yii2框架-restful的请求参数token验证

最新推荐文章于 2023-03-30 00:07:42 发布
转载 最新推荐文章于 2023-03-30 00:07:42 发布 · 2.4k 阅读 · 2

本文详细介绍了Yii2框架中API的认证机制,包括如何禁用会话、配置认证方式及实现认证接口等关键步骤。
yii2有三种的认证方式:
1、请求参数方式: access token
也即是当作API URL请求参数发送,例如 https://example.com/users?access-token=xxxxxxxx
2、HTTP 基本认证: 发送用户名username和password, 应用在access token可安全存在API使用端的场景.例如,API使用端是运行在一台服务器上的程序
3、OAuth 2: 使用者从认证服务器上获取基于 OAuth2协议的access token,然后通过 HTTP Bearer Tokens 发送到API 服务器。

下面直说前面两种.
第一种方式:
(1)因为RESTful APIs应为无状态的, 当yii\web\User::enableSession为false, 请求中的用户认证状态就不能通过session来保持。

在控制器中重写初始化函数,设置enableSession = false

[php]  view plain  copy
 print ?
  1. public function init()  
  2. {  
  3.     parent::init();  
  4.     Yii::$app->user->enableSession = false;  

(2)重写behaviors函数,配置authenticator,引入使用的认证方式。

[php]  view plain  copy
 print ?
  1. yii\filters\auth\QueryParamAuth;  
  2. public function behaviors()  
  3. {  
  4.     $behaviors = parent::behaviors();  
  5.     $behaviors['authenticator'] = [  
  6.         'class' => QueryParamAuth::className(),  
  7.     ];  
  8.     return $behaviors;  
  9. }  
behaviors()这个函数的是定义这个控制器类的行为,也就是每一次访问这个控制器的方法,都会执行这个behaviors中定义的各种行为,认证也是这个流程,我们访问一个api接口时,就会执行yii\filters\auth\QueryParamAuth的这个文件的authenticate()这个方法



(3)我们需要在配置文件中
'user' => [
    'identityClass' => 'api\models\User',
],


指定认证的model类,现在是在api\models\User这个类中,那么我们需要在api\models\User这个类中实现yii\web\IdentityInterface这个类中的所有定义的接口方法

[php]  view plain  copy
 print ?
  1. <?php  
  2. namespace api\models;  
  3. use Yii;  
  4. use yii\base\NotSupportedException;  
  5. use yii\behaviors\TimestampBehavior;  
  6. use yii\db\ActiveRecord;  
  7. use yii\web\IdentityInterface;  
  8.   
  9. class User extends ActiveRecord implements IdentityInterface {  
  10.      /** 
  11.      * @inheritdoc 
  12.      */  
  13.     public static function tableName()  
  14.     {  
  15.         return 'users';  
  16.     }  
  17.     /** 
  18.      * @inheritdoc 
  19.      */  
  20.     public static function findIdentity($id)  
  21.     {  
  22.         return static::findOne(['id' => $id'status' => self::STATUS_ACTIVE]);  
  23.     }  
  24.   
  25.     /** 
  26.      * @inheritdoc 
  27.      */  
  28.     public static function findIdentityByAccessToken($token$type = null)  
  29.     {  
  30.         return static::findOne(['access_token' => $token]);  
  31.     }  
  32.   
  33.     //这个就是我们进行yii\filters\auth\QueryParamAuth调用认证的函数,下面会说到。  
  34.     public function loginByAccessToken($accessToken$type) {  
  35.         //查询数据库中有没有存在这个token  
  36.         return static::findIdentityByAccessToken($token$type);  
  37.     }  
  38.   
  39.     /** 
  40.      * Finds user by username 
  41.      * 
  42.      * @param string $username 
  43.      * @return static|null 
  44.      */  
  45.     public static function findByUsername($username)  
  46.     {  
  47.         return static::findOne(['username' => $username'status' => self::STATUS_ACTIVE]);  
  48.     }  
  49.   
  50.   
  51.     /** 
  52.      * @inheritdoc 
  53.      */  
  54.     public function getId()  
  55.     {  
  56.         return $this->getPrimaryKey();  
  57.     }  
  58.   
  59.     /** 
  60.      * @inheritdoc 
  61.      */  
  62.     public function getAuthKey()  
  63.     {  
  64.         return $this->auth_key;  
  65.     }  
  66.   
  67.     /** 
  68.      * @inheritdoc 
  69.      */  
  70.     public function validateAuthKey($authKey)  
  71.     {  
  72.         return $this->getAuthKey() === $authKey;  
  73.     }  
  74. }  
loginByAccessToken()这个函数是我们需要自己定义的函数,因为这个函数在yii\filters\auth\QueryParamAuth的认证类中会调用。
而findIdentityByAccessToken($token, $type = null)这个是接口函数,我们需要实现的,所以就在loginByAccessToken()这个函数中调用他去查询数据表中有没有对应的token存在,这个就是认证过程。

