Product.supplierID = Supplier.supplierID
--------- ----------
|Product|---------|Supplier|
--------- ----------
|
| Supplier.supplierID = User.supplierID
|
---------
| User |
---------
使用上面的表结构,应用程序使用
ActiveController
的子类,并覆盖prepareDataProvider
来限制登录index
可以看到的每个Product
的User
列表,以匹配具有supplierID
值的用户。 actions()
的ProductController
方法中类似的内容。$actions['index']['prepareDataProvider'] = function($action)
{
$query = Product::find();
if (Yii::$app->user->can('supplier') &&
Yii::$app->user->identity->supplierID) {
$query->andWhere(['supplierID' => Yii::$app->user->identity->supplierID]);
}
return new ActiveDataProvider(['query' => $query]);
};
这工作正常,但是我正在寻找使用
checkAccess()
来限制单个actionView()
的Product
。目前,无论是否具有适当的
User
,登录的Product
都可以通过更改URL中的productID
来访问supplierID
。看来我无法访问
Product
的特定实例来检查supplierID
,直到actionView()
返回,这是我希望进行检查的时间。我可以覆盖
checkAccess()
来限制访问并抛出适当的ForbiddenHttpException
吗? 最佳答案
那么检查模型是否存在的函数呢?
protected function modelExist($id)
{
return Product::find()
->where([ 'productID' => $id ])
->andWhere(['supplierID' => Yii::$app->user->identity->supplierID ])
->exists();
}
如果
productID
是您的产品主键,那么对/products/1
的请求将由yii\rest\UrlRule转换为/products?productID=1
。在这种情况下,当将
productID
作为参数提供时,您可以使用beforeAction
快速检查该模型是否存在,并让该操作执行,否则,将引发错误:// this array will hold actions to which you want to perform a check
public $checkAccessToActions = ['view','update','delete'];
public function beforeAction($action) {
if (!parent::beforeAction($action)) return false;
$params = Yii::$app->request->queryParams;
if (isset($params['productID']) {
foreach ($this->checkAccessToActions as $action) {
if ($this->action->id === $action) {
if ($this->modelExist($params['productID']) === false)
throw new NotFoundHttpException("Object not found");
}
}
}
return true;
}
更新
由于问题是关于的问题,因此在剩余的ActiveController中覆盖了checkAccess方法,我认为举个例子会很有用。
按照Yii2 REST的设计方式,一旦加载了模型实例,所有
delete
,update
和view
操作将调用checkAccess
方法:// code snippet from yii\rest\ViewAction
$model = $this->findModel($id);
if ($this->checkAccess) {
call_user_func($this->checkAccess, $this->id, $model);
}
create
和index
操作也是如此,只是它们不会将任何模型实例传递给它:call_user_func($this->checkAccess, $this->id)
。因此,您尝试执行的操作(当用户尝试查看,更新或删除不是其供应商的产品时抛出ForbiddenHttpException)也可以通过以下方式实现:
public function checkAccess($action, $model = null, $params = [])
{
if ($action === 'view' or $action === 'update' or $action === 'delete')
{
if ( Yii::$app->user->can('supplier') === false
or Yii::$app->user->identity->supplierID === null
or $model->supplierID !== \Yii::$app->user->identity->supplierID )
{
throw new \yii\web\ForbiddenHttpException('You can\'t '.$action.' this product.');
}
}
}
关于php - Yii2-覆盖其余ActiveController中的checkAccess,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/33168784/