ACF (访问控制过滤器) 在你控制器的添加下列的 行为 方法 use yii\filters\AccessControl; class DefaultController extends Controller {     // ...     public function behaviors() {         return [             // ...             'class' => AccessControl::className(),           …

1. 定义身份类 (Defining Identity Class)  为了验证一个用户,我们定义一个有验证逻辑的身份类.这个身份类实现[IUserIdentity] 接口.不同的类可能实现不同的验证方式(例如:OpenID,LDAP).最好是继承 CUserIdentity,此类是居于用户名和密码的验证方式.定义身份类的主要工作是实现[IUserIdentity::authenticate]方法.在用户会话中根据需要,身份类可能需要定义别的身份信息. 应用实例 下面的例子,我们使用Active…

Yii的srbac拓展中“用户已经获授权项”点下拉框,选择一个有权限的用户时,根本无法列出权限. 原因是srbac把数据库的表中的ID默认为数字,像 123这样,但如果不是数字像这样 'y0f22ffc2fef712fd602a1ef64ab319t' .那么这个是不会出来的,那么只能修改代码 了. 修改    \protected\modules\srbac\controllers\AuthitemController.php 文件中的 actionShowAssignments 方法 源代码…

Yii框架中集成分层的 RBAC,代码位于vendor\yiisoft\yii2\rbac中,rbac工作原理分为两部分,建立授权数据和进行权限检查. 如上,一个角色拥有某个权限,如果希望用户拥有这个权限,那么就将拥有该权限的角色赋予给用户,特别是当系统中用户数量非常大的时候,如果需要修改权限只需要修改角色就可以了. 角色和权限都可以按层次组织.特定情况下,一个角色可能由其他角色或权限构成, 而权限又由其他的权限构成. 一个角色可以包含一个权限,反之则不行. 特定的权限,可以用一个规则 rule…

原文转自 http://www.cnblogs.com/ldms/p/4565547.html Yii 有很多 extension 可以使用,在查看了 Yii 官网上提供的与 OAuth 相关的扩展后,发现了几个 OAuth2 的客户端扩展,但是并没有找到可以作为 OAuth2 Server 的扩展.因为 Yii 是组织良好的易于扩展的框架,所以完全可以集成其它的 PHP OAuth2 Server 实现方案.在 OAuth.net/2/ 官网上,提供了几个 PHP 实现的 OAuth2 Ser…

访问控制过滤器(Access Control Filter)访问控制过滤器是检查当前用户是否能执行访问的controller action的初步授权模式. 这种授权模式基于用户名,客户IP地址和访问类型. 访问控制过滤器,适用于简单的验证. 需要复杂的访问控制,需要使用将要讲解到的基于角色访问控制(role-based access (RBAC)). 在控制器(controller)里重载CController::filters方法,设置访问过滤器来控制访问动作(看 Filter 了解更多过滤器…

之前写过一篇Yii2框架RESTful API教程(一) - 快速入门,今天接着来探究一下Yii2 RESTful的格式化响应,授权认证和速率限制三个部分 一.目录结构 先列出需要改动的文件.目录如下: web ├─ common │ └─ models │ └ User.php └─ frontend ├─ config │ └ main.php └─ controllers └ BookController.php 二.格式化响应 Yii2 RESTful支持JSON和XML格式,如果想指定…

之前在sina博客写过Yii的文章,来到博客园之后,没再写过关于Yii的文章,正好端午假期没啥事,就结合以前的博客,Yii的官方文档,再加上最近的关于Yii的收获总结一下,写个系列~~ Yii是一个基于组件的高性能PHP框架,用于开发大型Web应用.Yii采用严格的OOP编写,并有着完善的库引用以及全面的教程.从 MVC,DAO/ActiveRecord,widgets,caching,等级式RBAC,Web服务,到主题化,I18N和L10N,Yii提供了今日Web 2.0应用开发所需要的几乎一…

Yii Framework是一个基于组件.用于开发大型 Web 应用的高性能 PHP 框架.Yii提供了今日Web 2.0应用开发所需要的几乎一切功能.Yii是最有效率的PHP框架之一.Yii是创始人薛强的心血结晶,于2008年1月1日开始开发. 中文名 Yii 外文名 Yii Framework 本    质 PHP 框架 用    途 开发大型Web应用 编    写 OOP编写 创始人 薛强   目录 1 概述 2 优点 3 特点 ▪ 快速 ▪ 安全 ▪ 专业 4 特性 5 关于Yii ▪…

验证和授权在页面需要限制访问时用到.验证就是确认某人就是他所声称的那个人.通常涉及到用户名和密码,但也包含其他方式,例如智能卡,指纹等.授权是在验证用户后,查明他是否被允许管理指定的资源.通常判断他是否是有权访问资源的角色的成员. Yii 有一个内置的验证/授权框架,它易于使用且可定制. Yii 认证框架的核心是预声明的用户组件,它是一个实现 IWebUser 接口的对象.用户组件代表了当前用户的持久身份信息.可以使用 Yii::app()->user 来访问. 使用用户组件,可以使用 CWeb…