这样子整个认证的过程就已经完成了。例如现在我们的数据表user有一个token=xxxxxxxx,那么我们的客户端取得这个token,
我们只需要在访问的api附带这个token
http://xxxxxxx/api/v1/users?access-token=xxxxxxxxx;
那么这个url访问就会认证通过,可以返回用户列表,如果没有附带token,那么就会返回401,认证失败,不能往下执行。

下面我们来看一下yii\filters\auth\QueryParamAuth这个认证类:

[php]  view plain  copy
 print ?
  1. <?php  
  2. /** 
  3.  * @link http://www.yiiframework.com/ 
  4.  * @copyright Copyright (c) 2008 Yii Software LLC 
  5.  * @license http://www.yiiframework.com/license/ 
  6.  */  
  7.   
  8. namespace yii\filters\auth;  
  9.   
  10. /** 
  11.  * QueryParamAuth is an action filter that supports the authentication based on the access token passed through a query parameter. 
  12.  * 
  13.  * @author Qiang Xue <qiang.xue@gmail.com> 
  14.  * @since 2.0 
  15.  */  
  16. class QueryParamAuth extends AuthMethod  
  17. {  
  18.     /** 
  19.      * @var string the parameter name for passing the access token 
  20.      */  
  21.     public $tokenParam = 'access-token';  
  22.   
  23.   
  24.     /** 
  25.      * @inheritdoc 
  26.      */  
  27.     public function authenticate($user$request$response)  
  28.     {  
  29.         $accessToken = $request->get($this->tokenParam);  
  30.         if (is_string($accessToken)) {  
  31.             $identity = $user->loginByAccessToken($accessToken, get_class($this));  
  32.             if ($identity !== null) {  
  33.                 return $identity;  
  34.             }  
  35.         }  
  36.         if ($accessToken !== null) {  
  37.             $this->handleFailure($response);  
  38.         }  
  39.   
  40.         return null;  
  41.     }  
  42. }  

$tokenParam这个属性是设置url附带的token的参数key,我们可以在behaviors()这个函数中配置修改:

[php]  view plain  copy
 print ?
  1. public function behaviors() {  
  2.         $behaviors = parent::behaviors();  
  3.         $behaviors['authenticator'] = [  
  4.             'class' => QueryParamAuth::className(),  
  5.             'tokenParam' => 'token'  //例如改为‘token’  
  6.         ];  
  7.         return $behaviors;  
  8. }  
看看认证函数:
public function authenticate($user, $request, $response) {

}
$user其实就是在配置中user组件对应的api\models\User的实例,$request, $response分别是请求组件和响应组件
再看看authenticate()函数里面的这个函数
$identity = $user->loginByAccessToken($accessToken, get_class($this));

loginByAccessToken()函数也就是在api\models\User类中定义的函数,进行token的认证的。

认证通过后就返回return $identity;

那么大家又觉得奇怪,$user, $request, $response这三个参数在这个类中并没有定义,那么他们是从哪里来的呢?
其实我们可以看到这个类是继承yii\filters\auth\AuthMethod这个类的,里面有一个beforeAction()函数

