    'class' => 'CDbAuthManager',
    'connectionID' => 'db',
    'itemTable' => '{{authitem}}',
    'assignmentTable' => '{{authassignment}}',
    'itemChildTable' => '{{authitemchild}}',
),

次に、コントローラーに次のコードを追加して、新しい権限とロールを追加します:

$auth = Yii::app()->authManager;

// 添加新權(quán)限
$auth->createOperation('createArticle', 'create a new article');
$auth->createOperation('readArticle', 'read an article');
$auth->createOperation('updateArticle', 'update an article');
$auth->createOperation('deleteArticle', 'delete an article');
$auth->createOperation('createComment', 'create a new comment');
$auth->createOperation('readComment', 'read a comment');
$auth->createOperation('updateComment', 'update a comment');
$auth->createOperation('deleteComment', 'delete a comment');

// 添加新角色
$roleAdmin = $auth->createRole('admin');
$roleAdmin->addChild('createArticle');
$roleAdmin->addChild('readArticle');
$roleAdmin->addChild('updateArticle');
$roleAdmin->addChild('deleteArticle');
$roleAdmin->addChild('createComment');
$roleAdmin->addChild('readComment');
$roleAdmin->addChild('updateComment');
$roleAdmin->addChild('deleteComment');

$roleUser = $auth->createRole('user');
$roleUser->addChild('readArticle');
$roleUser->addChild('readComment');

// 將角色分配給用戶
$auth->assign('admin', 1);
$auth->assign('user', 2);

上記のコードでは、まず、記事とコメントの CRUD 操作を制御するために使用される 8 つの新しい権限を作成しました。次に、管理者とユーザーという 2 つの新しいロールを定義し、対応する権限をロールに追加しました。最後に、管理者ロールをユーザー 1 に割り當(dāng)て、ユーザー ロールをユーザー 2 に割り當(dāng)てます。

次に、コントローラーで、次のコードに示すように、checkAccess メソッドを呼び出して、ユーザーが対応するアクセス許可を持っているかどうかを確認(rèn)し、対応する操作を?qū)g行できます。

if(Yii::app()->user->checkAccess('createArticle'))
{
    // 當(dāng)前用戶具有創(chuàng)建文章權(quán)限，進(jìn)行相應(yīng)操作
}

if(Yii::app()->user->checkAccess('readArticle'))
{
    // 當(dāng)前用戶具有讀取文章權(quán)限，進(jìn)行相應(yīng)操作
}

if(Yii::app()->user->checkAccess('updateArticle'))
{
    // 當(dāng)前用戶具有更新文章權(quán)限，進(jìn)行相應(yīng)操作
}

if(Yii::app()->user->checkAccess('deleteArticle'))
{
    // 當(dāng)前用戶具有刪除文章權(quán)限，進(jìn)行相應(yīng)操作
}

if(Yii::app()->user->checkAccess('createComment'))
{
    // 當(dāng)前用戶具有創(chuàng)建評(píng)論權(quán)限，進(jìn)行相應(yīng)操作
}

if(Yii::app()->user->checkAccess('readComment'))
{
    // 當(dāng)前用戶具有讀取評(píng)論權(quán)限，進(jìn)行相應(yīng)操作
}

if(Yii::app()->user->checkAccess('updateComment'))
{
    // 當(dāng)前用戶具有更新評(píng)論權(quán)限，進(jìn)行相應(yīng)操作
}

if(Yii::app()->user->checkAccess('deleteComment'))
{
    // 當(dāng)前用戶具有刪除評(píng)論權(quán)限，進(jìn)行相應(yīng)操作
}

上記のコードでは、checkAccess メソッドを呼び出してユーザーが対応する権限を持っているかどうかを確認(rèn)し、対応する権限を持っている場(chǎng)合は対応する操作を?qū)g行します。たとえば、ユーザーが記事を作成する権限を持っている場(chǎng)合、対応する記事作成操作を?qū)g行できます。

4. 結(jié)論

この記事の導(dǎo)入部を通じて、Yii フレームワークがシステムへのユーザーアクセス許可を制御するための RBAC 許可管理メカニズムの完全なセットを提供していることがわかります。ロールを定義し、ロールに権限を追加することで、システム內(nèi)のエンティティへのユーザー アクセスを簡(jiǎn)単に制御できます。もちろん、RBAC 権限管理メカニズムに加えて、Yii フレームワークは、パスワード暗號(hào)化、クロスサイトリクエストフォージェリの防止など、開発者が実際の狀況に応じて使用することを選択できる他の多くのセキュリティ機(jī)能も提供します。

以上がYii フレームワークでの RBAC 権限管理: ユーザーのアクセス権限の制御の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。