yii2 api认证与授权

最新推荐文章于 2024-04-20 09:56:59 发布
最新推荐文章于 2024-04-20 09:56:59 发布
阅读量979 收藏 2
点赞数
分类专栏: 小程序 php+mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyb8010/article/details/87258064
版权

一、API认证的实现:可以让用户在客户端进行登录认证

步骤1:api/config/main.php  去掉cookie,session,将common\models\user改为common\models\Adminuser,增加'enableSession' => false,去掉identityCookie及session设置

return[
	'components'=>[
		'user' => [
			'identityClass' => 'common\models\Adminuser',
			'enableAutoLogin' => true,
			'enableSession' => false,
			//'identityCookie' => ['name' => '_identity-backend', 'httpOnly' =>true]
		],
		//'session' => [
			//'name' =>'advaced-backend',
		//]
	]


]

步骤2: 获得AccessToken
A、准备好需要用到的文件
包括认证类Adminuser文件(复制common/models/user.php为common/models/Adminuser.php),在代码底部加上以下代码:

public function generateAccessToken(){
	$this->access_token = Yii::$app->security->generateRandomString();
	return $this->access_token;
}


控制器文件,命名为AdminuserController,实现了登录的末端,规定了总体的登录流程

namespace api\controllers;

use yii\rest\ActiveController;
use yii\data\ActiveDataProvider;
use api\models\ApiLoginForm;

class AdminuserController extends ActiveController{
	public $modelClass= 'common\models\Adminuser';

	public function actionLgoin(){
		$mode =new ApiLoginForm();

		$model->username = $_POST['username'];
		$model->password = $_POST['password'];

		if($model->login()){
			return['access_token'=>$model->login()];
		}else{
			$model->validate();
			return $model;
		}
	}
}


后台用到的登录表单模型类ApiLoginForm(复制common/models/(Admin)LoginForm.php到api/models/apiLoginForm.php),修改login()函数
 

<?php
namespace api\models;

use Yii;
use yii\base\Model;
use common\models|Adminuser;

/**
 * Login form
 */
class AdminLoginForm extends Model
{
    public $username;
    public $password;


    private $_user;


    /**
     * {@inheritdoc}
     */
    public function rules()
    {
        return [
            // username and password are both required
            [['username', 'password'], 'required'],
            // password is validated by validatePassword()
            ['password', 'validatePassword'],
        ];
    }

    /**
     * Validates the password.
     * This method serves as the inline validation for password.
     *
     * @param string $attribute the attribute currently being validated
     * @param array $params the additional name-value pairs given in the rule
     */
    public function validatePassword($attribute, $params)
    {
        if (!$this->hasErrors()) {
            $user = $this->getUser();
            if (!$user || !$user->validatePassword($this->password)) {
                $this->addError($attribute, 'Incorrect username or password.');
            }
        }
    }

    /**
     * Logs in a user using the provided username and password.
     *
     * @return bool whether the user is logged in successfully
     */
    public function login()
    {
        if ($this->validate()) {
            //return Yii::$app->user->login($this->getUser(), $this->rememberMe ? 3600 * 24 * 30 : 0);
        	$accessToken = $this->_user->generateAccessToken();
        	$this->_user->save();
        	return $accessToken
        }
        
        return false;
    }

    /**
     * Finds user by [[username]]
     *
     * @return User|null
     */
    protected function getUser()
    {
        if ($this->_user === null) {
            $this->_user = User::findByUsername($this->username);
        }

        return $this->_user;
    }
}

B、客户端测试AccessToken

添加url美化规则

['class'=>'yii\rest\UrlRule',
	'controller'=>'adminuser',
	'except'=>['delete','create','update','view'],
	'pluralize'=>false,
	'extraPatterns'=>[
		'POST login' => 'login',
	],
],

小程序客户端

bindLoginTap: function(){
	var page =this;
	wx.request({
		usrl: 'http://api.apitpl.dev/adminuser/login',
		header:{
			'Content-Type':'application/x-www-form-urlencoded'
		}
		method:'POST',
		data:{
			username:"weixi",
			password:"123456"
		},
		success:function(res){
			console.log(res.data)
		}
	})
}


