访问控制过滤器（Access Control Filter）

访 问控制过滤器是检查当前用户是否能执行访问的controller action的初步授权模式。这种授权模式基于用户名，客户IP地址和访问类型。访问控制过滤器适用于简单的验证。需要复杂的访问控制，需要使用将要讲解 到的基于角色访问控制（role-based access (RBAC)）.
在控制器（controller）里重载CController::filters方法设置访问过滤器来控制访问动作(看 Filter 了解更多过滤器设置信息)。

1. class PostController extends CController
2. {
3. ......
4. public function filters()
5. {
6. return array(
7. 'accessControl',
8. );
9. }
10. }

在上面，设置的access control过滤器将应用于PostController里每个动作。过滤器具体的授权规则通过重载控制器的CController::acce***ules方法来指定。

1. class PostController extends CController
2. {
3. ......
4. public function acce***ules()
5. {
6. return array(
7. array('deny',
8. 'actions'=>array('create', 'edit'),
9. 'users'=>array('?'),
10. ),
11. array('allow',
12. 'actions'=>array('delete'),
13. 'roles'=>array('admin'),
14. ),
15. array('deny',
16. 'actions'=>array('delete'),
17. 'users'=>array('*'),
18. ),
19. );
20. }
21. }

上 面设定了三个规则，每个用个数组表示。数组的第一个元素不是'allow'就是'deny'，其他的是名-值成对形式设置规则参数的。上面的规则这样理 解：create和edit动作不能被匿名执行；delete动作可以被admin角色的用户执行；delete动作不能被任何人执行。
访问规则是一个一个按照设定的顺序一个一个来执行判断的。和当前判断模式（例如：用户名、角色、客户端IP、地址）相匹配的第一条规则决定授权的结果。如果这个规则是allow，则动作可执行；如果是deny，不能执行；如果没有规则匹配，动作可以执行。
 
为了确保某类动作在没允许情况下不被执行，设置一个匹配所有人的deny规则在最后，类似如下：

1. return array(
2. // ... 别的规则...
3. // 以下匹配所有人规则拒绝'delete'动作
4. array('deny',
5. 'action'=>'delete',
6. ),
7. );

因为如果没有设置规则匹配动作，动作缺省会被执行。
访问规则通过如下的上下文参数设置：
actions: 设置哪个动作匹配此规则。
users: 设置哪个用户匹配此规则。此当前用户的name 被用来匹配. 三种设定字符在这里可以用：
*: 任何用户，包括匿名和验证通过的用户。
?: 匿名用户。
@: 验证通过的用户。
roles: 设定哪个角色匹配此规则。这里用到了将在后面描述的role-based access control技术。In particular, the rule is applied if CWebUser::checkAccess returns true for one of the roles.提示，用户角色应该被设置成allow规则，因为角色代表能做某些事情。
ips: 设定哪个客户端IP匹配此规则。
verbs: 设定哪种请求类型(例如：GET, POST)匹配此规则。
expression: 设定一个PHP表达式。它的值用来表明这条规则是否适用。在表达式，你可以使用一个叫$user的变量，它代表的是Yii::app()->user。

访问规则中：
expression: 设定一个PHP表达式。它的值用来表明这条规则是否适用。在表达式，你可以使用一个叫$user的变量，它代表的是Yii::app()->user。
expression的具体用法：

1. class AdminController extends CController
2. {
3. ……
4. public function acce***ules()
5. {
6. return array(
7. array('allow',  //允许所有人执行'login','error','index'
8. 'actions'=>array('login','error','index'),
9. 'users'=>array('*'),
10. ),
11. array('allow', //允许超级管理员执行所有动作
12. 'actions'=>array('create','update','delete'),
13. 'expression'=>array($this,'isSuperAdmin'),
14. ),
15. array('allow',//允许普通管理员执行
16. 'actions'=>array('update'),
17. 'expression'=>array($this,'isNormalAdmin'),    //表示调用$this(即AdminController)中的isNormalAdmin方法。
18. ),
19. array('deny',  // deny all users
20. 'users'=>array('*'),
21. ),
22. );
23. }
24. protected function isSuperAdmin($user)//判断是否是超级管理员
25. {
26. return ($this->loadModel($user->id)->adminAdminFlag==1);
27. }
28. protected function isNormalAdmin($user)//判断是否是普通管理员
29. {
30. return ($this->loadModel($user->id)->adminAdminFlag==0);
31. }
32. public function loadModel($id)
33. {
34. $model=Admin::model()->findByPk((int)$id);
35. if($model===null){
36. throw new CHttpException(404,'页面不存在');
37. }
38. return $model;
39. }
40. }

注：其中$user代表Yii::app()->user即登录用户。