1.将hdp002的数据库放到hdp004后,发现yii出现找不到表messages的迹象.用hdp002远程登录hdp004后发现,原来是hdp004没有授权给hdp002,用下面的sql语句即可: 在安装mysql的机器上运行: 1.d:\mysql\bin\>mysql -h localhost -u root //这样应该可以进入MySQL服务器 2.mysql>GRANT ALL PRIVILEGES ON *.* TO 'root'@'%'WITH GRANT OPTION //赋…

       YII 框架源码分析    百度联盟事业部——黄银锋 目 录 1. 引言 3 1.1.Yii 简介 3 1.2.本文内容与结构 3 2.组件化与模块化 4 2.1.框架加载和运行流程 4 2.2.YiiBase 静态类 5 2.3.组件 6 2.4.模块 9 2.5 .App 应用   10 2.6 .WebApp 应用   11 3.系统组件 13 3.1.日志路由组件  13 3.2.Url 管理组件  15 3.3.异常处理组件  17 3.4.Cache 组件   17 3…

验证和授权(Authentication and Authorization) 定义身份类 (Defining Identity Class) 登录和注销(Login and Logout) 访问控制过滤器(Access Control Filter) 基于角色的访问控制(Role-Based Access Control) 配置授权管理器(Authorization Manager) 定义授权等级体系 使用业务规则 对于需要限制某些用户访问的网页,我们需要使用验证(Authentication…

以下由我们在信易网络公司开发项目的时候终结出的一些经验 主要参考资料:yii官网http://www.yiiframework.com/wiki/60/yii framework 提供了2套权限访问系统,一套是简单的filter(过滤器)模式,另一套是复杂全面的RBAC模式,我这里要讲的是第一套(因为我也刚刚学到这里).如 果你有研究过YII官方的demo blog,一定知道,比如,由gii自动生成的user模块,自动附带了简单的filter权限分配功能,具体细节请参照blog手册的“用户验证”…

Yii 权威指南 http://www.yiichina.com/guide/ http://www.yiiframework.com/doc/guide/1.1/zh_cn/ Ⅰ.基本概念一.入口文件入口文件内容:一般格式如下: $yii=dirname(__FILE__).'/../../framework/yii.php';//Yii框架位置$config=dirname(__FILE__).'/protected/config/main.php';//当前应用程序的主配置文件位置 //…

验证和授权——官方文档: http://www.yiichina.com/guide/topics.auth http://www.yiiframework.com/doc/guide/1.1/zh_cn/topics.auth 相关类参考手册: http://www.yiichina.com/api/CWebUser http://www.yiichina.com/api/CAccessRule http://www.yiichina.com/api/CUserIdentity 可参考文章:…

开端筹办 Yii供给了强大的设备机制和很多现成的类库.在Yii中应用RBAC是很简单的,完全不须要再写RBAC代码.所以筹办工作就是,打开编辑器,跟我来. 设置参数.建树数据库 在设备数组中,增长以下内容: 'components' => array( //…… 'authManager'=>array( 'class'=>'CDbAuthManager',//认证类名称 'defaultRoles'=>array('guest'),//默认角色 'itemTable' =>…

转载自:http://www.yiiframework.com/wiki/180/yii8/ 在经过畅K网的实战后,总结一下在Yii的项目中会经常用到的组件和一些基本的使用方法,分享给大家,同时也给自己留个备忘录,下面我以代码加图片说明. 1. Ajax多文件上传组件(swfupload) 直达地址: http://www.yiiframework.com/extension/swfupload Yii本身提供了 CUploadedFile(单文件上传) 和 CMultiFileUpload(多…

Yii 的安装由如下两步组成: 从 yiiframework.com 下载 Yii 框架. 将 Yii 压缩包解压至一个 Web 可访问的目录. 提示: 安装在 Web 目录不是必须的,每个 Yii 应用都有一个入口脚本,只有它才必须暴露给 Web 用户.其它 PHP 脚本(包括 Yii)应该保护起来不被 Web 访问,因为它们可能会被黑客利用. 安装完 Yii 以后你也许想验证一下你的服务器是否满足使用 Yii 的要求,只需浏览器中输入如下网址来访问需求检测脚本: http://localho…

前言 虽然本文是基于YII1.1,但其中提到的安全措施适用于多数web项目安全场景,所以翻译此文,跟大家交流.原文地址. 目录 安全基本措施... 2 验证与过滤用户的输入信息... 2 原理... 2 客户端验证... 2 YII如何防范... 2 跨站脚本攻击XSS. 4 原理... 4 YII如何防范... 5 SQL注入... 7 原理... 7 YII如何防范... 8 跨站请求伪造CSRF. 12 配置WEB服务器... 12 PHP项目一些有用的指令... 15 授权... 16…

