• 1. Как подключить RBAC
• 2. Определение разрешений на доступ и ролей для пользователей
• 3. Как определить правило для RBAC

---

Если нельзя дать общее разрешение, то нужно создать и выдать частное разрешение. Чтобы позволить Автору добавлять статьи, нужно создать разрешение createPost. Оно должно проверяться следующим, в случае неудачи при проверке разрешения create.

  $auth->addChild($createPost, $create);

Чтобы Админ мог добавить статью, нужно, чтобы он имел разрешение на все, на что имеет разрешение Автор.

  $auth->addChild($admin, $author);

Все отлично и логично. Четкая иерархия разрешений и ролей. Но, например, вы Автор и пытаетесь редактировать чужую статью. Действие не желательное. Как проверить, что статья не ваша? Или как проверить, что этот комментарий не к вашей статье и вам не стоит на него отвечать?

Is it your post?

Для подобных проверок существуют правила. Это классы, унаследованные от абстрактного класса yii\rbac\Rule с единственным методом execute.

Для определения авторства статьи метод определяется следующим образом:

public function execute($user_id, $item, $params)
{
    return isset($params['post']) 
        ? $params['post']->author_id == $user_id
        : false;
}

Первый параметр всегда ID текущего пользователя. Третий - то, что передается при вызове метода can.

    $model = $this->findModel($id);
    if(Yii::$app->user->can('update', ['post' => $model])) {

То есть мы передаем в правило модель статьи и проверка авторства становится очевидной.

Is it a comment for one of your posts?

Когда кто-либо пытается ответить на комментарий, проверяется разрешение replyOwnComment.

if (!Yii::$app->user->can('replyComment', ['comment' => $comment]))

которое связано правилом OwnCommentRule со следующим методом execute:

public function execute($user_id, $item, $params)
{
    return isset($params['comment']) 
        ? in_array($params[
            'comment']->post_id, 
            $params['comment']->getUserPosts($user_id))
        : false;
}

В методе проверяется, относится ли текущий пост к списку созданных данным Автором постов. Метод getUserPosts модели выбирает ID всех постов, созданных текущим пользователем.

  public function getUserPosts($user_id)
  {
    $a = [];
    foreach(Post::find()
      ->select(['id'])
      ->where(['author_id' => $user_id])
      ->all() as $post)
      $a[] = $post->id;
      return $a;
  }

Одно разрешение, несколько правил

В методе execute, как правило, делается проверка принадлежности к модели.

    return isset($params['model'])
        ? // checking
        : falsе

Дело в том, что если определены общие разрешения, как например update, то правило будет вызываться для разных моделей и нужно быть уверенным, что проверка выполняется для "правильной" модели. Таким образом на одно разрешение, например на то же update, может быть "повешено" несколько правил. Как и было сделано в предыдущей статье.

Остальные правила упомянутые в предыдущей статье определяются аналогично. После их добавления можно вызывать php yii rbac/init.

Заключение

RBAC это вещь простая и существенно упрощающая решение проблем распределения прав при создании сайта. Вся логика определяется в одном файле RbacController.php и легко контролируется. Вариант ролей и разрешений для работы с блогом можно посмотреть в модуле sergmoro1/yii2-blog-tools.