Аутентификация, авторизация и RBAC в Yii2

Ура, наконец-то случилось, как долго я его ждал. Большое спасибо Дмитрий!

Я тоже долго ждал именно этот урок! Круто!

Спасибо за видеоматериал Дмитрий!

Огромное спасибо за Ваш дело

красавчик, жаль что так редко выходят уроки

А в чем диаграмма нарисована?

У Вас тут так подробно прописана система авторизации, может подскажете как сделать централизованную авторизацию для двух сайтов к примеру site.com и mail.site.com. site.com - сделан на yii2

а данные, к примеру, общую аватарку для обеих сайтов, общие персональные данные для юзером можно будет таким вариантом реализовать?

Дмитрий, когда можно будет почитать статейку с доработкой SEO service on Yii2 Framework?

С RABC вполне разобрался, ничего сложного, но Ваш блог очень интересен, многому научился именно от Вас.

$autoRenewCookie это помоему не для того, чтобы куки было сложнее взломать. А чтобы при каждом запросе продлевать время жизни куки. То есть если время жизни куки установлено на 7 дней и $autoRenewCookie = false, то через 7 дней мы гарантировано будем разлогинены. А если true, то если в течении 7 дней были заходы на сайт, то аутентификация не слетит, так как мы своими заходами продлили этой куке жизнь.

Дмитрий подскажите тему следующего вебинара.

Дмитрий, может Вы подскажите хорошие уроки по yii. Хочу начать сначала, а потом уже перейти на yii2

Дмитрий, а зачем хранить сессии в БД и отягощать систему доп. запросами?
Можно просто добавить поле для юзера (к примеру "force_logout") и при той же операции проставлять ему "true". Всё равно данные пользователя достаются регулярно. Будет на одно поле больше, зато на несколько запросов в базу меньше.

afterLogout().
не искал, что там с getId() юзера при этом, но это уже дело техники (пробросить).
Что скажете? )

надо помозгововать)

А примеры с вебинара можете дать?

В видео Вы коснулись темы логина под другим пользователем. Подскажите, а если я выполнил логин под другим пользователем, этого пользователя выбьет из приложения? И существует ли в Yii2 защита от двойного логина? Буду весьма благодарен, если Вы осветите этот материал.
Спасибо

Дмитрий, спасибо большое за познавательный урок!
Вопрос не по теме) Скажите пожалуйста какая тема стоит у вас в хроме, понравился стиль.

Спасибо!
Дмитрий столкнулся с проблемой при аутентификации по HttpBasicAuth

Это написал в котроллере:

public function behaviors()
{
	return [
		'authenticator' => [
			'class' => HttpBasicAuth::className(),
			'realm' => 'Enter login and pass!',
			'auth' => function($login, $password) {
                                // для примера 
				return null;
			}
		],
	];
}

Но стандартного окошка авторизации не выводится, вместо этого ошибка:

exception 'yii\web\UnauthorizedHttpException' with message 'You are requesting with an invalid credential'.

Дмитрий, скажите пожалуйста что я не так делаю?

В другом браузере так же. Наверно я не понял как отправлять логин и пароль на нужный адрес, в виде заголовков?

Все, разобрался ) Через curl отправил.

Скажите пожалуйста, в этом видео есть пример как организовать работу через rest сервис?

Спасибо. Да, из своего сайта делаю сервис. Мобильные приложения должны будут по токену проходить аутентификацию.

Не подскажите от чего может возникнуть ошибка: Rule not found: group ?

вы уже смотрели мой вопрос на yiiframework.ru вопрос в том что и куда я мог не то сохранить ?

Спасибо большое мне уже дали ответ там с неймспейсами проблема была :)

Дмитрий, посмотрел Ваши видео по RBAC, очень понравилось. На основе увиденного и изученного стал делать для работы Админку, ну и заодно изучить Yii2 с этой стороны.
Всё шло хорошо, пока не столкнулся с маааленькой проблемой, которую самостоятельно могу решить, но с "костылями. Проблема следующая:"
1.Yii2, DbManager, PostgreSQL.
2.В миграции сделал так

$auth = Yii::$app->authManager;

// добавляем разрешение "fullAccess"
$fullAccess = $auth->createPermission('fullAccess');
$fullAccess->description = 'Полный доступ к ресурсам';
$auth->add($fullAccess);

