yii2-restful的全局认证和局部认证的接口设置

最新推荐文章于 2024-04-20 09:56:59 发布
最新推荐文章于 2024-04-20 09:56:59 发布
阅读量5.8k 收藏 6
点赞数 1
分类专栏: yii2框架 文章标签: yii2 restful 授权认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012979009/article/details/54409715
版权
yii2在使用restful作为接口的时候,yii\rest\Controller中已经把全局的csrf验证设置为false,

public $enableCsrfValidation = false;

也就是在post数据的时候,不会在进行_csrf参数的验证。

那么在开发restful接口的时候,比如一个app的服务端restful接口,用户分为游客和登录用户,一开始,游客打开这个app的时候,他并没有登录,只是游客身份来访问,那么这时候,app的页面必须的有内容显示,这些内容就是通过restful接口返回的json数据。

所以这些不需要token认证的restful接口就必须设置可以直接访问内容,无需认证,当然这也就是权限设置。

当一个游客点击app的一个tag,例如“我”,那么对于关于“我”的这个接口,在服务端肯定是要判断用户是否登录了,这个接口只有登录用户才能使用,所以就需要进行token的认证。

总的来说,也就是一些restful接口请求的内容呢,公共开放的内容不管是什么身份,只要访问了都可以有权限访问,不需认证。而对于一些属于私人的内容呢,就必须要登录了,通过认证了才能访问。

在yii2的restful中,我们可以设置三种安全认证的方式,参考:
http://www.yiichina.com/doc/guide/2.0/rest-authentication

第一种情况, 使用 HTTP Basci Auth

use yii\helpers\ArrayHelper;
use yii\filters\auth\HttpBasicAuth;

public function behaviors()
{	
	$parent = parent::behaviors();

    	$parent['authenticator'] => [
        'class' => HttpBasicAuth::className(),

        /**
        如果设置了这个auth,就会按照这个auth进行认证,可以查看yii\filters\auth\HttpBasicAuth源码,
        如果没设置这个属性,那么就会使用access-tokend的方式实现,$username作为access-token,
        使用main.php配置中的User组件类实现,而且User组件类类中必须设置loginByAccessToken()函数实现。
        所以,如果使用HttpBasicAuth的话,强烈建议设置auth属性
        */
        'auth' => function ($username, $password) {
	        return \app\models\User::findOne([
	            'username' => $username,
	            'password' => $password,
	        ]);
	    }
    ]
}


第二种情况是access-token的方式

 
use yii\helpers\ArrayHelper;
use yii\filters\auth\QueryParamAuth;

public function behaviors()
{ 
$parent = parent::behaviors();

    $parent['authenticator'] => [
                'class' => QueryParamAuth::className(),
                // 设置token名称,默认是access-token
                'tokenParam' => 'token'
            ]
}


下面看一下yii\filters\auth\QueryParamAuth的authenticate()

 
public function authenticate($user, $request, $response)
    {
        $accessToken = $request->get($this->tokenParam);
        if (is_string($accessToken)) {
            $identity = $user->loginByAccessToken($accessToken, get_class($this));
            if ($identity !== null) {
                return $identity;
            }
        }
        if ($accessToken !== null) {
            $this->handleFailure($response);
        }

        return null;
    }

当我们请求的时候,将会获取到这个$accessToken = $request->get($this->tokenParam)的值。

然后调用$user->loginByAccessToken()这个组件的loginByAccessToken()去进行验证,$user也就是我们在配置文件中配置的认证的User组件,对应的class,在这里我设置的是api\models\User,也就是这个User类必须实现loginByAccessToken()这个函数,函数里面具体的业务自己定义了。

第三种方式就不说了。

当在一个restful的控制器中的

public function behaviors()  {

}

设置了以上的认证方式,那么就会开启整个认证,也就是访问这个控制器的每一个请求的action都会进行验证,也就是全局验证。

所以,根据上面说的一些业务,我们知道有一些内容,是任意用户都可以看的,不需要登录,不需要认证的,但现在问题是只要设置了认证方式,不管哪个restful接口请求都要认证,也就是全局认证,那怎么办?

