Запрет на действия над файлами для всех, кроме владельца.

Всё про контроль доступа пользователей: фильтры, RBAC, проверки
Ответить
НиколайК
Сообщения: 2
Зарегистрирован: 2019.03.28, 11:12

Запрет на действия над файлами для всех, кроме владельца.

Сообщение НиколайК » 2019.03.28, 11:29

Добрый день. Столкнулся со следующей проблемой: для доступа использую бихейвер, но дальше просто указания экшенов и ролей пока дело не заходило. Так вот надо запретить скачку документа всем, кроме владельца. Скачка осуществляется простым запросом вида http://site/attachments/file/download?id=48, то есть простым перебором айдишников можно удалить что угодно. Я использую виджет nemmo/yii2-attachments для загрузки файлов. В таблице с файлами есть поле itemId, связанное с таблицей платежной информации, к которой загружается договор. Так вот, как правильно составить условие и прописать в бихейвере? Или может каким-то другим способом удобнее?

Аватара пользователя
samdark
Администратор
Сообщения: 8956
Зарегистрирован: 2009.04.02, 13:46
Откуда: Воронеж
Контактная информация:

Re: Запрет на действия над файлами для всех, кроме владельца.

Сообщение samdark » 2019.03.28, 15:58

1. Получить владельца файла.
2. Сравнить с текущим юзеров.
3. Если не совпали, кинуть исключение.

Ответить