[php]  view plain  copy
 print ?
  1. public function beforeAction($action)  
  2.     {  
  3.         $response = $this->response ? : Yii::$app->getResponse();  
  4.   
  5.         try {  
  6.             $identity = $this->authenticate(  
  7.                 $this->user ? : Yii::$app->getUser(),  
  8.                 $this->request ? : Yii::$app->getRequest(),  
  9.                 $response  
  10.             );  
  11.         } catch (UnauthorizedHttpException $e) {  
  12.             if ($this->isOptional($action)) {  
  13.                 return true;  
  14.             }  
  15.   
  16.             throw $e;  
  17.         }  
  18.   
  19.         if ($identity !== null || $this->isOptional($action)) {  
  20.             return true;  
  21.         } else {  
  22.             $this->challenge($response);  
  23.             $this->handleFailure($response);  
  24.             return false;  
  25.         }  
  26.     }  

所以我们执行yii\filters\auth\AuthMethod\QueryParamAuth时,也就是执行beforeAction($action)函数,这个函数调用$this->authenticate()这个函数执行,也就是进行操作前的认证。
yii2框架-restful请求参数token验证(二十三)
bingcool
08-06 1万+
最近出行市场发生一件大事:滴滴收购uber中国,两者正式联姻。对于这次的收购合并,其实对于滴滴和uber来说都是双赢的。两者在市场的竞争中已经烧了不少的钱,而且uber的股东也建议TK(uber创始人)和滴滴讲和,不能在这样子无尽烧钱,毕竟人家投资人是要挣钱的。滴滴目前可以说是已经是国内的出行市场的老大了,乐视投资的”易到“已经是基本边缘化的了。滴滴和uber的联姻都可以说明到过去的创业独角兽以前...
yii2 在控制器中验证请求参数的使用方法
10-16
主要介绍了yii2 在控制器中验证请求参数的使用方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
yii2框架restful url接口 认证内容的开发的分享
05-23
yii2框架restful url接口,认证内容的开发的分享,后续还有接口多版本控制的内容
yii2 RESTful access_token api 初步搭建2
拔萝卜的码农
03-23 4993
为了自我学习和交流PHP(jQuery,Linux,lamp,shell,JavaScript,服务器)等一系列的知识,希望光临本博客的人可以进来交流。寻求共同发展。搭建平台。本人博客也有许多的技术文档,希望可以为你提供一些帮助。 QQ群: 191848169   点击链接加入群【PHP技术交流(总群)】 yii2有三种的认证方式: 1、请求参数方式: acc
Yii2 access_token验证 底层代码
huazeci的博客
03-10 704
先说明几个相关验证的文件, 1:首先要开启access_token验证,在main.php中的user组件中identityClass 2:在baseController.php中,每个控制器继承的控制器几类中,定义通过哪一种方式进行校验access_token是否正确(本文通过access_token 通过header头传给后端,所以校验类用HttpBearerAuth::class) 3:HttpBearerAuth::class【vendor/yiisoft/yii2/filters/auth/H
yii2项目实战之restful api授权验证详解
10-19
总的来说,Yii2项目实战之RESTful API授权验证的实现,需要我们了解RESTful API的基本概念,掌握如何在Yii2框架中配置路由和过滤器,以及如何处理认证类和Token的生成与校验。这些步骤是构建一个安全、可用的RESTful...
Yii2框架RESTful API 格式化响应,授权认证和速率限制三部分详解
10-21
本文将深入讨论Yii2框架中的RESTful API相关功能,包括格式化响应、授权认证和速率限制三个核心部分。对于希望深入了解Yii2 RESTful API开发的读者而言,这些内容无疑是重要且实用的。 一、目录结构 在Yii2框架中,...
Yii2实战:RESTful API授权验证全面解析
Yii2框架提供了强大的工具来处理API的授权验证,使得开发者能够轻松地构建安全的RESTful服务。在本文中,我们将深入探讨在Yii2项目中实现RESTful API的授权验证过程。 首先,我们需要了解RESTful风格的API。REST...
yii2restful url访问配置, 登陆接口access-token验证
拔萝卜的码农