// добавляем роль "superadmin" и даём роли разрешение "fullAccess"
$superadmin = $auth->createRole('admin');
$superadmin->description = 'Администратор';
$superadmin->data = 'Администратор всего содержимого данной программы, с неограниченным доступом';
$auth->add($superadmin);
$auth->addChild($superadmin, $fullAccess);

// Назначение роли пользователю superadmin
$auth->assign($superadmin, 1);

3. Сразу заметил, что

$superadmin->data = 'Администратор всего содержимого данной программы, с неограниченным доступом';

записывается в БД как сериализованная строка

  
s:142:"Администратор всего содержимого данной программы, с неограниченным доступом";

4. При выводе на экран, вот это s:142: не исчезает. Вывожу обычным DetailView::widget()

5. Сделал так:

[
     'label' => 'Подробное описание',
     'value' => unserialize($model->data),
],

не помогло.

6. С

<?php echo $form->field($model, 'data')->textarea(['rows' => 2])?>

та же проблема.

7. Нашёл костыль и записал в верху контроллера эту строку

iconv_set_encoding('input_encoding', 'UTF-8');

Помогло, unserialize заработал, но это костыль((( Можно как-то лучше сделать? Ошибка похоже банальная и где-то на поверхности , но не могу понять какая.

Основной вопрос по RBAC:
1. Как лучше апдейтить RBAC данные в БД?
2. По стандарту вот так

$model = $this->findModel($id);   // $model  модель AuthItem (по таблице Auth_Item) созданная RBAC
if ($model = load(Yii::$app->request->post()) && $model->save()) { .....}

Поле "data" не сериализуется, мне её самому сериализовать? или есть методы поближе к
authmanager() ?

т.е. если я напишу методы afterFind и beforeSave в модели AuthItem, то они будут работать послеПоиска и ПередСохранением?

Просто сделать beforeSave() не разрешил Yii2))) Говорит есть у меня такой метод, поэтому сделай как я хочу)) Сделал по "его"

public function beforeSave($insert)
{
    if (parent::beforeSave($insert)) {
        $this->data = serialize($this->data);
        return true;
    } else {
        return false;
    }
}

Подскажите, чтобы такой фильтр написать https://yadi.sk/d/ZSH3Uf-Mnixun , только Yii2 методов хватит? или по-любому JS писать надо? Хочу научиться писать фильтры используя Yii2. Вот тут образец взял
http://rubkoff.ru/proekty/doma/iz-sruba?price1=on&area2=on&floor2=on&type3=on&view3=on
Сложный, но зато всё можно научиться для фильтров писать.

Дмитрий подскажите, к примеру, группе пользователей дано право удаление только своих контактов, как сделать проверку на уровне AccessControl

Вот так проверка работает отлично (во вьюхах и экшенах)

[
    'class' => 'yii\grid\ActionColumn',
    'template' => '{update}{delete}',
    'buttons' => [
        'update' => function ($url , $model) {
                return Yii::$app->user->can('update_Contact' , ['contact' => $model]) ? Html::a('<span class="btn btn-xs btn-white btn-info"><i class="fa fa-pencil"></i></span>', $url) : '';
            },
        'delete' => function ($url , $model) {
                return Yii::$app->user->can('delete_Contact'  , ['contact' => $model]) ? Html::a('<span class="btn btn-xs btn-white btn-danger"><i class="fa fa-trash"></i></span>', $url , [
                    'data' => [
                        'confirm' => 'Уверен что хочешь удалить контакт?',
                        'method' => 'post',
                    ]
                ]): '';
            },
    ],
    'headerOptions' => ['width' => '80px'],
],

Или просто открыть доступ до экшена удаления в AccessControl и в самом экшене уже проверять есть доступ, то велком нет доступа то форбитн.

