这篇文章主要例举 认证、权限控制、响应格式与多语言、模块 几个常用配置,喜欢的朋友请点赞、收藏、关注。
为什么写在配置文件中?
文章里讲的大部分是基于main配置,配置在主体上,更好维护。
- 多模块化背景下,写在parent控制器不利于对各个模块的控制
- 写在parent控制器太分散,太多的分散配置,不利于维护
- 写在配置中,方便对整个项目把控以及调整,方便维护
main.php
全局配置
一下几个常用配置:
components.request.parsers
配置,请求头是application/json时配置components.user.loginUrl=null;
关闭登录地址认证失败时,系统自动跳转loginUrl,作为API自动跳转到登录操作时可能会触发多次beforeAction验证modules.[]
配置模块,也可以访问权限,如果模块有自己的独立权限管理,那么顶级配置就可以设置跳过这个模块路由as contentNegotiator
配置根据请求响应格式和多语言,这个对国际化功能很管用,自动识别请求语言,然后自动调整系统的语言,一个扩展就搞定as corsFilter
配置跨域,可以这对路由特殊配置,特别强大as basicAuth
配置认证,配合user做自动token等登录状态验证,也可以跳过特殊路由as access
访问控制,整体权限、角色访问控制,也可以跳过特殊路由,比如login等,如果某些特殊控制器需要单独控制,则可以在需要的控制器中再次加入,然后把这个控制器路由在顶层配置中放开限制
注意:后面几个as行为控制的顺序,响应格式配置=》跨域=》token状态认证=》访问权限控制,根据自己项目需要调整,但是正常情况都是这样的。
<?php
use yii\filters\ContentNegotiator;
use yii\web\Response;
$params = array_merge(
require __DIR__ . '/../../common/config/params.php',
require __DIR__ . '/../../common/config/params-local.php',
require __DIR__ . '/params.php',
require __DIR__ . '/params-local.php'
);
return [
'id' => 'app-demo',
'basePath' => dirname(__DIR__),
'bootstrap' => ['log'],
'controllerNamespace' => 'demo\controllers',
'components' => [
'request' => [
'csrfParam' => '_csrf-demo',
//请求json解析器
'parsers' => [
'application/json' => 'yii\web\JsonParser',
],
],
'user' => [
'identityClass' => 'common\models\User',
'enableAutoLogin' => true,
'identityCookie' => ['name' => '_identity-demo', 'httpOnly' => true],
//关闭自动跳转到loginUrl
'loginUrl' => null,
],
'session' => [
// this is the name of the session cookie used for login on the demo
'name' => 'advanced-demo',
],
'log' => [
'traceLevel' => YII_DEBUG ? 3 : 0,
'targets' => [
[
'class' => \yii\log\FileTarget::class,
'levels' => ['error', 'warning'],
],
],
],
'errorHandler' => [
'errorAction' => 'site/error',
],
'urlManager' => [
'enablePrettyUrl' => true,
'showScriptName' => false,
'rules' => [
],
],
],
'modules' => [
'rabc' => [
'class' => \common\modules\rabc\Module::class,
'as access' => [
'class' => \yii\filters\AccessControl::class,
'except' => ['*'],
],
]
],
//响应格式以及多语言
'as contentNegotiator' => [
'class' => ContentNegotiator::class,
'formats' => [
'application/json' => Response::FORMAT_JSON,
'application/xml' => Response::FORMAT_XML,
'text/html' => Response::FORMAT_HTML,
],
],
//跨域,写在这里避免类似于404等操作不存在时,跳过cors过滤
'as corsFilter' => ['class' => \yii\filters\Cors::class,],
//登录认证
'as basicAuth' => [
'class' => \yii\filters\auth\HttpBearerAuth::class,
'optional' => [
'demo/index',
],
],
//访问控制
'as access' => [
'class' => \yii\filters\AccessControl::class,
'except' => ['login/account'],
],
'params' => $params,
];
bootstrap.php
系统配置
这里主要配置依赖注入,服务定位等,由于主体组件未启动,其他Yii::$app等的配置无效
//修改分页的一些参数
\Yii::$container->set('yii\data\Pagination', [
'pageParam' => 'current',
'pageSizeParam' => 'pageSize',
'pageSizeLimit' => [1, 100],
]);
//修改默认的序列化类,响应格式兼容给客户端
\Yii::$container->set('yii\rest\Serializer', [
'class' => 'common\helper\api\AntdSerializer',
'collectionEnvelope' => 'data',
]);
//修改默认登录认证参数,这个这里是全局控制的,如果要在parentController控制也行
\Yii::$container->set('yii\filters\auth\CompositeAuth', [
'authMethods' => [
[
'class' => 'yii\filters\auth\HttpBearerAuth',
]
],
]);
//或则其他
其他权限控制
一般写在控制器中,也可以写在parent控制器中,注意部分过滤器是操作过滤器
,一下案例是针对特殊控制器进行单独设置
//行为控制 请求的method限制,继承了rest/Controller ,可以直接使用verbs()方法配置
'verbs' => [
'class' => VerbFilter::className(),
'actions' => [
'delete' => ['POST'],
'create' => ['POST'],
],
],
//登录限制,如果整体项目都需要登录,可以在parent里面直接设置为全局要求登录,
//然后再在子控制器中特别处理特别action
'access' => [
'class' => AccessControl::class,
'only' => ['login', 'logout', 'signup'],
'rules' => [
[
'allow' => true,
'actions' => ['login', 'signup'],
'roles' => ['?'],
],
[
'allow' => true,
'actions' => ['logout'],
'roles' => ['@'],
],
]