### 概述
> 注意:当前在`/route/route.php`中写了分组路由,不需要可以直接删除
接口执行流程为:
1. 前端访问`/api/xx/xx`请求接口
2. `Controller`基类进行jwt验证
3. 执行具体`Controller`中的业务逻辑
4. 返回执行的结果
### 接口开发
- 在`/application/api/controller`文件夹下创建相应的控制器,继承Controller类。
- 配置`$authExcept`变量,把无需jwt验证的方法加入到里面;此变量不可直接在基类中配置,必须在具体业务控制器中进行配置。
- 在具体方法中直接返回`api_success()`或`api_error`即可。
### 安全校验
安全校验采用`jwt`进行校验,`jwt`采用`lcobucci/jwt`扩展包,在`/application/api/traits/ApiAuth.php`中封装了相关方法。
#### jwt验证流程
#### jwt配置
> 当自动刷新token的时候,前端保存后端传过来的新token,此后都用新的token进行访问。如果不想使用oken刷新可以把过期时间设置的大一些,例如1年之类的。
~~~
protected $config = [
//token在header中的name
'name' => 'token',
//加密使用的secret
'secret' => '552ac90778a976c72f7f673db174df30',
//颁发者
'iss' => 'iss',
//使用者
'aud' => 'aud',
//过期时间,以秒为单位,默认2小时
'ttl' => 30,
//刷新时间,以秒为单位,默认14天,以
'refresh_ttl' => 1209600,
//是否自动刷新,开启后可自动刷新token,附在header中返回,name为`Authorization`,字段为`Bearer `+$token
'auto_refresh' => true,
//黑名单宽限期,以秒为单位,首次token刷新之后在此时间内原token可以继续访问
'blacklist_grace_period' => 60
];
~~~
### 返回数据
返回数据为json格式,正常情况下会包括`code`,`msg`,`data`字段,分别代表状态码,消息,主数据。
```json
{
"code": 200,
"msg": "success",
"data": {}
}
```
### 返回状态码
> 因 HTTP 状态码多的吓人,所以目前只采用`200/400/401/404/404/500`态码来控制接口的返回。
* 200 代表成功。所有的接口成功返回都是200
* 400 表示客户端错误。例如输入的字段类型不匹配等
* 401 未登录/登录状态失效。代表需要客户端发起登录流程
* 403 表示此用户无权限。例如普通用户无法观看vip课程,可直接返回403
* 404 接口不存在。访问了不存在的接口就会返回404
* 500 代表失败。具体原因可参考body内msg字段
其中,我们用的最多的就是`200`和`500`了,401在登录鉴权的地方可以自动返回,一般无需自己处理,`404`系统也自定义好了,无需手动处理,`500`在`/application/common/exception/Http.php`文件中也做了捕获处理。`400`和`403`可酌情使用,不想麻烦的也可以直接用500来代替。
### 开发示例
#### 登录
登录功能可以直接参考`/application/api/controller/AuthController.php`中的`login`方法。
#### 资源控制器
可以直接参考`/application/api/controller/UserController.php`控制器。
扫一扫
689
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
