写在前面

• 以下内容适合Yii 1.0.x，其他版本可能有略微的差别。
• 根据您的评论和反馈，本文会不断进行修改和补充，以方便新学习者。

开始准备

Yii提供了强大的配置机制和很多现成的类库。在Yii中使用RBAC是很简单的，完全不需要再写RBAC代码。所以准备工作就是，打开编辑器，跟我来。

设置参数、建立数据库

在配置数组中，增加以下内容：

那这三个数据表怎么建立呢？很简单，去看framework/web/auth/schema.sql。注意要和你的自定义的表名称对应起来。比如SQL文件中的AuthItem你要修改为pre_auth_item。然后在数据库中运行这个SQL文件中的语句。

了解概念

你可能要问，剩下的代码呢？我告诉你，没有啦。RBAC系统就这样建立起来了。但是为了使用它，你需要了解它的运行机制。我会尽量讲的啰嗦一点……（官方的RBAC文档在这里，但是我曾经看了4-5遍才明白。）

三个概念

你需要了解的是，授权项目可分为operations（行动）,tasks（任务）和 roles（角色）。

一个用户拥有一个或者多个角色，比如，我们这里有三个角色：银行行长、银行职员、顾客。我们假设：

• 张行长 有角色：银行行长、银行职员、顾客（人家自己可以存钱嘛）。
• 王职员 有角色：银行职员、顾客。
• 小李 有角色：顾客。

那么，相应的，只要顾客可以做的事情，小李就可以做，王职员和张行长也可以。银行职员可以做的事情，王职员和张行长都可以做，小李就不可以了。

比如，一个“顾客”可以存钱，那么拥有“顾客”角色的张行长、王职员、小李都可以存钱。“银行职员”可以打印顾客的交易记录，那么有“银行职员”角 色的张行长和王职员都可以，而小李不行，必须找一个有“银行职员”角色的人才可以打印详细的交易记录。一个“银行行长”才可以进入银行钱库提钱，那么只有 张行长可以，因为它才有“银行行长”的角色。

这就是基于角色的认证体系，简称RBAC。

角色的继承

角色是可以继承的，比如我们规定如下：

• 凡是“银行行长”都是“银行职员”，也就是说，只要银行职员可以做的事情，银行行长都可以做。
• 凡是“银行职员”都是顾客，同上，顾客可以做的事情银行职员也可以做。

那么角色关系就变成了：

• 张行长 有角色：银行行长。
• 王职员 有角色：银行职员。
• 小李 有角色：顾客。

这样更简单了，这就是角色的继承。

任务的继承

一个任务（task）是可以包含另外一个任务的，我们举个例子，比如“进入银行”。

我们设定“顾客”这个角色有“进入银行”的权限。也就是说，“顾客”可以执行“进入银行”的任务。接下来，我们假设“进入柜台”是进入银行的父权 限，也就是说，“进入柜台”包含“进入银行”。只要能“进入柜台”的人都可以“进入银行”。我们把“进入柜台”这个任务权限给“银行职员”。

那么从角色上来说，王职员可以进入银行，因为王职员的角色是“银行职员”，而“银行职员”包含了“顾客”的角色。那么“顾客”可以进行的“任务”对于“银行职员”来说也是可以进行的。而“顾客”可以“进入银行”，那么王职员也可以“进入银行”。这是角色的继承带来的。

我们再假设有个赵领导，是上级领导，可以进入柜台进行视察。那么，我们的任务关系是：

• 赵领导 有任务：进入柜台。

那么，赵领导就可以“进入银行”。因为“进入银行”是被“进入柜台”包含的任务。只要可以执行“进入柜台”的人都可以执行“进入银行”。这就是任务的继承。

关于行动

行动是不可划分的一级。也就是说。而一个行动是不能包含其他行动的。假设我们有个行动叫“从银行仓库中提钱”。我们把这个行动作包含“进入柜台”。那么只要可以执行“从银行仓库中提钱”的角色都可以执行“进入柜台”这个任务。

三者关系

• 一个角色可以包含另外一个或者几个角色。
• 一个角色可以包含另外一个或者几个任务。
• 一个角色可以包含另外一个或者几个行动。
• 一个任务可以包含另外一个或者几个任务。
• 一个任务可以包含另外一个或者几个行动。
• 一个行动只能被角色或者任务包含，行动是不可以包含其他，也不可再分。

