09_第八章迭代5用户访问控制.docVIP

第八章：迭代5：用户访问控制 像我们前面制作的TrackStar应用程序这样基于用户的web应用程序中，通常需要针对谁对某一功能提出访问请求进行访问控制。我们所说的用户访问控制是指在一个较高的层次上，当访问请求被提出时一些需要被思考的问题，例如： 请求的提出者是谁？ 提出请求的用户是否有足够的权限访问该功能？ 上述问题的答案可以帮助应用程序做出适当的响应。 在上次迭代中完成的工作使得应用程序有能力提出第一个问题。我们的基础用户管理应用扩展了应用程序的用户认证流程，使之可以使用数据库内的资料。应用程序现在允许用户建立自己的认证信息，并且在用户登录时使用储存在数据库内的信息进行匹配。在用户成功登录后，应用程序就知道接下来的一系列请求是谁提出的。 本次迭代的核心任务是帮助应用程序回答第二个问题。一旦用户提供了足够的认证信息后，应用程序需要找到一种合适的方法去判断用户是否有足够的权限去执行要求的操作。我们将利用Yii的用户访问控制中的一些特性来扩展我们的基本授权模型。Yii即提供了一个简单的访问控制过滤器，也提供了一个更先进的RBAC（基于角色的访问控制）体系，来帮助我们完成授权需求。我们将在TrackStar应用程序中用户访问需求的实现中仔细观察这2 点。 迭代计划 当我们在第3章第一次介绍我们的TrackStar应用程序时，我们曾提及，这个应用程序拥有2个高级别用户类型：匿名用户和认