Yii2, контроль доступа

25 июня 2013

В Yii 1.1 фильтр accessControl был очень гибким:

// blacklist
return array(
  array('deny',
    'users' => array('*'),
    'actions' => array('index'),
  ),
);
 
//whitelist
return array(
  array('allow',
    'users' => array('*'),
    'actions' => array('view'),
  ),
  array('deny'),
);

Он позволял контролировать доступ как в стиле blacklist, так и whitelist. В Yii2 остался только whitelist. Это единственный нормальный и действительно безопасный подход в данной ситуации:

//whitelist
public function behaviors()
{
  return array(
    'access' => array(
      'class' => 'yii\web\AccessControl',
      'rules' => array('allow' => true,
          'users' => array('*'),
          'actions' => array('view'),
      ),
    ),
  );
}

https://github.com/yiisoft/yii2/issues/579.
Basic principles of information protection, искать «b) Fail-safe defaults».

Комментарии RSS по email OK

№8099

Костя 25 июня 2013 г., 13:09:03

Отлично) Иногда путался с правами доступа, когда нужно было сначало задать черный список, а потом уже белый. Чтобы в итоге добиться белый список доступа.

А бизнес правила сделаете callback? А не expression в виде строки, как реализовано сейчас в 1.1?
№8100

Евгений 25 июня 2013 г., 13:11:01

Sam, а почему было решено сделать фильтр доступа в виде поведения?
№8101

Sam 25 июня 2013 г., 13:16:30

Костя, вроде уже сделали.

Евгений, просто чтобы убрать лишние сущности.
№8102

name 25 июня 2013 г., 13:47:44

А user->isGuest так и остался? Это же по сути как раз черный список и довольно нехорошо.
№8103

Sam 25 июня 2013 г., 14:00:32

name, в каком смысле?
№8104

Дмитрий 25 июня 2013 г., 14:20:46

Довольно таки спорное решение все таки. В практиках ИБ есть два диаметрально противоположных принципа: 1) Разрешено все, что не запрещено 2) Запрещено все, что не разрешено

У обоих принципов есть свои плюсы и минусы, а выделять и тем более делать дефолтным какой-то один не лучший вариант. Скажем мне нужно разрешить доступ всем, кроме одного, как в такой ситуации быть? Или deny все таки остается?

№8105

Sam 25 июня 2013 г., 15:01:42

Дмитрий, в этом случае можно указать явно:

return array(
  array('deny',
    'users' => array('mybanneduser'),
    'actions' => array('*'),
  ),
  array('allow'),
);

№8106

Дмитрий 25 июня 2013 г., 15:49:44

Sam, то есть deny все таки оставили. Я подумал грешным делом, что вы его вообще убрали и оставили только allow. Вопрос тогда еще такой, можно указать фильтры без allow или он все таки должен присутствовать?
№8107

Sam 25 июня 2013 г., 16:00:41

Должен присутствовать. Это не то место, где нормально надеяться на значения по умолчанию.
№8108

Bohdan Vorona 25 июня 2013 г., 19:10:55

Замечательно!
№8113

rmrevin 28 июня 2013 г., 16:03:08

Sam, то есть в yii2 по умолчанию все запрещено? А в комментарии №8105 - пример, как в yii2 разрешить все и запретить одно действие?
№8114

Sam 28 июня 2013 г., 17:30:41

Да.
№8118

name 01 июля 2013 г., 7:16:16

Sam, проверка залогинености по user->isGuest противоречит принципу "по умолчанию все запрещено", потому что по умолчанию пользователь как раз должен быть гостем и ему должно даваться минимум прав. Однако довольно просто допустить ошибку, при которой isGuest будет возвращать false/NULL и это вызовет не совсем очевидное повышение пользователя в правах. Логичнее проверять права наоборот - т. е. что-то вроде user->isLoggedIn
№8119

Александр Кочетов 01 июля 2013 г., 21:34:20

@name При чем тут isGuest и "залогиненность"? Гостем может быть любой пользователь, которого разработчик сочтет гостем. Это настраивается. Если пользователь прошел процедуру аутентификации и авторизован, то это ещё далеко не значит что он тут НЕ "гость". Не нужно путать мух и котлет.
№8120

Александр Кочетов 01 июля 2013 г., 21:35:46

@name

Однако довольно просто допустить ошибку, при которой isGuest будет возвращать false/NULL

Пример ошибки в студию пожалуйста.
№8183

WinterSilence 21 июля 2013 г., 5:51:30

идея правильная хотя бы со стороны трудозатратности - запрещать всегда приходится больше чем разрешать. но с другой стороны не очень гибкая, если говорить о реальных проектах в которых данные о пользователях и их правах хранятся в бд. Подобная структура могла бы быть еще хоть как-то юзабельна без допиливания если бы вместо пользователей фигурировали их роли.
№8184

Sam 21 июля 2013 г., 11:31:51

WinterSilence, могут и роли фигурировать. RBAC никуда не делся.
№8950

Андрей 09 апр. 2014 г., 19:05:21

Александр, доброго времени суток, на форуме обещали, что в системе будет нечто подобное модуля yii-rights. Когда ждать?
№8952

Sam 10 апр. 2014 г., 11:46:54

Андрей, скорее всего в релизе.
№8954

Андрей 11 апр. 2014 г., 11:24:06

Александр, я так понял, что в папке vendor/yiisoft/yii2/rbac есть наработки по этому вопросу, но нет интерфейса для управления? Могли бы подсказать пример использования.
№8955

Sam 11 апр. 2014 г., 21:41:27

Андрей, в гайде он описан. Ещё гляньте юнит-тесты для RBAC.
№8966

Андрей 15 апр. 2014 г., 14:06:31

Александр, спасибо за ответы
№9587

Сергей 23 янв. 2015 г., 17:44:18

Александр, я так понял, что в rbac пользователь может быть прикреплен к нескольким ролям, и/или пермишенам. Как в таком случае пользователь будет иметь доступ к пермишенам, если в одной роли для данного пермишена доступ запрещен, а в другой разрешен? И какая роль будет в этом случае показана для пользователя?
№9589

Sam 24 янв. 2015 г., 19:52:38

Будет разрешён. Про «показано» не понял. Показано где?
№10433

Константин 04 апр. 2016 г., 14:53:55

как в yii закрыть доступ к jpg файлам из определённой папки для гостя
№10436

Sam 05 апр. 2016 г., 23:29:25

Константин, Yii тут не при чём. Это задача для вебсервера.