这样，就形成了一个权限管理体系。关于“任务”和“行动”，你不必思考其字面上的意义。这两者就是形成两层权限。

进行赋权

我们建立了RBAC权限管理，就需要进行对权限的WEB管理。这些就需要你自己写代码了。

根据不同种类的项目调用下列方法之一定义授权项目：

• CAuthManager::createRole
• CAuthManager::createTask
• CAuthManager::createOperation

一旦我们拥有一套授权项目，我们可以调用以下方法建立授权项目关系：

• CAuthManager::addItemChild
• CAuthManager::removeItemChild
• CAuthItem::addChild
• CAuthItem::removeChild

最后，我们调用下列方法来分配角色项目给各个用户：

• CAuthManager::assign
• CAuthManager::revoke

下面我们将展示一个例子是关于用所提供的API建立一个授权等级：

$auth=Yii::app()->authManager;  
$auth->createOperation('createPost','create a post'); 
$auth->createOperation('readPost','read a post'); 
$auth->createOperation('updatePost','update a post'); 
$auth->createOperation('deletePost','delete a post');  

$bizRule='return Yii::app()->user->id==$params["post"]->authID;'; 
$task=$auth->createTask('updateOwnPost','update a post by author himself',$bizRule); 
$task->addChild('updatePost');  

$role=$auth->createRole('reader'); 
$role->addChild('readPost');  

$role=$auth->createRole('author'); 
$role->addChild('reader'); 
$role->addChild('createPost'); 
$role->addChild('updateOwnPost'); 

$role=$auth->createRole('editor'); 
$role->addChild('reader'); 
$role->addChild('updatePost');  

$role=$auth->createRole('admin'); 
$role->addChild('editor'); 
$role->addChild('author');
$role->addChild('deletePost');  

$auth->assign('reader','readerA'); 
$auth->assign('author','authorB'); 
$auth->assign('editor','editorC'); 
$auth->assign('admin','adminD');

也就是说，你需要自己写一个管理界面，来列出你的角色、任务、行动，然后可以在这个界面上进行管理。比如增加、删除、修改。

权限检查

假设你在你的管理界面进行了赋权，那么可以在程序里面进行权限检查：

if(  Yii::app()->user->checkAccess('createPost')  )

{

// 这里可以显示表单等操作

} else　{

// 检查没有通过的可以跳转或者显示警告

}

上面的代码就检查了用户是否可以执行“createPost”，这createPost可能是一个任务，也可以是一个行动。

其他的

对于很多说Yii权限体系RBAC不好用的人其实都没有看懂文档。综合我的体验，我感觉Yii框架的RBAC是我用过的框架里面最好用的。而且是需要自己写代码最少的。

Yii的RBAC有更加高级的用法，比如“业务规则”，“默认角色”。你可以去参考官方文档。

我知道，会有部分人仍旧不理解RBAC，或者不会用Yii的RBAC。没有关系，你可以在下方的评论框里提问。

happy Yii ！

string(79) "D:\Program Files\Apach\htdocs\novemweb\themes\classic\views/admin/default\index" string(81) "D:\Program Files\Apach\htdocs\novemweb\themes\classic\views/admin/layouts/column1" string(78) "D:\Program Files\Apach\htdocs\novemweb\themes\classic\views/admin/layouts/main" string(81) "D:\Program Files\Apach\htdocs\novemweb\protected\modules\admin\views/layouts/main"

许多人用shell脚本完成一些简单任务，而且变成了他们生命的一部分。不幸的是，shell脚本在运行异常时会受到非常大的影响。在写脚本时将这类问题最小化是十分必要的。本文中我将介绍一些让bash脚本变得健壮的技术。

使用set -u

你因为没有对变量初始化而使脚本崩溃过多少次？对于我来说，很多次。

chroot=$1 ... rm -rf $chroot/usr/share/doc

如果上面的代码你没有给参数就运行，你不会仅仅删除掉chroot中的文档，而是将系统的所有文档都删除。那你应该做些什么呢？好在bash提供了set -u，当你使用未初始化的变量时，让bash自动退出。你也可以使用可读性更强一点的set -o nounset。

david% bash /tmp/shrink-chroot.sh

$chroot=

david% bash -u /tmp/shrink-chroot.sh

/tmp/shrink-chroot.sh: line 3: $1: unbound variable

david%

使用set -e

你写的每一个脚本的开始都应该包含set -e。这告诉bash一但有任何一个语句返回非真的值，则退出bash。使用-e的好处是避免错误滚雪球般的变成严重错误，能尽早的捕获错误。更加可读的版本：set -o errexit

