В Yii 1.1 фильтр accessControl
был очень гибким:
// blacklist return array( array('deny', 'users' => array('*'), 'actions' => array('index'), ), ); //whitelist return array( array('allow', 'users' => array('*'), 'actions' => array('view'), ), array('deny'), );
Он позволял контролировать доступ как в стиле blacklist, так и whitelist. В Yii2 остался только whitelist. Это единственный нормальный и действительно безопасный подход в данной ситуации:
//whitelist public function behaviors() { return array( 'access' => array( 'class' => 'yii\web\AccessControl', 'rules' => array('allow' => true, 'users' => array('*'), 'actions' => array('view'), ), ), ); }
- https://github.com/yiisoft/yii2/issues/579.
- Basic principles of information protection, искать «b) Fail-safe defaults».