yii2的认证体系

最新推荐文章于 2023-06-28 09:10:51 发布
最新推荐文章于 2023-06-28 09:10:51 发布
阅读量529 收藏 2
点赞数 2
分类专栏: PHP 文章标签: auth_key user组件 yii2 认证 yii2的认证体系
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wx145/article/details/84452531
版权

背景知识:

  1. 我们常说的用户相关的安全操作主要就三块:认证,授权,加密。
  2. 本文主要介绍基于yii2的user的组件来实现用户的认证。
  3. 用户认证的流程:根据用户名查询数据库的记录,然后将用户输入的密码加密之后和数据库的记录进行对比,如果相等则登录成功,登录成功之后,将用户的信息存入到session中。以上就是一个简单的认证流程,当然其中你可以加入记住我等功能。由于yii2框架给我们封装好了以上的操作,因此就不需要造轮子了,接下来介绍user组件的使用。

1.在使用user组件之前我们需要先做一些准备工作:

首先需要我们的模型类实现接口 IdentityInterface,其次我们需要在web.php中配置user组件,以下给出案例:

#以下是最简单的事例,user组件管理的模型必须实现以下五个方法
class User extends ActiveRecord implements \yii\web\IdentityInterface{
    
    //根据主键返回对象
    public static function findIdentity($id)
    {
        return self::find()->where(['status'=>1,'id'=>$id])->one();
    }
    
    //api应用中使用较多,web应用一般不需要写函数体
    public static function findIdentityByAccessToken($token, $type = null)
    {
        // TODO: Implement findIdentityByAccessToken() method.
    }

    
    //返回主键信息
    public function getId()
    {
        return $this->id;
    }
    
    //以下两个方法下文会重点讲述到
    public function getAuthKey()
    {
        return $this->auth_key;
    }

    public function validateAuthKey($authKey)
    {
        return $this->auth_key===$authKey;
    }

    
    //这个钩子函数是用来生成auth_key的,注意在数据表中建立一个auth_key字段
    public function beforeSave($insert)
    {
        if(parent::beforeSave($insert)){
            if($this->isNewRecord){
                $this->auth_key=\Yii::$app->security->generateRandomString();
            }
            return true;
        }
        return false;
    }

}
//web.php配置文件中加入如下组件 
'user' => [
    //实现IdentityInterface接口的模型类
    'identityClass' => 'app\models\User',
    //开启自动登录,配合记住我功能使用
    'enableAutoLogin' => true,
    //设置登录地址,使用场景例如在ACF授权的使用如发现用户未登录会跳转到配置的登录地址
    'loginUrl'=>['login/login']
],

2.完成了第一步之后我们就可以使用user组件来管理我们的认证状态,以下是一些常见的操作:

//首先进行用户名和密码的合法性校验,之后执行如下语句,保存登录状态
 \Yii::$app->user->login($user,(bool)$this->remember_me?\Yii::$app->params['session_expire_time']:0);

//$this->remember_me当用户选择记住我时,这个值会true,session_expire_time是我自己配置的记住我的有效时间
//用户退出登录时,需要销毁登录状态
\Yii::$app->user->logout()
//介绍几个常用的user组件的属性
\Yii::$app->user->identity 当前用户的身份实例,未认证的用户则为null
\Yii::$app->user->id  当前用户的id,未认证的用户则为null
\Yii::$app->user->isGuest 判断当前用户是否是游客,用户未登录返回true

3.接下来我们来讲解auth_key的用途:我在刚接触user组件的时候也对auth_key感到困惑,查阅了一些资料之后发现,auth_key只有在使用cookie登录时才会使用到。跟踪login函数你会发现一个叫做switchIdentity的函数,查看它的函数体在最后你会发现一句代码:

//如果设置了自动登录并且有效期大于0则执行sendIdentityCookie
//$duration的值就是login函数的第二个参数
if ($this->enableAutoLogin && $duration > 0) {
    $this->sendIdentityCookie($identity, $duration);
}

接着我们查看sendIdentityCookie函数的实现:

protected function sendIdentityCookie($identity, $duration)
{
    $cookie = Yii::createObject(array_merge($this->identityCookie, [
        'class' => 'yii\web\Cookie',
        'value' => json_encode([
            $identity->getId(),
            $identity->getAuthKey(),
            $duration,
         ], JSON_UNESCAPED_SLASHES | JSON_UNESCAPED_UNICODE),
            'expire' => time() + $duration,
    ]));
    Yii::$app->getResponse()->getCookies()->add($cookie);
}

我们查看sendIdentityCookie的实现可以发现,当用户选择记住我时,会写入一个cookie,它的值是getId(),getAuthKey()以及有效期。因此猜测auth_key的用途应该是保证cookie更加安全吧。

