看论坛有人问到这个问题,就是在问如何某个角色只能修改自己的信息。正好这两天也在看这块的代码,也有类似的疑问,特开贴问问大大。 我们知道FECHOP的权限管理这块之只做到了controller层的权限验证,没有细粒度的访问控制比如具体的动作,拥有者等。 YII2自带的rabc配合规则管理就可以方便的实现细粒度的权限验证,为何feshop放弃了?出发点是什么?或者现有的权限管理模式的优势是?
您好
1.这块功能,更多的是参考的magento,想通过 菜单和权限绑定,而不是RBAC,设置起来会比较方便
2.这块功能使用RBAC,肯定会更严谨,譬如某些人只能创建产品,不能删除产品等
3.但,从实战角度(本人一直在跨境电商公司工作),菜单和权限组绑定,基本够用,公司内部一般都是专职专员负责, 譬如:负责产品的,负责订单的,也就是,一个专员可以操作相应菜单下面的所有功能,而不会出现某些人负责产品的刊登,某些人负责产品的删除等,某些人负责产品的更新。
4.如果公司足够大,产品的刊登等都会在erp中处理,然后同步到fecshop中,很多的操作都在erp中搞。
因此,这种方式,虽然不严谨,但是就实际情况来说,这种方式,简单方便,满足需要,如果您对权限要求非常高,可以自己二开这块了。
如果您对权限要求比较高,可以重写后台权限这个部分,将基类controller的验证,进行更改即可。
RBAC,严谨,但设置起来太复杂,菜单和权限的绑定方式,设置起来更加简单。
别称呼 大大, 称呼 Terry就好.
大大
Terry
对于问题:如何某个角色只能修改自己的信息?
答:
1.RBAC对应的粒度是Yii2的controller中的每一个action方法
2.而这个是对表数据进行过滤,每个人只能看到自己创建的产品数据,这个权限只能在代码中做控制,RBAC是无法做到的