在配置中如有问题:加Q405420415,有问必答。
一. yii2.0几种授权的介绍
RESTful APIs 通常是无状态的, 也就意味着不应使用 sessions 或 cookies, 因此每个请求应附带某种授权凭证,因为用户授权状态可能没通过 sessions 或 cookies 维护, 常用的做法是每个请求都发送一个秘密的 access token 来认证用户, 由于 access token 可以唯一识别和认证用户, API 请求应通过 HTTPS 来防止 man-in-the-middle(MitM)中间人攻击。
/*以上摘自YII中国官方文档*/
下面有几种方式(稍微自己整理下,感觉看起来更容易理解点):
- HttpBasicAuth:在请求的头添加Authorization(即:Authorization: "Basic 用户名和密码的base64加密字符串" )
- HttpBearerAuth:在请求的头添加Authorization(即:Authorization: "Bearer access-token" )
- QueryParamAuth:在URL结尾添加GET参数access-token(即:
https://demo.com/users?access-token=xxxxxxxx
)
二. 详细的配置
① 重写common/user/models的findIdentityByAccessToken方法