访问控制过滤Access Control Filter (ACF) 是一个简单的鉴权方法，很适合那些只需要简单访问控制的应用程序使用。顾名思义，ACF 是一个动作过滤器，可以被当作一个行为附属到一个控制器或一个模块中。ACF将通过检测 访问规则集合（ access rules ）来确定用户是否可以访问被请求的动作。

use yii\filters\AccessControl;

class SiteController extends Controller
{
    public function behaviors()
    {
        return [
            'access' => [
                'class' => AccessControl::className(),
                'only' => ['login', 'logout', 'signup'],
                'rules' => [
                    [
                        'allow' => true,
                        'actions' => ['login', 'signup'],
                        'roles' => ['?'],
                    ],
                    [
                        'allow' => true,
                        'actions' => ['logout'],
                        'roles' => ['@'],
                    ],
                ],
            ],
        ];
    }
    // ...
}

在上述的代码中，ACF被附属到 site 控制器的行为中。这是动作过滤器最常用的使用方式。 only 选项指定这个ACF只能被应用于 login, logout 和 signup 动作。 rules 选项指定访问规则（access rules），内容如下：

允许所有访客 guest （尚未认证的）访问登录’login’ 和 注销’signup’ 动作。roles 选项包含一个问号 ?，这是一个用来表示“guests”的特殊符号。 允许认证用户来访问注销 ‘logout’ 动作。@ 字符是另一个特殊标识用来表示认证用户。