4.我们找到了getAuthKey在哪里调用,那么有小伙伴肯定会问了validateAuthKey在哪里调用呢?我们可以在user组件的源代码中找到一个叫做loginByCookie的函数,其中调用了一个叫做getIdentityAndDurationFromCookie的函数,以下是这个函数的实现:

protected function getIdentityAndDurationFromCookie()
    {
        $value = Yii::$app->getRequest()->getCookies()->getValue($this->identityCookie['name']);
        if ($value === null) {
            return null;
        }
        $data = json_decode($value, true);

        //上一步我们知道了cookie中保存了三个值,所以才有了以下的if语句
        if (is_array($data) && count($data) == 3) {
            list($id, $authKey, $duration) = $data;
            /* @var $class IdentityInterface */
            $class = $this->identityClass;
            $identity = $class::findIdentity($id);
            if ($identity !== null) {
                if (!$identity instanceof IdentityInterface) {
                    throw new InvalidValueException("$class::findIdentity() must return an object implementing IdentityInterface.");

                //这里它调用了validateAuthKey来验证cookie中的auth_key是否正确
                } elseif (!$identity->validateAuthKey($authKey)) {
                    Yii::warning("Invalid auth key attempted for user '$id': $authKey", __METHOD__);
                } else {
                    return ['identity' => $identity, 'duration' => $duration];
                }
            }
        }
        $this->removeIdentityCookie();
        return null;
    }

5.以上我们就简单介绍完了user组件的使用,并着重讲解了auth_key的作用(让cookie值更加安全)以及什么时候会使用到auth_key,接下来我分享一下使用user组件的经验:

查看user组件的源码你可以发现cookie的键默认是_identity,session中存的用户id默认的键是__id

 public $identityCookie = ['name' => '_identity', 'httpOnly' => true];
 public $idParam = '__id';

我们的web站一般都是有前后端的,那么如何前后端分离使用user组件呢?

//可以在组件中额外定义一个admin,class指定为yii\web\User即可
'admin'=>[
    'class'=>'yii\web\User',
    'identityClass'=>'app\modules\admin\models\Admin',
    'enableAutoLogin'=>true,
    'idParam'=>'__admin_id',
    'identityCookie'=>['name' => '_admin_identity', 'httpOnly' => true],
    'loginUrl'=>['admin/login/login']
],
'user' => [
    'identityClass' => 'app\models\User',
    'enableAutoLogin' => true,
    'loginUrl'=>['login/login']
],

由于我们前后端都使用了user组件,为了防止前端后端的cookie和session互相覆盖,所以在admin中重新指定属性idParam和identityCookie的值。

