1

我目前正在编写基于 YII 的应用程序。
我对索引的操作:

  public function actionIndex() {
    $data = array();
    $data['server'] = Server::model()->findByPk(1);
    $data['dataProvider'] = new CActiveDataProvider('ServerUserPermission', array('criteria' => array('condition' => 'serverID=:id', 'params' => array(':id' => 1))));
    $this->render('index', $data);
}

我的 ajax 动作:

public function actionAddPermission($server) {
    if(Util::checkServerPower($server, Permission::MODIFY_SERVER)) {
        $perm = new ServerUserPermission;
        $perm->userID = 1;
        $perm->serverID = $server;
        $perm->power = 10;
        try {
            if ($perm->save()) {
                echo "OK";
            } else {
                echo Util::print_r($perm->getErrors());
            }
        } catch (Exception $e) {
            echo 'Critical Error Code: ' . $e->getCode();
        }
    } else {
        echo 'No Permissions';
    }
}

我的视图使用按钮链接到 addPermission 操作:

echo CHtml::ajaxButton("Insert New Player", array('addPermission', 'server' => $server->serverID), array('success'=>'refresh'));

我的函数 Util::checkServerPower(...) 检查应用程序的当前用户。结果:YII 中的 Ajax 请求由来宾 AuthWeb 用户处理,但我需要检查用户是否真的被允许添加权限。我目前想不出一个安全的解决方案来保护其他客人发送的恶意数据。是否有可能获得 Ajax 调用的(服务器端)用户 ID?

无论如何真诚地感谢

4

1 回答 1

0

我会通过使用内置的访问控制和扩展 CWebUser来做到这一点。它可能看起来很长,但我认为这是一个干净的解决方案。(我们已经有了 Yii::app()->user->isGuest 等,为什么不在这里检查所有权限呢?)

1) 激活访问控制过滤器。

(在一个控制器中或在 /components/controller.php 中同时用于所有控制器)

public function filters()
{
    return array( 'accessControl' ); // Tell Yii to use access rules for this controller
}

2) 添加访问规则

在相关控制器中。(对不起,我没有打扰你的索引操作。)

public function accessRules()
{
    return array(
        [
            'allow', 
            'actions'=>['AddPermission'], 
            'expression'=>'$user->has(Permission::MODIFY_SERVER)'
        ],
        ['deny'],  // Deny everything else. 
    );
}

3) 扩展 CWebUser

// components/WebUser.php
class WebUser extends CWebUser {
    public function has( $permission)
    {
            // Check database for permissions using Yii::app()->user->id
            ...
    }
}

4) 配置您的应用程序以使用您的新 WebUser 而不是 CWebUser

// config/main.php
'components'=>[
    'user'=>[
        'class' => 'WebUser',
    ],
],
于 2013-08-26T07:43:29.760 回答