使用-e把你从检查错误中解放出来。如果你忘记了检查，bash会替你做这件事。不过你也没有办法使用$?来获取命令执行状态了，因为bash无法获得任何非0的返回值。你可以使用另一种结构：

command

if [ "$?"-ne 0]; then echo "command failed"; exit 1; fi

可以替换成：

command || { echo "command failed"; exit 1; }

或者使用：

if ! command; then echo "command failed"; exit 1; fi

如果你必须使用返回非0值的命令，或者你对返回值并不感兴趣呢？你可以使用 command || true ，或者你有一段很长的代码，你可以暂时关闭错误检查功能，不过我建议你谨慎使用。

set +e

command1

command2

set -e

相关文档指出，bash默认返回管道中最后一个命令的值，也许是你不想要的那个。比如执行 false | true 将会被认为命令成功执行。如果你想让这样的命令被认为是执行失败，可以使用 set -o pipefail

程序防御 - 考虑意料之外的事

你的脚本也许会被放到“意外”的账户下运行，像缺少文件或者目录没有被创建等情况。你可以做一些预防这些错误事情。比如，当你创建一个目录后，如果父目录不存在，mkdir 命令会返回一个错误。如果你创建目录时给mkdir命令加上-p选项，它会在创建需要的目录前，把需要的父目录创建出来。另一个例子是 rm 命令。如果你要删除一个不存在的文件，它会“吐槽”并且你的脚本会停止工作。（因为你使用了-e选项，对吧？）你可以使用-f选项来解决这个问题，在文件不存在的时候让脚本继续工作。 

准备好处理文件名中的空格

有些人从在文件名或者命令行参数中使用空格，你需要在编写脚本时时刻记得这件事。你需要时刻记得用引号包围变量。

if [ $filename = "foo" ];

当$filename变量包含空格时就会挂掉。可以这样解决：

if [ "$filename" = "foo" ];

使用$@变量时，你也需要使用引号，因为空格隔开的两个参数会被解释成两个独立的部分。

david% foo() { for i in $@; do echo $i; done }; foo bar "baz quux"

bar

baz

quux

david% foo() { for i in "$@"; do echo $i; done }; foo bar "baz quux"

bar

baz quux

我没有想到任何不能使用"$@"的时候，所以当你有疑问的时候，使用引号就没有错误。

如果你同时使用find和xargs，你应该使用 -print0 来让字符分割文件名，而不是换行符分割。

 david% touch "foo bar"

david% find | xargs ls

ls: ./foo: No such file or directory

ls: bar: No such file or directory

david% find -print0 | xargs -0 ls

./foo bar

设置的陷阱

当你编写的脚本挂掉后，文件系统处于未知状态。比如锁文件状态、临时文件状态或者更新了一个文件后在更新下一个文件前挂掉。如果你能解决这些问题， 无论是 删除锁文件，又或者在脚本遇到问题时回滚到已知状态，你都是非常棒的。幸运的是，bash提供了一种方法，当bash接收到一个UNIX信号时，运行一个 命令或者一个函数。可以使用trap命令。

trap command signal [signal ...]

你可以链接多个信号（列表可以使用kill -l获得），但是为了清理残局，我们只使用其中的三个：INT，TERM和EXIT。你可以使用-as来让traps恢复到初始状态。

信号描述

 

INT	Interrupt - 当有人使用Ctrl-C终止脚本时被触发
TERM	Terminate - 当有人使用kill杀死脚本进程时被触发
EXIT	Exit - 这是一个伪信号，当脚本正常退出或者set -e后因为出错而退出时被触发

 

 

 

 

当你使用锁文件时，可以这样写：

if [ ! -e $lockfile ]; then

touch $lockfile

critical-section

rm $lockfile

else

echo "critical-section is already running"

fi

当最重要的部分(critical-section)正在运行时，如果杀死了脚本进程，会发生什么呢？锁文件会被扔在那，而且你的脚本在它被删除以前再也不会运行了。解决方法：

if [ ! -e $lockfile ]; then

trap " rm -f $lockfile; exit" INT TERM EXIT

touch $lockfile

critical-section

rm $lockfile

trap - INT TERM EXIT

else

echo "critical-section is already running"

fi

现在当你杀死进程时，锁文件一同被删除。注意在trap命令中明确地退出了脚本，否则脚本会继续执行trap后面的命令。

竟态条件 (wikipedia)