二、认证状态的维持:认证成功后,客户端调用服务端的API程序时,能保持认证状态。

A、api/controllers/ArticleController.php添加QueryParamAuth过滤器

public function behaviors(){
	return ArrayHelper::merge(parent::behaviors(),[
		'authenticatior' => [
			'class' => QueryParamAuth::className()
		]
	]);
}

B、common/models/Adminuser.php修改以下代码

public static function findIdentityByAccessToken($token, $type = null){
	return static::findOne(['access_token'=>$token]);
}

C、客户端代码

bindAuthReadTap: function(){
	var page =this;
	wx.request({
		usrl: 'http://api.apitpl.dev/articles?access-token=jkfa78676899766sdf',
		header:{
			'Content-Type':'application/json'
		}
		method:'GET',
		data:{
			page:1
		},
		success:function(res){
			page.setData({motto:res.data.content})
			console.log(res.data)
		}
	})
}

D、

认证类:adminuser,user,或单独建认证类
认证方式:1)请求参数:用QueryParamAuth过滤器来实现认证  2)HTTP基本认证:HTTP规范中所制定的最基本的认证方式  3) OAuth2:是一种为用户授权提供的、安全的、开放和简易的协议。
安全问题:用https来访问服务端,给令牌增加访问过期时间,http动词避免使用get而是用POST


三、API的授权:能根据RBAC的授权数据,检查发出API请求的客户端用户是否有权执行他请求的功能

1、安装yii2-admin:插件是一个配合yii2的rbac组件进行可视化管理工具
2、实现后台入口的授权功能:用yii2-admin插件实现后台应用的RBAC授权功能,在后台建立授权数据。
3、实现API应用的授权:实现API应用的RBAC授权功能,API应用共享后台应用生成的授权数据。