03-22 4501
登陆接口access-token验证类 Controller下新建BaseActiveController.php /** *接口登陆验证 * @author 爱博 * 1.0 * */ namespace backend\controllers; use yii\filters\auth\CompositeAuth; use yii\filters\auth\HttpBasic
Yii2的csrf token验证
诗与远方_
10-15 1665
yii2的接收post请求时 在如果开启 enableCsrfValidation为true 在/vendor/yiisoft/yii2/web/Controller.php <?php public function beforeAction($action) { if (parent::beforeAction($action)) { ...
yii2实现token认证(源码分析)
KBellX的博客
05-11 6311
笔者在学习用yii2restful api的token认证部分遇到困难,官网教程没看懂~,解决后,记录之。 yiiRESTful 授权认证 官方教程链接,大概意思如下: yii2提供了3种验证token方式,需要在具体控制器指定使用哪种(也可以都使用),这里以QueryParams方式为例,即通过$_GET参数方式接受token,代码如下: public function beh...
1 yii2 validate验证参数工作步骤:
qq_27926751的博客
08-04 936
通常为了节省服务器资源,需要在客户端提交参数时做相应的验证工作。比如必填参数参数范围等。 1 设置场景:类继承自model来设置const常量: const SCENARIO_ADD = 'add'; 2 设置场景对应的验证规则: public function rules() { ['store_no', 'check_store_no', 'on' => [ self::SCENARIO_ADD, Stor.
Yii2 RESTful Verbs
Archer
02-26 2450
在业余确实比较少,现在又学习了Yii2 RESTful Verbs,学习过程中肯定还是很曲折的,各种问题都会在下面进行阐述。
Yii2 用户使用登录组件token验证
廖圣平
11-01 1288
当我在查阅 Yii文档的行为中,看到: yii\behaviors\BlameableBehavior - 使用当前用户 ID 自动填充指定的属性。 在Laravel 中,获取认证用户调用的是Auth::user 即可获取当前登录用户。 在Yii中,用户这块文档中好像没有看到,做一下记录。 在继承的Controller中创建一个 guard ,在Yii 中用行为可实现: public function behaviors() { $behaviors = parent::b
apache环境下解决restful认证无法从header中获取Authorization参数 [ 技术分享 ]
热门推荐
vbird的博客
10-18 1万+
  rest接口采用HttpBearerAuth认证方式: public function behaviors() { return ArrayHelper::merge( parent::behaviors(), [ 'authenticator' =&gt; [ 'class' =&gt; HttpBearerAuth::c...
Yii2.0框架中如何进行身份验证和授权操作?支持哪些认证方式和授权方式?
长风破浪会有时的博客
03-30 539
HttpBearerAuth认证方式也是基于HTTP协议的认证方式,需要在每个请求的Header中传递用户认证信息,与HttpBasicAuth认证方式不同的是,HttpBearerAuth认证方式使用了token的形式传递认证信息。基于规则的访问控制(RBAC)与基于角色的访问控制(RBAC)相似,不同之处在于RBAC需要对每个角色进行繁琐的授权,而基于规则的访问控制可以直接对权限进行授权,更加灵活。表单认证方式是一种传统的认证方式,用户输入用户名和密码,提交后后台进行验证,通过则登录成功,否则失败。
yii2 api认证与授权
Robin罗兵
02-14 1164
一、API认证的实现:可以让用户在客户端进行登录认证 步骤1:api/config/main.php  去掉cookie,session,将common\models\user改为common\models\Adminuser,增加'enableSession' =&gt; false,去掉identityCookie及session设置 return[ 'components'=&gt;...
接口开发规范(RESTful api)和token(令牌),md5使用
weixin_58139900的博客
12-19 3686
目录 优点: 常用方法规范 路由如何定义 根据RESTful 进行接口开发 接口文档组成 Token使用 什么是JWT? 【了解】 token的使用规则 本地客户端(浏览器是常见客户之一 )存储技术有三种:【重点】 使用步骤 uuid和md5 API: API(Application Programming Interface,应用程序接口)是一些预先定义的接口(如函数、HTTP接口),或指软件系统不同组成部分衔接的约定。 RESTful规范,是目前一种比较流行的互联网软件设计规.
Yii2框架下构建RESTful API实战指南
Yii2框架中,RESTful API的开发是构建可扩展和灵活的Web服务的关键。RESTful风格的API遵循Representational State Transfer(表述性状态转移)原则,通过HTTP协议提供资源的操作。这种设计模式使得API易于理解和...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值