Yii2 RESTful API Auth Mechanism

最新推荐文章于 2021-11-01 17:27:50 发布
最新推荐文章于 2021-11-01 17:27:50 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Yii2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wjtlht928/article/details/46408019
版权
本文详细解析了Yii2 REST API中的HttpBearer、HttpBasic、QueryParam和Composite授权验证方式,包括验证原理、源码分析及使用示例,并讨论了不同验证方式的应用场景。同时,还介绍了如何配置CompositeAuth进行混合认证,以及如何实现自定义验证逻辑。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

| | | |~filters/
| | | | |~auth/
| | | | | |-AuthInterface.php
| | | | | |-AuthMethod.php
| | | | | |-CompositeAuth.php
| | | | | |-HttpBasicAuth.php
| | | | | |-HttpBearerAuth.php
| | | | | `-QueryParamAuth.php

一、HttpBearer 验证方式:

<?php
namespace app\controllers;
use yii\rest\ActiveController;
use yii\filters\auth\HttpBasicAuth;
use yii\helpers\ArrayHelper;
#use yii\filters\auth\CompositeAuth;
#use yii\filters\auth\HttpBasciAuth;
use yii\filters\auth\HttpBearerAuth;
#use yii\filters\auth\QueryParamAuth;

class UsersController extends ActiveController
{
    public $modelClass = 'app\models\User2';

	public function behaviors()
	{
		return ArrayHelper::merge(parent::behaviors(), [
			'authenticator' => [
				'class' => HttpBearerAuth::className(),
				#这个地方使用`ComopositeAuth` 混合认证
				#'class' => CompositeAuth::className(),
				#`authMethods` 中的每一个元素都应该是 一种 认证方式的类或者一个 配置数组
				//'authMethods' => [
					//HttpBasicAuth::className(),
					//HttpBearerAuth::className(),
					//QueryParamAuth::className(),
				//]
			]
		]);
	}

下面来分析相关的源码,看看 yii2/rest 是如何处理权限验证的。

<?php
/**
 * @link http://www.yiiframework.com/
 * @copyright Copyright (c) 2008 Yii Software LLC
 * @license http://www.yiiframework.com/license/
 */

namespace yii\filters\auth;

use Yii;
use yii\web\UnauthorizedHttpException;

/**
 * HttpBearerAuth is an action filter that supports the authentication method based on HTTP Bearer token.
 *
 * You may use HttpBearerAuth by attaching it as a behavior to a controller or module, like the following:
 *
 * public function behaviors()
 * {
 *     return [
 *         'bearerAuth' => [
 *             'class' => \yii\filters\auth\HttpBearerAuth::className(),
 *         ],
 *     ];
 * }
 * 
 * @author Qiang Xue <qiang.xue@gmail.com>
 * @since 2.0
 */
class HttpBearerAuth extends AuthMethod
{
    /**
     * @var string the HTTP authentication realm
     */
    public $realm = 'api';

    /**
     * @inheritdoc
     */
    public function authenticate($user, $request, $response)
    {
        $authHeader = $request->getHeaders()->get('Authorization');
        if ($authHeader !== null && preg_match("/^Bearer\\s+(.*?)$/", $authHeader, $matches)) {
            $identity = $user->loginByAccessToken($matches[1], get_class($this));
            if ($identity === null) {
                $this->handleFailure($response);
            }
            return $identity;
        }

        return null;
    }

    /**
     * @inheritdoc
     */
    public function handleFailure($response)
    {
        $response->getHeaders()->set('WWW-Authenticate', "Bearer realm=\"{$this->realm}\"");
        throw new UnauthorizedHttpException('You are requesting with an invalid access token.');
    }
}

要想顺利通过此验证,需要在 Header 中加入一项:
Authorization:Bearer ganiks-token

如果没有如上提供正确的access-token, 则会得到一个:

401 Unauthorized
Www-Authenticate:Bearer realm="api"

二、HttpBasic 验证方式:

class HttpBasicAuth extends AuthMethod
{
    /**
     * @var string the HTTP authentication realm
     */
    public $realm = 'api';
    /**
     * @var callable a PHP callable that will authenticate the user with the HTTP basic auth information.
     * The callable receives a username and a password as its parameters. It should return an identity object
     * that matches the username and password. Null should be returned if there is no such identity.
     *
     * The following code is a typical implementation of this callable:
     *
     * function ($username, $password) {
     *     return \app\models\User::findOne([
     *         'username' => $username,
     *         'password' => $password,
     *     ]);
     * }
     *
     * If this property is not set, the username information will be considered as an access token
     * while the password information will be ignored. The [[\yii\web\User::loginByAccessToken()]]
     * method will be called to authenticate and login the user.
     */
    public $auth;


    /**
     * @inheritdoc
     */
    public function authenticate($user, $request, $response)
    {
        $username = $request->getAuthUser();
        $password = $request->getAuthPassword();

        if ($this->auth) {
            if ($username !== null || $password !== null) {
                $identity = call_user_func($this->auth, $username, $password);
                if ($identity !== null) {
                    $user->switchIdentity($identity);
                } else {
                    $this->handleFailure($response);
                }
                return $identity;
            }
        } elseif ($username !== null) {
            $identity = $user->loginByAccessToken($username, get_class($this));
            if ($identity === null) {
                $this->handleFailure($response);
            }
            return $identity;
        }

        return null;
    }

    /**
     * @inheritdoc
     */
    public function handleFailure($response)
    {
        $response->getHeaders()->set('WWW-Authenticate', "Basic realm=\"{$this->realm}\"");
        throw new UnauthorizedHttpException('You are requesting with an invalid access token.');
    }
}

如果要顺利通过此验证,有2种方式:

  1. access-token 作为 Basci Authusername 一起请求,至于password则不必管
  2. 定义下 use yii\filters\auth\HttpBasciAuth$auth为一个验证的方法,来根据请求中的username:password来返回一个 identity

默认的, $auth是没有定义的,此时,在Header中加入:
Authorization:Basic Z2FuaWtzLXRva2VuOg==
这个码是由username: ganiks-token 经过base64编码得到的,可以得到正确的响应
反而是用username:password(正确的)也无法得到响应

第二种方式,
可以配置 use yii\filters\auth\HttpBasciAuth$auth 为一个 callable如下:

	public $auth;
	public function auth ($username, $password) {
		return \app\models\User2::findOne([
			'username' => $username,
			'password' => $password,
		]);
	}

这里是个遗留问题,http://www.yiiframework.com/forum/index.php/topic/56916-how-to-define-a-callable-variable-for-a-class/

下面是一个临时的解决方案,使用 username:password_hash验证
<?php
/**
 * @link http://www.yiiframework.com/
 * @copyright Copyright (c) 2008 Yii Software LLC
 * @license http://www.yiiframework.com/license/
 */

namespace yii\filters\auth;

use Yii;
use yii\web\UnauthorizedHttpException;
class HttpBasicAuth extends AuthMethod
{
	public $auth;

	public function auth ($username, $password) {
		return \app\models\User2::findOne([
			'username' => $username,
			'password_hash' => $password,
		]);
	}


    /**
     * @inheritdoc
     */
    public function authenticate($user, $request, $response)
    {
        $username = $request->getAuthUser();
        $password = $request->getAuthPassword();

        if ($this->auth($username, $password)) {
            if ($username !== null || $password !== null) {
                //$identity = call_user_func($this->auth, $username, $password);
                $identity = $this->auth($username, $password);
                if ($identity !== null) {
                    $user->switchIdentity($identity);
                } else {
                    $this->handleFailure($response);
                }
                return $identity;
            }
        } elseif ($username !== null) {
            $identity = $user->loginByAccessToken($username, get_class($this));
            if ($identity === null) {
                $this->handleFailure($response);
            }
            return $identity;
        }

        return null;
    }

    /**
     * @inheritdoc
     */
    public function handleFailure($response)
    {
        $response->getHeaders()->set('WWW-Authenticate', "Basic realm=\"{$this->realm}\"");
        throw new UnauthorizedHttpException('You are requesting with an invalid access token.');
    }
}

三、QueryParam 验证方式:

