加入收藏 | 设为首页 | 会员中心 | 我要投稿 衡阳站长网 (https://www.0734zz.cn/)- 数据集成、设备管理、备份、数据加密、智能搜索!
当前位置: 首页 > 站长学院 > PHP教程 > 正文

yii2项目实战之restful api授权验证详解

发布时间:2021-01-17 22:42:53 所属栏目:PHP教程 来源:网络整理
导读:前言 什么是restful风格的api呢?我们之前有写过来介绍其概念以及基本操作。 既然写过了,那今天是要说点什么吗? 这篇文章主要针对实际场景中api的部署来写。 我们今天就来大大的侃侃那些年api遇到的授权验证问题!独家干活,如果看完有所受益,记得不要忘

/**

  • 根据用户名获取用户的认证信息
  • @return User|null
    */
    protected function getUser()
    {
    if ($this->_user === null) {
    $this->_user = User::findByUsername($this->username);
    }

return $this->_user;
}

/**

  • 登录校验成功后,为用户生成新的token
  • 如果token失效,则重新生成token
    */
    public function onGenerateApiToken ()
    {
    if (!User::apiTokenIsValid($this->_user->api_token)) {
    $this->_user->generateApiToken();
    $this->_user->save(false);
    }
    }
    }

    我们回过头来看一下,当我们在UserController的login操作中调用LoginForm的login操作后都发生了什么

    1、调用LoginForm的login方法

    2、调用validate方法,随后对rules进行校验

    3、rules校验中调用validatePassword方法,对用户名和密码进行校验

    4、validatePassword方法校验的过程中调用LoginForm的getUser方法,通过commonmodelsUser类的findByUsername获取用户,找不到或者commonmodelsUser的validatePassword对密码校验失败则返回error

    5、触发LoginForm::GENERATE_API_TOKEN事件,调用LoginForm的onGenerateApiToken方法,通过commonmodelsUser的apiTokenIsValid校验token的有效性,如果无效,则调用User的generateApiToken方法重新生成

    注意:commonmodelsUser类必须是用户的认证类,如果不知道如何创建完善该类,请围观这里 用户管理之user组件的配置

    下面补充本节增加的commonmodelsUser的相关方法

  • 生成 api_token
    */
    public function generateApiToken()
    {
    $this->apitoken = Yii::$app->security->generateRandomString() . '' . time();
    }

/**

  • 校验api_token是否有效
    */
    public static function apiTokenIsValid($token)
    {
    if (empty($token)) {
    return false;
    }

$timestamp = (int) substr($token,strrpos($token,'_') + 1);
$expire = Yii::$app->params['user.apiTokenExpire'];
return $timestamp + $expire >= time();
}

继续补充apiTokenIsValid方法中涉及到的token有效期,在apiconfigparams.php文件内增加即可

1*24*3600,];

到这里呢,客户端登录 服务端返回token给客户端就完成了。

按照文中一开始的分析,客户端应该把获取到的token存到本地,比如cookie中。以后再需要token校验的接口访问中,从本地读取比如从cookie中读取并访问接口即可。

根据token请求用户的认证操作

假设我们已经把获取到的token保存起来了,我们再以访问用户信息的接口为例。

yiifiltersauthQueryParamAuth类认定的token参数是 access-token,我们可以在行为中修改下

[ 'class' => QueryParamAuth::className(),'tokenParam' => 'token','optional' => [ 'login','signup-test' ],] ] ); }

这里将默认的access-token修改为token。

我们在配置文件的urlManager组件中增加对userProfile操作

[ 'POST login' => 'login','GET user-profile' => 'user-profile',]

我们用postman模拟请求访问下 /v1/users/user-profile?token=apeuT9dAgH072qbfrtihfzL6qDe_l4qz_1479626145发现,抛出了一个异常

"findIdentityByAccessToken" is not implemented.

这是怎么回事呢?

我们找到 yiifiltersauthQueryParamAuth 的authenticate方法,发现这里调用了 commonmodelsUser类的loginByAccessToken方法,有同学疑惑了,commonmodelsUser类没实现loginByAccessToken方法为啥说findIdentityByAccessToken方法没实现?如果你还记得commonmodelsUser类实现了yiiwebuser类的接口的话,你应该会打开yiiwebUser类找答案。没错,loginByAccessToken方法在yiiwebUser中实现了,该类中调用了commonmodelsUser的findIdentityByAccessToken,但是我们看到,该方法中通过throw抛出了异常,也就是说这个方法要我们自己手动实现!

这好办了,我们就来实现下commonmodelsUser类的findIdentityByAccessToken方法吧

return static::findOne(['api_token' => $token,'status' => self::STATUS_ACTIVE]);
// throw new NotSupportedException('"findIdentityByAccessToken" is not implemented.');
}

验证完token的有效性,下面就要开始实现主要的业务逻辑部分了。

$user->id,'username' => $user->username,'email' => $user->email,]; }

服务端返回的数据类型定义

(编辑:衡阳站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
    站长推荐
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

      Copygight © 2017-2023 https://www.0734zz.cn/ All Rights Reserved. 衡阳站长网