【Yii Framework】 Role Based Access Control

给公司的项目做了一个内部运维站点，日久天长，发现功能越来越多，而且很多至关重要的东西都在上面，如果一个小白，胡乱点点，可能引发致命运维事故。于是乎，希望能做一个访问控制。

第一个想到的是Yii框架自己支持的RBAC系统，每个Yii App默认加载一个组件，就是authManager，可以应用一种基于角色的访问权限控制体系。以前虽然早就知道了这个，但是从来没用过，而且也从来没觉得好用过。光看了文章吹捧怎么科学了。

今天仔细研究了一下，官方站点有个实作模块，叫srbac，流传很广，就用了这个，希望顺便搞懂这东西。

srbac组件，是一个基于MySQL数据库存储访问权限的一个系统实现。一般的RBAC系统，将访问控制抽象出来了三个层次，一个是操作（Operation），一个是任务（Task），一个是角色（Role）。最原子的权限项是操作，整个授权不可分割。然后若干操作，可以组成一个任务；一个角色，在系统中可以完成若干任务；最后具体的用户跟角色绑定。

足够灵活了，也足够强大了，但是不够好用。至少srbac组件实现得实在是不怎么强大。首先，必须要有个用户表，而且用户表必须有主键。可以说，这是基于DB的RBAC系统必须要求的，但是比如我们内部系统，就有自己的用户鉴权体系，也有自己的帐号体系，是公司的OA系统直接提供的，这就蛋疼了，我不得不自己实现了一个CModel，里面封装了srbac要用到的几个方法，并跟OA体系对接起来。

然后，发现srbac系统中，并没有默认角色，默认权限这种概念，如果我需要实现访问控制，就要对全量的操作进行赋值。其实我们内部系统，就只有几种，一个是系统配置，一个是系统监控，一个是数据查看。我需要的权限也就几种，极少数人可以系统配置，所有的开发可以系统监控，所有的开发和产品可以查看数据，除此以外的所有人什么都不能干。这个srbac系统就显得极其累了，确实可以配置出来我需要的权限体系，但是好累。

然后再说这个东西怎么进行权限控制。在所有需要权限判断的地方，都要加一个语句调用：

1
2
3
4
5

if (Yii::app()->user->checkAccess('changeStaticVersion')) {
    //here to put code to change static files' version
}

这是何其蛋疼，现在系统一个几十个功能了，难道要我所有的都加一遍么？好吧，还可以用filter来实现这个。但是几十个功能啊，难道要我所有的功能都手动命名一遍么？累得蛋疼啊……

于是乎，我已经想放弃了。童话是美好的，但是现实不美好，我真的没找到什么简单的解决方案。直到最后。

我想要这么一种系统。第一，基于Controller Action的路由规则来，某个Controller，某个Action，什么角色可以访问。然后要有默认角色，默认权限，不配置的，全部都是默认角色和默认权限。这样我只要把系统里需要管的管起来就行了。说起来简单，自己实现就行了。为啥就不能有现成的呢？当然我这种设计，弊端也是相当多的，首先就是权限的粒度设计不合理，因为一个Action里面明显可以做很多事情啊，如果有权限交叠，就会没法handle了。好吧，但是在我的场景里，我就希望一个这种简简单单的东西……