我有两个权限:“AdminAccess”和“settingaccess”。他们被分配到“管理员”角色。 在我的代码中,我检查:Yii :: $ app-> user-> can(“AdminAccess”)... 如果将“settingaccess”权限分配给“Admin”角色,则它可以正常工作并且检查执行良好。但是,如果我从Admin角色中删除此权限并将其置于“AdminAccess”permisssion(“AdminAccess”权限仍然分配给“Admin”角色),那么当我刷新页面时,它会无限加载。我甚至必须重新启动服务器软件(在我的情况下是OS面板)。 这是一个“rbac”漏洞吗?我想知道为什么许可放在另一个许可中是行不通的。 提前谢谢。