访问控制过滤器(Access Control Filter)访问控制过滤器是检查当前用户是否能执行访问的controller action的初步授权模式. 这种授权模式基于用户名,客户IP地址和访问类型. 访问控制过滤器,适用于简单的验证. 需要复杂的访问控制,需要使用将要讲解到的基于角色访问控制(role-based access (RBAC)). 在控制器(controller)里重载CController::filters方法,设置访问过滤器来控制访问动作(看 Filter 了解更多过滤器…

调用YII框架中 jquery:Yii::app()->clientScript->registerCoreScript('jquery');        framework/web/js/source的js,其中registerCoreScript key调用的文件在framework/web/js/packages.php列表中可以查看    在view中得到当前controller的ID方法 :Yii::app()->getController()->id;        …

什么是restful风格的api呢?我们之前有写过大篇的文章来介绍其概念以及基本操作. 既然写过了,那今天是要说点什么吗? 这篇文章主要针对实际场景中api的部署来写. 我们今天就来大大的侃侃那些年api遇到的授权验证问题!独家干活,如果看完有所受益,记得不要忘记给我点赞哦. 业务分析 我们先来了解一下整个逻辑 用户在客户端填写登录表单 用户提交表单,客户端请求登录接口login 服务端校验用户的帐号密码,并返回一个有效的token给客户端 客户端拿到用户的token,将之存储在客户端比如coo…

微信授权登录(PHP) 微信授权 OAuth2.0授权 微信网页授权 主要是在项目中遇到网页授权登录这个需求,就对此做些总结记录. OAuth2.0授权 OAuth是一个开放协议,允许用户让第三方应用以安全且标准的方式获取该用户在某一网站.移动或桌面应用上存储的个人信息,而无需将用户名和密码提供给第三方应用.常见微信.QQ登录,省去管理账户的麻烦,也不会造成用户的流失. 打开微信的官方文档,会看到网页授权一些说明.(有点摸不着头脑,主要是当时没能关联起来,微信文档每次看都那么郁闷!!!) 来了解…

Yii2 restful api创建,认证授权以及速率控制 下面是对restful从创建到速率控制的一个详细流程介绍,里面的步骤以及截图尽可能详细,熟悉restful的盆友可能觉得过于繁琐,新手不妨耐心仔细看一下. 一．Api的创建 1.复制一个frontend或者backend,将其重命名为api放在同级目录下 2.然后删除controllers和views文件夹,然后将api文件中的frontend替换为api(比如命名空间,相关配置等),这点非常重要!!! 3.打开cmd命令行,cd进入项…

Yii实战中8个必备常用的扩展,模块和widget 在经过畅K网 的实战后,总结一下在Yii的项目中会经常用到的组件和一些基本的使用方法,分享给大家,同时也给自己留个备忘录,下面我以代码加图片说明. 1. Ajax多文件上传组件 (swfupload ). 直达地址:  http://www.yiiframework.com/extension/swfupload Yii本身提供了 CUploadedFile(单文件上传) 和 CMultiFileUpload(多文件上传) widget组件,但…

开始准备 Yii提供了强大的配置机制和很多现成的类库.在Yii中使用RBAC是很简单的,完全不需要再写RBAC代码.所以准备工作就是,打开编辑器,跟我来.设置参数.建立数据库 在配置数组中,增加以下内容:‘components‘ => array(    //……    ‘authManager‘=>array(            ‘class‘=>‘CDbAuthManager‘,//认证类名称            ‘defaultRoles‘=>array(‘guest‘…

Authentication 认证 RESTful Api 是无状态的, 因此这意味着不能使用 sessions && cookies. 因此每一个请求应该带有一些 authentication credentials 因为用户的 authentication 状态可能不是保存在 sessions || cookies 中的. 一个通用的实例就是在发送每一个请求的同时带一个 secret access token 来验证用户.因为一个 access token 可以用来确定一个唯一的用户和…

注意:Yii默认的代码,Yii::app()->user->id返回的不是我们想要的用户ID,而是用户名.因此在useridentity类中要用一个变量来存储登录用户的ID,然后重载getID()方法,返回正确的用户ID. Yii 有一个内置的验证/授权(auth)框架,用起来很方便,还能对其进行自定义,使其符合特殊的需求. Yii auth 框架的核心是一个预定义的 用户(user)应用组件 它是一个实现了 IWebUser 接口的对象.此用户组件代表当前用户的持久性认证信息.我们可以通过Y…

参考地址 https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421140842 实现步骤分析: 获取code->access_token(不同于普通的微信access_token等会详细说明) ->openid->通过openid 获取用户信息 预先工作: 回调地址配置 tips:其中填写域名地址只需要填写到对应的访问到index.php 入口目录级别 (即比如百度 只需要 www.baidu.com 不需要http…