此方式最简单,只需要在请求的URL后面加上?access-toekn=ganiks-token即可验证

class QueryParamAuth extends AuthMethod
{
    /**
     * @var string the parameter name for passing the access token
     */
    public $tokenParam = 'access-token';

    /**
     * @inheritdoc
     */
    public function authenticate($user, $request, $response)
    {
        $accessToken = $request->get($this->tokenParam);
        if (is_string($accessToken)) {
            $identity = $user->loginByAccessToken($accessToken, get_class($this));
            if ($identity !== null) {
                return $identity;
            }
        }
        if ($accessToken !== null) {
            $this->handleFailure($response);
        }

        return null;
    }

    /**
     * @inheritdoc
     */
    public function handleFailure($response)
    {
        throw new UnauthorizedHttpException(Yii::t('yii', 'You are requesting with an invalid access token.'));
    }

四、compositeAuth综合验证方式:

class CompositeAuth extends AuthMethod
{
    /**
     * @var array the supported authentication methods. This property should take a list of supported
     * authentication methods, each represented by an authentication class or configuration.
     *
     * If this property is empty, no authentication will be performed.
     *
     * Note that an auth method class must implement the [[\yii\filters\auth\AuthInterface]] interface.
     */
    public $authMethods = [];


    /**
     * @inheritdoc
     */
    public function beforeAction($action)
    {
        return empty($this->authMethods) ? true : parent::beforeAction($action);
    }

    /**
     * @inheritdoc
     */
    public function authenticate($user, $request, $response)
    {
        foreach ($this->authMethods as $i => $auth) {
            $this->authMethods[$i] = $auth = Yii::createObject($auth);
            if (!$auth instanceof AuthInterface) {
                throw new InvalidConfigException(get_class($auth) . ' must implement yii\filters\auth\AuthInterface');
            }

            $identity = $auth->authenticate($user, $request, $response);
            if ($identity !== null) {
                return $identity;
            }
        }

        if (!empty($this->authMethods)) {
            /* @var $auth AuthInterface */
            $auth = reset($this->authMethods);
            $auth->handleFailure($response);
        }