对此,我们就必须能够在behaviors()进行一些设置,比如定义一些需要登录和认证的才能访问的函数action有哪些,然后与当前访问的操作action进行比较即可。

 
 function behaviors() {
        $behaviors = parent::behaviors();
        
        // 当前操作的id
        $currentAction = Yii::$app->controller->action->id;

        // 需要进行认证的action
        $authActions = ['index'];

        // 需要进行认证的action就要设置安全认证类
        if(in_array($currentAction, $authActions)) {

            $behaviors['authenticator'] = [
                'class' => QueryParamAuth::className(),
            ];
        }
        return ArrayHelper::merge([
            //设置可以接收访问的域和方法。
            [
                'class' => Cors::className(),
                'cors' => [
                    'Origin' => ['*'],
                    // 'Access-Control-Request-Method' => ['GET', 'HEAD', 'OPTIONS'],
                    'Access-Control-Request-Headers' => ['Origin', 'X-Requested-With', 'Content-Type', 'Accept'],
                    'Access-Control-Request-Method' => ['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'HEAD', 'OPTIONS'],
                ],
            ],
        ], $behaviors);      

}

就是按照以上的设置就可以,将你觉得需要认证的action放在$authActions的数组里即可。当请求的是这些设置需要认证的action的时候,就会返回401,代表没办法认证通过,需要认证。