四、用户注册:完成注册的接口程序,让游客能在API客户端注册成为用户。

Robin罗兵
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
yii2实现token认证(源码分析)
KBellX的博客
05-11 6081
笔者在学习用yii2写restful api的token认证部分遇到困难,官网教程没看懂~,解决后,记录之。 yii的RESTful 授权认证 官方教程链接,大概意思如下: yii2提供了3种验证token方式,需要在具体控制器指定使用哪种(也可以都使用),这里以QueryParams方式为例,即通过$_GET参数方式接受token,代码如下: public function beh...
Yii2框架之使用Restful自定义Api以及用户的授权认证
夜莺的博客
03-13 3533
前言百度上的许多Yii2框架的资料都是相互转发,看得我头晕,虽然官方文档上有讲的很全面,但是有些坑还是要自己去踩才会明白的.于是打算记几记录一下,方便以后查阅.本篇的主要内容是Yii2 RESTful Api的配置以及自定义Api和用户的授权认证.本文所使用的开发环境是Ubuntu17.10+php7.1+Apache2.4+PhpStorm,用到的测试工具为Postman本地ip为192.168...
推荐一款强大的Yii2 RESTful API模板:Michaelweixi的Yii2-RESTful-API-Template
最新发布
gitblog_00054的博客
04-20 236
推荐一款强大的Yii2 RESTful API模板:Michaelweixi的Yii2-RESTful-API-Template 项目地址:https://gitcode.com/michaelweixi/Yii2-RESTful-API-Template 项目简介 在软件开发中,API(应用程序编程接口)扮演着至关重要的角色,特别是在构建现代Web服务和移动应用时。Yii2-RESTful-AP...
Yii2.0 RESTful API 认证教程
weixin_34248705的博客
09-11 151
认证介绍 和Web应用不同,RESTful APIs 通常是无状态的, 也就意味着不应使用 sessions 或 cookies, 因此每个请求应附带某种授权凭证,因为用户授权状态可能没通过 sessions 或 cookies 维护, 常用的做法是每个请求都发送一个秘密的 access token 来认证用户, 由于 access token 可以唯一识别和认证用户,API 请求应通过 HTTP...
yii2用户的认证授权
wuhuagu_wuhuaguo的博客
05-07 4540
一、用户认证(1)配置组件,并实现组件对应的接口类比较好的做法:frontend/config/main.php 配置app\models\User,backend/config/main.php 配置app\models\Adminuser//frontend/config/main.php return [ 'components' =&gt; [ 'user' =&g...
yii2高级版,退出的时候报400错误。
一杯苦恰啡的博客
05-15 541
前后台分理离需要在各自的配置文件main.php中设置component的user组件中identityCookie参数和idParam参数,否则当管理员登录了前台的账号的时候,再登录后台,前台账号的会话信息会被覆盖。 前台frontend配置如下:components=>[ 'user'=>[ 'identityClass' => 'frontend\models\Use
Yii2框架RESTful API 格式化响应,授权认证和速率限制三部分详解
10-21
今天通过本文给大家讲下Yii2 RESTful的格式化响应,授权认证和速率限制三个部分,对yii2 restful api相关知识感兴趣的朋友一起看看吧
Yii2 RESTful中api的使用及开发实例详解
10-22
6. **权限和认证**:为了保护API,我们还需要考虑认证授权Yii2提供了如RBAC(Role-Based Access Control)等机制,可以限制不同用户对API资源的访问权限。 7. **错误处理和响应格式**:API应返回结构化的错误...
yii-apiYii REST API框架
02-05
5. **身份验证与授权**:REST API通常需要安全机制,如基本认证、OAuth2、JWT等。Yii提供了内置的身份验证组件,可以轻松集成到API中。 6. **过滤器与中间件**:Yii中的过滤器和中间件允许在处理请求和响应之前或...
yii2医疗实例
12-13
1. **用户认证授权**:Yii2提供了强大的身份验证和权限控制机制,如RBAC(角色基础访问控制)。在医疗系统中,这可以确保不同级别的医生、护士和患者只能访问他们被授权的数据。 2. **数据库操作**:Yii2的Active...
yii2 RESTful API(一)
梦情与你的博客
04-18 1713
今天我们简单搭建一个RESTful API服务,yii2 是个好东西,做接口更方便一些。 废话少说,现在开始了。 一 、首先我们要进行一下文件配置
Yii2启动Restful风格Api接口,用于前后端分离项目或者对外的第三方Api接口
qq_38828542的博客
05-22 209
使用高级Yii2模板:yii2-app-advanced 原因:建立Restful的Api相当于一个独立的项目,如backend(后端)、frontend(前端),又因为Api与后端项目相识度高,只是封装方法对外暴露,因此需要复制一份backend,重命名为api项目,放在根目录,与backend、frontend、common等同级。 一、准备工作  1、下载安装集成工具,如 wampServ...
yii2.0 高级版,restful api使用和认证
angelo_gs的博客
10-20 392
yii2.0 高级版 restful api使用和认证 1、复制任意个目录(backend)为api 2、打开api下的main.php 修改 id=>app-api,'controllerNamespace' => 'api\controllers', 'identityClass' => 'app\models\User'(用户认证,暂无用),'errorAction' => 'exception/errorr',(修改错误处) 注意:每一个方法都需要在extraPa.
Yii2 用户使用登录组件token验证
廖圣平
11-01 1062