        return null;
    }
Authorization Mechanisms(认证机制)
马辉的专栏
04-05 1256
The first method is to use the section of the Web.config file to control access to filesand folders:authorization>allow roles=”Members”/>=”?”/>> This configuration only allows the users in th
Django 鉴权 - 利用 djangorestframework_simplejwt
IT技术讨论
08-07 8049
安装 pip install djangorestframework_simplejwt 设置 settings.py 设置: REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework_simplejwt.authentication.JWTAuthentication', ], } 路由配置: from...
yii2项目实战-restful api之授权验证
lhorse003的博客
03-15 1万+
什么是restful风格的api呢?我们之前有写过大篇的文章来介绍其概念以及基本操作。 既然写过了,那今天是要说点什么吗? 这篇文章主要针对实际场景中api的部署来写。 我们今天就来大大的侃侃那些年api遇到的授权验证问题!独家干活,如果看完有所受益,记得不要忘记给我点赞哦。 业务分析 我们先来了解一下整个逻辑 用户在客户端填写登录表单用户提交表单,客户端请求登
Yii2 用户使用登录组件token验证
廖圣平
11-01 1169
当我在查阅 Yii文档的行为中,看到: yii\behaviors\BlameableBehavior - 使用当前用户 ID 自动填充指定的属性。 在Laravel 中,获取认证用户调用的是Auth::user 即可获取当前登录用户。 在Yii中,用户这块文档中好像没有看到,做一下记录。 在继承的Controller中创建一个 guard ,在Yii 中用行为可实现: public function behaviors() { $behaviors = parent::b
Yii2认证授权源码解读
illusion_you的博客
12-24 1037
在现在的开发中,大多数的应用是采用前后端分离的方式进行开发的,这样可以灵活的适应多种客户端。但是,问题也来了,安全在这个时候就很重要了。当然,yii已经给我们提供了现成的认证授权,使用起来很方便。但是,有时候也不是完全能够满足我们的实际需求,这个时候就需要我们自己来重写来修改了。前提是,我们要对这个框架有足够的了解。  好了,废话不多说,带你一起来解读下,先来了解了解认证授权模块的代码结构(如下...
Error: MySQL server is requesting the old and insecure pre-4.1 auth mechanism.
LeeKwen的专栏
08-06 4828
Error: MySQL server is requesting the old and insecure pre-4.1 auth mechanism.Upgrade the user password or use the {insecureAuth: true} option.     at Handshake.UseOldPasswordPacket (/usr/local/nodej
mongodb php auth,mongodb 3.0改变了authMechanism
weixin_33109551的博客
03-22 882
我想尝试使用mongo db与PHP . 如果我使用mongodb与cli我没有问题连接,使用和身份验证 .但是当我使用php MongoClient时$db=new MongoClient("mongodb://localhost:27017",array("username" => "ehc","password" => "pippo"));$db->selectDB("eh...
yii2restful api路由实例详解
01-02
使用yii\rest\UrlRule来自动映射控制器的 restful 路由,简单快捷,缺点是必须得按规定好的方法名去写业务。 映射的规则如下,当然,你可以修改源码为你的习惯: public $patterns = [ 'PUT,PATCH {id}' => '...
Yii2框架RESTful API 格式化响应,授权认证和速率限制三部分详解
10-21
本文将深入讨论Yii2框架中的RESTful API相关功能,包括格式化响应、授权认证和速率限制三个核心部分。对于希望深入了解Yii2 RESTful API开发的读者而言,这些内容无疑是重要且实用的。 一、目录结构 在Yii2框架中,...
Authentication Mechanisms
BLOG域名:programb.blog.youkuaiyun.com
04-22 609
RabbitMQ Features Get Started Support Community Docs Blog Authentication mechanisms are now documented in the Access Control guide. Getting Help and Providing Feedback If you have questions about the...
基于python impyla的hive客户端
热门推荐
Thinkgamer博客
09-21 1万+
impyla,基于thrift,利用python和hive进行交互
Spring+MongoDB验证安全的配置
芒果的博客
06-05 2639
Spring+MongoDB验证安全的配置 引言:在网上搜到的很多MongoDB安装教程都没有关于用户角色身份的验证安全策略的相关配置以及说明,所以这样安装的MongoDB其实相当于在网络上 “裸奔” 式的运行,而MongoDB本身又存在一些漏洞,会存在被黑客攻击(“偷走”数据并删库要挟比特币)的事情发现… 两种配置方式(本人已知的) 其他配置 相关资料链接 mongodb在sp...
Python连接hive数据中遇到的各种坑
weixin_38507462的博客
08-01 2979
这里选择的是使用:impala+Python3.6来连接hive数据库 from impala.dbapi import connect from impala.util import as_pandas conn = connect(host='192.168.118.118', port=10000, user='root', database='default', password='root', auth_mechanism ='PLAIN') cursor = conn.cursor().
yii2 restful HttpHeaderAuth header 请求发送参数
weixin_30558305的博客
08-21 753
控制器添加 public function behaviors(){ $behaviors = parent::behaviors(); $behaviors['authenticator'] = [ 'class' => HttpBearerAuth::className(), ]; return $behaviors;} yii\filte...
禁用AMQP配置中的明文身份验证机制--漏洞解决方法
zmlsh的专栏
10-06 1万+
RABBITMQ漏洞描述: 远程高级消息队列协议(AMQP)服务支持一种或多种允许以明文形式发送凭据的身份验证机制。 修改建议: 禁用AMQP配置中的明文身份验证机制。 具体操作: 1.查看mq环境 rabbitmqctl environment 可看到, auth_mechanisms默认的配置为PLAIN和AMQPLAIN。 2.修改mq配置文件 配置文件位置: 本文 Ubuntu 配置文件在/etc/rabbitmq/rabbitmq.conf目录。 [{rab...
Yii2 Restful API 原理与实践解析
"本文将深入探讨Yii2框架中对Restful API的支持,主要涉及Yii2Restful API原理、实现方式以及在实际应用中的注意事项。通过分析相关源码,我们将了解如何利用Yii2轻松构建RESTful服务,同时关注如何处理关联模型的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值