Yii2实现访问控制是通过Access Control Filter(ACF)实现的,ACF是一种基于过滤器(Filter)的访问控制机制。ACF通过在执行action之前检查用户的权限来控制访问。
底层原理是在Controller的actions()方法中配置一个ACF过滤器,当访问一个action时,ACF过滤器会被调用,检查当前用户是否有访问该action的权限。如果用户没有权限,ACF会根据配置的规则,执行拒绝访问的操作,例如重定向到登录页面或者显示403 Forbidden页面。
下面是一个使用ACF实现访问控制的示例:
public function behaviors()
{
return [
'access' => [
'class' => AccessControl::className(),
'rules' => [
[
'actions' => ['index', 'view'],
'allow' => true,
'roles' => ['@'],
],
[
'actions' => ['create', 'update', 'delete'],
'allow' => true,
'roles' => ['admin'],
],
],
],
];
}在上面的示例中,behaviors()方法中配置了一个ACF过滤器,包含两条规则。第一条规则允许已登录用户访问index和view操作,第二条规则允许admin角色的用户访问create、update和delete操作。
规则中的actions属性指定可以访问该规则所定义的操作,allow属性指定是否允许访问,roles属性指定可以访问该规则所定义的操作的用户角色。
除了上述的基于角色的访问控制,ACF还支持基于规则的访问控制,可以根据业务逻辑实现更为复杂的访问控制策略。