当我在查阅 Yii文档的行为中,看到: yii\behaviors\BlameableBehavior - 使用当前用户 ID 自动填充指定的属性。 在Laravel 中,获取认证用户调用的是Auth::user 即可获取当前登录用户。 在Yii中,用户这块文档中好像没有看到,做一下记录。 在继承的Controller中创建一个 guard ,在Yii 中用行为可实现: public function behaviors() { $behaviors = parent::b
yii2配置api模块
DamnCode的博客
07-31 859
1、在项目下添加目录weChatApi 2、在common/config/bootstrap.php文件添加一行代码: Yii::setAlias( '@wecChatApi' , dirname( dirname( __DIR__ ) ) . '/weChatApi' ); 3、在weChatApi里面创建如下目录: 4、修改/etx/nginc/conf.d/default.conf添加如下...
yii2进行注册接口+登录接口+带token就能登录+登录后的到底是谁?(一个人使用的版本)接口:
qq_37805832的博客
11-23 1699
第一步: 注册:核心代码: /*注册*/ /* $request = \Yii::$app->request; $username = $request->post('username'); $password = $request->post('password'); \Yii::$app->db->createCommand()->insert('user', [ 'username'
yii2给app写接口(下)
05-13 157
上一节里我们讲了如何用Yii2搭建一个能够给App提供数据的API后台应用程序。那么今天我们就来探讨下授权认证和通过API接口向服务器提交数据以及如何控制API接口返回那些数据,不能返回那些数据。 授权认证 业务分析 我们先来了解一下整个逻辑 用户在客户端填写登录表单 用户提交表单,客户端请求登录接口login 服务端校验用户的帐号密码,并返回一个有效的token给客...
yii2-搭建RESTful Api授权认证(二)
WatermelonMk的博客
03-05 851
在配置中如有问题:加Q405420415,有问必答。 一. yii2.0几种授权的介绍 RESTful APIs 通常是无状态的, 也就意味着不应使用 sessions 或 cookies, 因此每个请求应附带某种授权凭证,因为用户授权状态可能没通过 sessions 或 cookies 维护, 常用的做法是每个请求都发送一个秘密的 access token 来认证用户, 由于 access...
yii2中restful url访问配置, 登陆接口access-token验证类
拔萝卜的码农
03-22 4429
登陆接口access-token验证类 Controller下新建BaseActiveController.php /** *接口登陆验证 * @author 爱博 * 1.0 * */ namespace backend\controllers; use yii\filters\auth\CompositeAuth; use yii\filters\auth\HttpBasic
yii2 api接口开发rbac实例
11-29
以下是使用Yii2进行API接口开发的RBAC实例: 1.首先,您需要安装Yii2框架并创建一个新的Yii2应用程序。 2.然后,您需要安装Yii2的RBAC扩展。您可以通过在终端中运行以下命令来完成此操作: ```shell composer require "yiisoft/yii2-rbac:*" ``` 3.接下来,您需要配置您的应用程序以使用RBAC扩展。您可以在您的应用程序配置文件中添加以下内容: ```php 'components' => [ 'authManager' => [ 'class' => 'yii\rbac\DbManager', ], ], ``` 4.然后,您需要创建RBAC权限和角色。您可以在控制台中运行以下命令来完成此操作: ```shell ./yii rbac/init ``` 5.接下来,您需要创建一个控制器来处理API请求。您可以使用以下代码作为示例: ```php namespace app\controllers; use yii\rest\ActiveController; use yii\filters\auth\HttpBearerAuth; class PostController extends ActiveController { public $modelClass = 'app\models\Post'; public function behaviors() { $behaviors = parent::behaviors(); $behaviors['authenticator'] = [ 'class' => HttpBearerAuth::className(), ]; return $behaviors; } public function checkAccess($action, $model = null, $params = []) { if ($action === 'create' || $action === 'update' || $action === 'delete') { if (!\Yii::$app->user->can('managePosts')) { throw new \yii\web\ForbiddenHttpException('You are not allowed to perform this action.'); } } } } ``` 6.最后,您需要定义RBAC权限和角色。您可以使用以下代码作为示例: ```php $auth = Yii::$app->authManager; // 添加 "managePosts" 权限 $managePosts = $auth->createPermission('managePosts'); $managePosts->description = 'Manage posts'; $auth->add($managePosts); // 添加 "admin" 角色并赋予 "managePosts" 权限 $admin = $auth->createRole('admin'); $auth->add($admin); $auth->addChild($admin, $managePosts); // 将 "admin" 角色分配给用户 $auth->assign($admin, 1); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值