Дмитрий. Вопрос опять по RBAC.
Не получается сделать по простому изменение полномочий пользователя. Сделал как-то грубо и много. Посмотрите на код, пожалуйста, это опять костыли? По проще ни как нельзя?

 
public function actionUpdate($id)
    {
        $model = $this->findModel($id);

        if ($model->load(Yii::$app->request->post()) && $model->save()) {
            $newrole = Yii::$app->request->post('Users')['roles'];
            $auth = Yii::$app->authManager;
            $oldrole = array_keys($auth->getRolesByUser($model->id_user))[0];
            $newrole = $auth->getRole($newrole);
            $oldrole = $auth->getRole($oldrole);
            $auth->revoke($oldrole, $model->id_user);
            $auth->assign($newrole , $model->id_user);
            return $this->redirect(['view', 'id' => $model->id_user]);
        } else {
            $model->roles = Yii::$app->authManager->getRoles();
            $role = Yii::$app->authManager->getRolesByUser($id);
            return $this->render('update', [
                'model' => $model, 'role' => $role,
            ]);
        }
    }

Я тут хочу - Изменить "группу" (роль) у пользователя. У меня сделано так, что пользователь-(работник) входит в одну Группу в которой есть свои полномочия(разрешения). И как-то странно, что нет Update для assign().

Спасибо. Сегодня испытаю. Не думал, что All можно для одного))

 $auth->assign($newrole , $model->id_user); 

только тут небольшая поправка.
$newrole должно быть объектом класса Role, поэтому исправил

 $auth->assign($auth->getRole($newrole) , $model->id_user); 

и всё работает.
Спасибо.

Добрый день!!
Возможно глупый вопрос но все же..
как разделить админов от пользователей в разные таблицы?
и как настроить страницу авторизации для пользователей и админов разные?

Спасибо..
я так и понял..
да я это подсмотрел в opencart..

Скажите пожалуйста, каким способом можно ограничить доступ к методам стороннего модуля? Например yii2-admin

Благодарю!
Если вас не затруднит, можно более подробно раскрыть данный вопрос?
Например я использую RBAC, в backend (админку) у меня имеют доступ 2 роли (roles): модератор и администратор и есть permission: enterSetupRbac, которая на данный момент есть только у администратора. Я хочу открыть функционал модуля yii-admin только для тех, у кого есть permission enterSetupRbac.
И в целом хотелось бы понять как можно гибко настраивать доступ к actions модулей на основе permissions.
Прошу прощения, если мои вопросы покажутся вам глупыми, я только начинаю изучать yii-2, до этого приходилось иметь дело только с kohana и CI.

Огромное спасибо!
Оказывается все просто.

А если мне нужно в весь /backend ограничить доступ для всех кроме admin?

Роль гостя возможно создать через $authManager->createPermission('guest') и далее через Yii::$app->user->can() проверять доступ? Я так понимаю для гостей в Yii:$app->user->identity необходимо что-то хранить?

Благодарю, т.е. все кто не залоген будут иметь роль guest. Всех благ Вам и Вашему труду!

Я не понят, от куда берется $post = new Post([///]) ?

4 часа... Гигант !!!

Подскажите, если у нас есть две роли user и admin и в defaultRoles мы укажем user, то в файле assignmenst все равно каждый пользователь будет привязываться к роли user?

Просто я подумал, что раз уж есть слово "по умолчанию" то ничего привязывать не надо, т.е. все пользователи автоматически становятся User без записи в файл. Тогда бы было удобно даже при миллионе пользователей использовать phpmanager, где в файле привязки мы бы привязывали только администраторов и модераторов, а все остальные бы считались автоматически User.

Спасибо за видеоматериал. Все доступно объяснили. А есть ли возможность в yii2 авторизоваться используя pam аутентификацию. В Astra Linux она обязательна((

Дмитрий, добрый день. Проверка ролей и разрешений идет в обратную сторону, рекурсивно проверяя всех родителей и все их правила пока не доберется до основной роли. Как исключить проверку "неакутальных" правил для роли. Скажем если фильтр

[
    'allow' => true,
    'actions' => ['update'],
    'roles' => ['updatePost'],
],

а в конфиге "aupdateOwnPost - updatePost" (aupdateOwnPost нарочно начинается с символа "a")
то в таком случае в checkAccess если пользователь с ролью админ, то будет проверятся по цепочке
updatePost - aupdateOwnPost - author, и только затем updatePost - admin
Как исключить проверку aupdateOwnPost ?
Как правильно организовать цепочку ролей/разрешений с правилами если их несколько, чтобы для пользователей admin и author применялись свои правила, пусть они и пересекаются?

Спасибо большое за информацию! Хоть прошло уже не мало времени, но она всё ещё помогает)

Действительно. Кстати можно ещё тут курсы глянуть: https://www.ndo.com.ua/ru/services/education-training-courses.html