在上面锁文件的例子中，有一个竟态条件是不得不指出的，它存在于判断锁文件和创建锁文件之间。一个可行的解决方法是使用IO重定向和bash的noclobber(wikipedia)模式，重定向到不存在的文件。我们可以这么做：

if ( set -o noclobber; echo "$$" > "$lockfile") 2> /dev/null;

then

trap 'rm -f "$lockfile"; exit $?' INT TERM EXIT

critical-section

rm -f "$lockfile"

trap - INT TERM EXIT

else

echo "Failed to acquire lockfile: $lockfile"

echo "held by $(cat $lockfile)"

fi

更复杂一点儿的问题是你要更新一大堆文件，当它们更新过程中出现问题时，你是否能让脚本挂得更加优雅一些。你想确认那些正确更新了，哪些根本没有变化。比如你需要一个添加用户的脚本。

add_to_passwd $user

cp -a /etc/skel /home/$user

chown $user /home/$user -R

当磁盘空间不足或者进程中途被杀死，这个脚本就会出现问题。在这种情况下，你也许希望用户账户不存在，而且他的文件也应该被删除。

rollback() {

del_from_passwd $user

if [ -e /home/$user ]; then

rm -rf /home/$user

fi

exit

}

 

trap rollback INT TERM EXIT

add_to_passwd $user

 

cp -a /etc/skel /home/$user

chown $user /home/$user -R

trap - INT TERM EXIT

在脚本最后需要使用trap关闭rollback调用，否则当脚本正常退出的时候rollback将会被调用，那么脚本等于什么都没做。

保持原子化

又是你需要一次更新目录中的一大堆文件，比如你需要将URL重写到另一个网站的域名。你也许会写：

for file in $(find /var/www -type f -name "*.html"); do

perl -pi -e 's/www.example.net/www.example.com/' $file

done

如果修改到一半是脚本出现问题，一部分使用www.example.com，而另一部分使用www.example.net。你可以使用备份和trap解决，但在升级过程中你的网站URL是不一致的。

解决方法是将这个改变做成一个原子操作。先对数据做一个副本，在副本中更新URL，再用副本替换掉现在工作的版本。你需要确认副本和工作版本目录在同一个磁盘分区上，这样你就可以利用Linux系统的优势，它移动目录仅仅是更新目录指向的inode节点。

cp -a /var/www /var/www-tmp

for file in $(find /var/www-tmp -type -f -name "*.html"); do

perl -pi -e 's/www.example.net/www.example.com/' $file

done

mv /var/www /var/www-old

mv /var/www-tmp /var/www

这意味着如果更新过程出问题，线上系统不会受影响。线上系统受影响的时间降低为两次mv操作的时间，这个时间非常短，因为文件系统仅更新inode而不用真正的复制所有的数据。

这种技术的缺点是你需要两倍的磁盘空间，而且那些长时间打开文件的进程需要比较长的时间才能升级到新文件版本，建议更新完成后重新启动这些进程。对 于 apache服务器来说这不是问题，因为它每次都重新打开文件。你可以使用lsof命令查看当前正打开的文件。优势是你有了一个先前的备份，当你需要还原 时，它就派上用场了。