友情福利:本人已开源基于swoole扩展实现的轻量级框架

https://github.com/bingcool/swoolefy
bingcool空间
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
yii2框架restful url接口 认证内容的开发的分享
05-23
yii2框架restful url接口认证内容的开发的分享,后续还有接口多版本控制的内容
yii2项目实战之restful api授权验证详解
10-19
主要给大家介绍了关于yii2项目实战之restful api授权验证的相关资料,文中介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面来一起看看吧。
推荐一款强大的Yii2 RESTful API模板:Michaelweixi的Yii2-RESTful-API-Template
最新发布
gitblog_00054的博客
04-20 236
推荐一款强大的Yii2 RESTful API模板:Michaelweixi的Yii2-RESTful-API-Template 项目地址:https://gitcode.com/michaelweixi/Yii2-RESTful-API-Template 项目简介 在软件开发中,API(应用程序编程接口)扮演着至关重要的角色,特别是在构建现代Web服务和移动应用时。Yii2-RESTful-AP...
yii2 restful 风格搭建(二)接口认证
weixin_34310785的博客
05-03 308
2019独角兽企业重金招聘Python工程师标准>>> ...
php restful 认证,yii2-搭建RESTful Api:授权认证(二)
weixin_39845306的博客
03-10 105
在配置中如有问题:加Q405420415,有问必答。一. yii2.0几种授权的介绍RESTful APIs 通常是无状态的, 也就意味着不应使用 sessions 或 cookies, 因此每个请求应附带某种授权凭证,因为用户授权状态可能没通过 sessions 或 cookies 维护, 常用的做法是每个请求都发送一个秘密的 access token 来认证用户, 由于 access tok...
Yii2框架RESTful API 格式化响应,授权认证和速率限制三部分详解
12-18
之前写过一篇Yii2框架制作RESTful风格的API快速入门教程,今天接着来探究一下Yii2 RESTful的格式化响应,授权认证和速率限制三个部分 一、目录结构 先列出需要改动的文件。目录如下: web ├─ common │ └─ models │ └ User.php └─ frontend ├─ config │ └ main.php └─ controllers └ BookController.php 二、格式化响应 Yii2 RESTful支持JSON和XML格式,如果想指定返回数据的格式,需要配置yii\filters\ContentNegotiator::formats属
yii2-websocket:这是yii2-websocket软件包的新维护版本
02-05
该软件包是原始yii2-websocket的固定和精简版本,当时尚未维护。 您可以在这里找到原始存储库: : 我简单地进行了这些更改,因为在另一个项目中将需要此更改。 我还不能提供文档,有很多更改。 您唯一的选择是自己...
yii2-swoole:完整的解决方案,使yii2-framework与协程在swoole上运行
04-28
yii2-swoole 为赋予 Yii2 框架协程异步能力而生。 后期开发会依赖 去实现功能,相信 Swoft 会是下一代优秀的框架。 此插件基于 swoole (v2.0) 底层实现的协程,改造 Yii2 的核心代码,使开发者无感知,以及在不改动...
yii2-swagger:yii2与swagger-php
05-05
Yii2 Swagger扩展 与yii2的集成。 将与集成。 安装 安装此扩展的首选方法是通过 。 无论运行 php composer.phar require --prefer-dist light/yii2-swagger "~1.0.4" --dev 或添加 "light/yii2-swagger": "~1.0.4...
yii2-app-basic:Yii 2.0基本应用模板
05-05
Yii 2基本项目模板Yii 2基本项目模板是最基础的应用程序,最适合快速创建小型项目。 该模板包含基本功能,包括用户登录/注销和联系页面。 它包括所有常用配置,使您可以专注于向应用程序添加新功能。目录结构 assets...
yii2-workflow:一个简单的Yii2工作流程引擎
05-14
快速开始配置对于本“快速入门指南”,我们将使用默认配置设置,但请记住yii2-workflow的设计具有很高的灵活性,因此可以适应许多执行上下文……至少这是我的目标。创建工作流程工作流定义为实现\raoul2000\workflow...
YII2框架中自定义用户认证模型,完成登陆和注册操作示例
12-18
本文实例讲述了YII2框架中自定义用户认证模型,完成登陆和注册操作。分享给大家供大家参考,具体如下: 有些时候我们需要自已定义用户类,操作自已建的用户表,来完成登陆和注册功能。 用户表结构如下,当然可以根据自已的需要添加或删除: CREATE TABLE `tb_user` ( `id` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '用户ID', `name` varchar(32) DEFAULT '' COMMENT '用户名', `pwd` varchar(64) DEFAULT '' COMMENT '密码', `head
yii2-user:[已弃用] Yii2 用户和身份验证模块
06-29
Yii2 用户模块 如何使用: 通过 composer albertborsos/yii2-user 从tests/_data文件夹运行 sql 脚本(yii migrate 将可用)(删除我的用户) 将这些片段添加到您的config/main.php文件中 'components' => [ . . . 'authManager' => [ 'class' => 'yii\rbac\DbManager' , 'itemTable' => 'auth_item' , 'itemChildTable' => 'auth_item_child' , 'assignmentTable' => 'auth_assignment' , 'rul
YII 接口 用户鉴权 问题
weixin_34362875的博客
09-11 131
开发项目过程中,有的时候必须需要传一个用户的token值(用户唯一标识ID), 才给返回json数据,不传的话,就提示用户鉴权失败。而有的时候不用传。对于这个问题,不需要传token值的方法体需要写在一个数组中。类似于这样: class PostController extends BaseApiController{ protected $_method_not_check = [...
yii2 ajax csrf meta,yii2 csrf验证以及token管理
weixin_36017951的博客
08-05 441
开启/关闭csrf默认情况下yii2是开启了csrf验证功能的,如果需要关闭它的话,只要在控制器中设置一个属性就可以:public $enableCsrfValidation = false;一般情况下不建议关闭,但api场景可能需要关闭。TOKEN生成管理token生成有三种方式meta标签在模板中使用 =yii\helpers\Html::csrfMetaTags();?> 即可生成me...
Yii2框架之使用Restful自定义Api以及用户的授权认证
夜莺的博客
03-13 3533
前言百度上的许多Yii2框架的资料都是相互转发,看得我头晕,虽然官方文档上有讲的很全面,但是有些坑还是要自己去踩才会明白的.于是打算记几记录一下,方便以后查阅.本篇的主要内容是Yii2 RESTful Api的配置以及自定义Api和用户的授权认证.本文所使用的开发环境是Ubuntu17.10+php7.1+Apache2.4+PhpStorm,用到的测试工具为Postman本地ip为192.168...
yii2用户的认证授权
wuhuagu_wuhuaguo的博客
05-07 4540
一、用户认证(1)配置组件,并实现组件对应的接口类比较好的做法:frontend/config/main.php 配置app\models\User,backend/config/main.php 配置app\models\Adminuser//frontend/config/main.php return [ 'components' => [ 'user' =&g...
Yii2 Api认证授权(翻译)
weixin_33953384的博客
07-29 237
Authentication 认证 RESTful Api 是无状态的, 因此这意味着不能使用 sessions && cookies。 因此每一个请求应该带有一些 authentication credentials 因为用户的 authentication 状态可能不是保存在 sessions || cookies 中的。 一个通用的实例就是在发送每一个请求的同时带一个 sec...
yii2-websocket | 基于 yii2 实现的 WebSocket 扩展
05-13
yii2-websocket 是一个基于 Yii2 框架实现的 WebSocket 扩展,它可以让你轻松地在 Yii2 应用程序中集成 WebSocket 功能。 通过使用 yii2-websocket,你可以实现实时通信功能,例如在线聊天、实时数据更新等。它可以处理 WebSocket 连接的创建和关闭,以及消息的发送和接收。 此外,yii2-websocket 还支持多播(multicast)消息,可以让你向多个客户端同时发送消息,非常适合在实时游戏中使用。 yii2-websocket 非常易于使用,只需要在你的 Yii2 应用程序中安装扩展,然后按照文档中的指导进行配置即可。它还提供了丰富的事件和回调函数,让你可以自定义处理 WebSocket 消息的逻辑。 总之,如果你正在开发一个需要实时通信功能的 Yii2 应用程序,那么 yii2-websocket 绝对是一个值得考虑的扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值