Yii2通过User组件实现用户认证,需配置identityClass并实现IdentityInterface接口,结合AccessControl过滤器控制动作访问,利用RBAC(角色/权限/规则)实现细粒度授权,支持数据库存储与自定义规则,保障应用安全。
在Yii2框架中实现用户认证和授权,是构建安全Web应用的基础。Yii2提供了强大的组件支持,让开发者可以快速、灵活地实现登录验证和权限控制。
用户认证(Authentication)
用户认证指的是确认“你是谁”,通常通过用户名和密码完成登录。Yii2通过User组件来管理用户会话状态。
1. 配置User组件
在config/web.php中配置user组件:
'components' => [
'user' => [
'identityClass' => 'app\models\User', // 指定用户模型
'enableAutoLogin' => true, // 支持自动登录
'loginUrl' => ['site/login'], // 登录页面路由
],
],
2. 实现IdentityInterface
你的用户模型(如app\models\User)必须实现IdentityInterface,包含以下关键方法:
-
findIdentity():根据主键查找用户 -
findIdentityByAccessToken():用于API认证(可选) -
getId():返回用户唯一标识 -
getAuthKey()和validateAuthKey():用于自动登录校验
3. 登录逻辑
在控制器中使用Yii::$app->user->login()完成登录:
$user = User::findByUsername($username);
if ($user && $user->validatePassword($password)) {
Yii::$app->user->login($user, $rememberMe ? 3600*24*7 : 0);
return $this->goHome();
}
访问控制过滤器(Access Control Filter)
通过AccessControl过滤器限制动作访问权限,常用于控制器中。
use yii\filters\AccessControl;public function behaviors() { return [ 'access' => [ 'class' => AccessControl::class, 'rules' => [ [ 'allow' => true, 'actions' => ['logout'], 'roles' => ['@'], // 登录用户 ], [ 'allow' => true, 'actions' => ['login', 'error'], 'roles' => ['?'], // 游客 ], ], ], ]; }
@表示已登录用户,?表示未登录用户,也可使用角色名如admin。
授权(Authorization) - RBAC
授权决定“你能做什么”。Yii2内置基于角色的访问控制(RBAC),支持角色、权限和规则。
1. 启用RBAC组件
在config/web.php中添加:
'components' => [
'authManager' => [
'class' => 'yii\rbac\DbManager', // 使用数据库存储
],
],
执行迁移命令创建RBAC数据表:
yii migrate --migrationPath=@yii/rbac/migrations/2. 创建权限和角色
可通过代码或命令行初始化权限结构:
$auth = Yii::$app->authManager;// 创建权限 $createPost = $auth->createPermission('createPost'); $createPost->description = '创建文章'; $auth->add($createPost);
// 创建角色 $author = $auth->createRole('author'); $auth->add($author);
// 分配权限到角色 $auth->addChild($author, $createPost);
// 分配角色给用户(用户ID为1) $auth->assign($author, 1);
3. 在代码中检查权限
使用can()方法判断当前用户是否有权限:
if (Yii::$app->user->can('createPost')) {
// 显示“发布文章”按钮
}
也可以在控制器中使用checkAccess()进行更精细控制。
自定义规则(Rules)
规则用于动态判断权限,比如只允许用户编辑自己的文章。
创建规则类:
class OwnPostRule extends Rule
{
public function execute($user, $item, $params)
{
return isset($params['post']) ? $params['post']->created_by == $user : false;
}
}
将规则绑定到权限:
$rule = new OwnPostRule; $auth->add($rule);$updateOwnPost = $auth->createPermission('updateOwnPost'); $updateOwnPost->ruleName = $rule->name; $auth->add($updateOwnPost);
基本上就这些。Yii2的认证授权机制清晰且扩展性强,结合User组件、AccessControl和DbManager,能有效保障应用安全。实际项目中建议将RBAC初始化逻辑写入控制台命令,便于维护。
