Yii2 - Override CheckAccess nel resto ActiveController

Question

Product.supplierID = Supplier.supplierID 
---------   ---------- 
|Product|---------|Supplier| 
---------   ---------- 
         | 
         | Supplier.supplierID = User.supplierID 
         | 
        --------- 
        | User | 
        --------- 

Utilizzando la struttura della tabella di cui sopra, l'applicazione utilizza sottoclassi di ActiveController, con override prepareDataProvider per limitare l'elenco di ciascuna Product un registra nel Userindex può vedere a quelli con corrispondenti supplierID valori. Qualcosa di simile nel metodo actions() di ProductController.

$actions['index']['prepareDataProvider'] = function($action) 
{ 
    $query = Product::find(); 
    if (Yii::$app->user->can('supplier') && 
     Yii::$app->user->identity->supplierID) { 
     $query->andWhere(['supplierID' => Yii::$app->user->identity->supplierID]); 
    } 
    return new ActiveDataProvider(['query' => $query]); 
}; 

Questo funziona bene, ma sto cercando di usare checkAccess() per limitare actionView() per un singolo Product.

Al momento, un loggato User può accedere a una Product cambiando il productID nell'URL, se l'hanno l'appropriato supplierID.

sembra che io non posso accedere al caso particolare di Product, per verificare la supplierID, fino a quando è tornato actionView() che è quando voglio che il controllo avvenga.

Posso ignorare checkAccess() per limitare l'accesso e lanciare l'appropriato ForbiddenHttpException?

Answer 1

Che dire di una funzione che controlla se un modello esiste:

protected function modelExist($id) 
{ 
    return Product::find() 
    ->where([ 'productID' => $id ]) 
    ->andWhere(['supplierID' => Yii::$app->user->identity->supplierID ]) 
    ->exists(); 
} 

Se productID è il vostro prodotto chiave primaria, quindi una richiesta di /products/1 verrà tradotto da Yii \ resto \ UrlRule-/products?productID=1.

In tal caso, quando productID è fornito come param, è possibile utilizzare beforeAction per fare un rapido controllo, se tale modello esiste & essere eseguita l'azione o lanciare un errore se non lo fa:

// this array will hold actions to which you want to perform a check 
public $checkAccessToActions = ['view','update','delete']; 

public function beforeAction($action) { 
    if (!parent::beforeAction($action)) return false; 

     $params = Yii::$app->request->queryParams; 

     if (isset($params['productID']) { 
      foreach ($this->checkAccessToActions as $action) { 
       if ($this->action->id === $action) { 
        if ($this->modelExist($params['productID']) === false) 
         throw new NotFoundHttpException("Object not found"); 
       } 
      } 
    } 
    return true; 
} 

---

aggiornamento

Poiché la domanda è circa Override del metodo CheckAccess in riposo ActiveController Ho pensato che sarebbe stato utile lasciare un esempio.

Nel modo come Yii2 RIPOSO creata, tutti delete, update e view azioni richiamerà il metodo checkAccess volta l'istanza modello caricato:

// code snippet from yii\rest\ViewAction 
$model = $this->findModel($id); 
if ($this->checkAccess) { 
    call_user_func($this->checkAccess, $this->id, $model); 
} 

Lo stesso vale per la create e index azioni tranne che non passeranno alcuna istanza di modello ad esso: call_user_func($this->checkAccess, $this->id).

Quindi, ciò che si sta cercando di fare (gettando un ForbiddenHttpException quando un utente sta cercando di visualizzare, aggiornare o eliminare un prodotto che non è il suo fornitore) può essere ottenuta anche in questo modo:

public function checkAccess($action, $model = null, $params = []) 
{ 
    if ($action === 'view' or $action === 'update' or $action === 'delete') 
    { 
     if (Yii::$app->user->can('supplier') === false 
      or Yii::$app->user->identity->supplierID === null 
      or $model->supplierID !== \Yii::$app->user->identity->supplierID) 
     { 
      throw new \yii\web\ForbiddenHttpException('You can\'t '.$action.' this product.'); 
     } 

    } 
}