文件的特殊权限SGID, SUID..SBIT

        大家都知道文件和目录的权限最常见的有三个.可读(r)..可写(w)..可执行(x)..它们的级别分别是4..2..1..我们有时也会发现有些文件 所属主的权限上带有一个s的标志位.目录的所属组上也带有s标志位.很多人不理解这是为什么....下面我们举例来看一下...
         #ls -l  /usr/bin/passwd
         -rwsr-xr-x 1 root root 19876 Jul 17  2006 /usr/bin/passwd
         这个文件的所属主的x标志位上变成了s,这时称为set uid ..简写就是suid..其实这个文件属性也没有特殊的含义..当这个s标志位出现在一些脚本上时,它就有意义了...比方说我我们有一个脚本名为sum.sh.这个脚本的权限如下:
        -rwsrwxr-x 1 root root   117 Feb  6 20:46 sum.sh
         这个脚本的所属主和所属组为root.我们当然可以以root的用户的身份执行它..我们还可以看见它的所属主的标志位上有个s..其他人有读取和执行的 权限.假如我们现在有个普通用户名为redhat..现在切换到redhat..执行此脚本..表面上我们看是执行成功了..其实我们是借助root用户 的身份来执行它..而不是redhat..这就是suid的特性....
        下满我们来说下SGID,看了上面的SUID后很容易就知道所谓SGID就是将标志s加到gid的x标志位上..称为set gid.简称sgid..在这强调一下SUID我们一般用在文件上.特别是一些脚本上...SGID用在目录上最多...比方说我以root身份创建一个 目录a.给他加上sgid权限
        #mkdir a
        #chmod   2757  a
        #ls  -l
          drwxr-srwx 2 root root  4096 Feb  6 21:09  a
        因为我们给a目录其他人所具有的权限是可读,可写,可执行...当我们以redhat用户的身份切换到另外一个终端..进入a目录中,我们在此目录中创建一个目录b和一个文件c
        [redhat@station18 a]$ mkdir b
        [redhat@station18 a]$ touch c
        [redhat@station18 a]$ ls -l
        drwxrwsr-x 2 redhat root 4096 Feb  6 21:20 b
        -rw-rw-r-- 1    redhat root    0 Feb  6 21:20 c
        我们可以看到目录b和文件c的所属组都为root......当你将一个a目录置为sgid权限时候,如果其他人有读取,执行和写入的权限时,别人在此目 录中创建的任何文件和目录的所属组都为a目录的所属组..但所属主还是自己...这个会经常的用到....有一点大家得注意...就是任何人在a目录中创 建的东西.别人都可以删掉...这就是我们下面要讲到的SBIT....
        SBIT 全称Sticky Bit.但是它只对目录有效,对文件却是无效的,它的作用就是防止别人删除对方的资料...我们举例来说明...
      1..我用root用户登录创建一个目录名为test
       [root@station18 ~]# mkdir test
       [root@station18 ~]# chmod o+w test/
       [root@station18 ~]# ls -l
       drwxr-xrwx 2 root root  4096 Feb  6 21:30 test
      2..我们切换到redhat用户登录一个终端,创建一个目录a..
       [redhat@station18 test]$ mkdir a
      3.我们在切换到xiaoming用户登录一个终端,创建一个目录b...
       [xiaoming@station18 test]$ mkdir b
       [xiaoming@station18 test]$ ls  -l
       drwxrwxr-x 2 redhat   redhat   4096 Feb  6 21:32 a
       drwxrwxr-x 2 xiaoming xiaoming 4096 Feb  6 21:31 b
       我们可以以任何用户的身份进入test目录发现可以删除a和b目录...这样就乱了套...别人的目录你岂能随便删的...这时我们就需要将test目录加上SBIT权限了...
       [root@station18 ~]# chmod  1757  test/
       [root@station18 ~]# ls -l
       drwxr-xrwt 4 root root  4096 Feb  6 21:42 test
       我们在用别的用户登录进入test目录他就删不掉别人的资料了,系统会提示rm: cannot remove directory `a': Operation not permitted..意思是你权限不够....呵呵...这样别人就没辙了....我测试过成功的...
       下面我来说一下关于SUID SGID  SBIT权限的设定...
        SUID为4
        SGID为2
        SBIT为1
        我在上面设定一些文件或目录的权限你可能看不懂,,下面我来详细讲解...
        假如我们有个文件叫file.有一个目录叫test..file它的权限是644..test的权限是755
        1..如果我们想把file加上suid权限的话执行此命令
        #chmod  4755  file
        2..如果我们想把test目录加上sgid的话执行此命令
        #chmod  2755   test/
        3.如果我们想把test目录加上sbit权限的话执行此命令
        #chmod  1755   test/
        4..大家可以看得出来s与t都是取代x权限的...
        5..如果不想让test具备SUID和SGID权限执行此命令
        #chmod   7666  file
        #ls  -l
         -rwSrwSrwT 1 root root     0 Feb  6 21:49 file
        这里的S和T就代表空..不具备其他人执行的权限...7666也就是说用户,组,以及其他的人都不具备x的权限,除了root.任何人修改不了此文件...
        这儿我用数字代替给文件加一些 权限....我们也可以用别的方法.比方说..我们给file文件加上suid权限
        #chmod  u=rwxs,o=rx   file
        给test目录加上SGID权限和other可读取写入执行权限
        #chmod  g+s,o=wrx    test/
        给test目录加上SBIT权限和other可读取写入执行权限
        #chmod   o=rwxt   test/