以上就是全部啦,感谢读到最后呀。

三斤和他的朋友们
关注
专栏目录
yii2-admin.zip
04-02
Yii2-admin是一个基于Yii2框架开发的多集团多商户权限管理体系,它利用了Yii框架的卓越性能和灵活性,以及强大的Role-Based Access Control (RBAC)功能来实现细致的权限划分。Yii2是一款高效的PHP框架,它优化了Web...
yii2用户的认证和授权
wuhuagu_wuhuaguo的博客
05-07 4577
一、用户认证(1)配置组件,并实现组件对应的接口类比较好的做法:frontend/config/main.php 配置app\models\User,backend/config/main.php 配置app\models\Adminuser//frontend/config/main.php return [ 'components' => [ 'user' =&g...
php环信自动登录,yii2教程-登录与自动登录机制解析
weixin_42221297的博客
04-06 280
简介yii2的自动登录的原理很简单。主要就是利用cookie来实现的,在第一次登录的时候,如果登录成功并且选中了下次自动登录,那么就会把用户的认证信息保存到cookie中,cookie的有效期为1年或者几个月。在下次登录的时候先判断cookie中是否存储了用户的信息,如果有则用cookie中存储的用户信息来登录,配置首先在打开yii2配置文件的components中设置user组件'user'=...
Yii 2.0学习日记:用户登陆详细解析(上)
热门推荐
蓝天白云梦的csdn博客
03-26 1万+
最近在利用Yii 2.0框架进行项目后台的编写,遇到的第一个问题是用户登陆,包括利用cookie,session登陆等等,笔者从源码角度结合实例为各位详细解析如何编写一个完整的用户登陆模块。(笔者的本地环境是PHP 5.5+MySQL5.6)
Yii2用户认证
flyingfox717的博客
10-23 569
认证是鉴定用户身份的过程,是登录功能的基础。使用Yii2提供的认证功能必须设置用户组件user并创建一个类实现yii\web\IdentityInterface接口。 1. 在配置文件中设置user组件。 identityClass: 将用户组件user认证类配置成 app\models\User; enableAutoLogin: 是否能基于cookie自动登录; ...
Yii2中多表验证Identity
weixin_34025151的博客
08-08 388
2019独角兽企业重金招聘Python工程师标准>>> ...
yii中文手册
07-04
1. **组件系统**:详细解析Yii的组件体系,如何定义和使用组件,以及组件间的依赖注入。 2. **事件与行为**:解释事件监听和触发机制,以及行为(Behavior)如何扩展类的功能。 3. **服务定位器与依赖注入容器**:...
Yii框架笔记.pdf
10-05
自2008年1月发布以来,Yii已经发展成为一款备受开发者喜爱的框架,其主要特点包括高性能、代码重用性高、惰性加载、快速缓存处理以及丰富的组件体系。 Yii框架的核心特性之一是它的MVC(Model-View-Controller)...
iisns 0.5.0
05-20
此外,Yii2 提供了缓存、安全、认证、国际化等一系列工具,使得开发者能够快速构建功能完善的Web应用。 IISNS,全称可能是"IIS 社区系统",在0.5.0版本中,可能包含了以下关键特性: 1. 用户管理:用户注册、登录...
Yii 2 —— 记住密码
weixin_33881041的博客
11-15 184
Yii 2的登录页面提供了“记住密码”,这个功能最终是将相关信息保存在cookie中,从而实现自动登录的。看LoginForm的代码,校验密码的代码是这样的:public function login()  {      if ($this->validate()) {          return Yii::$app->user->login($this->getUse...
Yii2.0基础类如何处理用户认证和授权?底层原理是什么?
最新发布
长风破浪会有时的博客
06-28 96
总结起来,Yii2.0的用户认证和授权基于会话和RBAC模型。用户认证通过验证用户身份,并在会话中存储用户信息。用户授权使用基于角色的访问控制模型,其中权限被分配给角色,而用户则被分配给一个或多个角色。这种设计使得Yii2.0在处理用户认证和授权时非常灵活和可扩展。在Yii2.0中,用户认证和授权是通过基础类来处理的。
Yii2 Api认证和授权(翻译)
weixin_33953384的博客
07-29 248
Authentication 认证 RESTful Api 是无状态的, 因此这意味着不能使用 sessions && cookies。 因此每一个请求应该带有一些 authentication credentials 因为用户的 authentication 状态可能不是保存在 sessions || cookies 中的。 一个通用的实例就是在发送每一个请求的同时带一个 sec...
Yii2.0框架中如何进行身份验证和授权操作?支持哪些认证方式和授权方式?
长风破浪会有时的博客
03-30 383
HttpBearerAuth认证方式也是基于HTTP协议的认证方式,需要在每个请求的Header中传递用户认证信息,与HttpBasicAuth认证方式不同的是,HttpBearerAuth认证方式使用了token的形式传递认证信息。基于规则的访问控制(RBAC)与基于角色的访问控制(RBAC)相似,不同之处在于RBAC需要对每个角色进行繁琐的授权,而基于规则的访问控制可以直接对权限进行授权,更加灵活。表单认证方式是一种传统的认证方式,用户输入用户名和密码,提交后后台进行验证,通过则登录成功,否则失败。
Yii2.0如何进行身份认证?底层原理是什么?
长风破浪会有时的博客
04-21 102
在底层实现中,Yii2.0使用了一系列的认证器(Authenticator)和授权器(Authorizer)来实现身份认证和授权功能。具体来说,认证器用于验证用户身份并生成认证标识,授权器用于确定用户是否有权访问某个资源或执行某个操作。在用户访问需要认证的资源时,应用程序会检查用户是否已经通过身份认证,如果没有,则要求用户进行身份认证,如果已经通过身份认证,则将认证标识与该请求相关联。应用程序根据访问控制规则确定用户是否有权访问该资源或执行该操作,如果有,则允许用户访问,否则禁止用户访问。
Yii2 用户使用登录组件token验证
廖圣平
11-01 1105
当我在查阅 Yii文档的行为中,看到: yii\behaviors\BlameableBehavior - 使用当前用户 ID 自动填充指定的属性。 在Laravel 中,获取认证用户调用的是Auth::user 即可获取当前登录用户。 在Yii中,用户这块文档中好像没有看到,做一下记录。 在继承的Controller中创建一个 guard ,在Yii 中用行为可实现: public function behaviors() { $behaviors = parent::b
yii2实际使用
zxy15538191283的博客
09-07 913
1.获取数据 $post=Yii::$app->request->post(); 2.获取当前用户身份实例 使用表达式Yii::$app->user->identity检测当前用户身份。它返回 一个表示当前登录用户的认证类identity class的实例, 未认证用户(游客)则返回 null。 // 当前用户的身份实例。未认证用户则为 Null 。 $identity= Yii::$app-&gt...
yii 获取登录用户的信息
GetcharZp的博客
03-06 352
通过   Yii::$app->user->identity->表的字段名 可以获取登录用户的登录信息
Yii2初学者入门指南
"yii2初学者,这是一本适合初学者的关于Yii2框架的入门书籍,作者Bill Keck。" Yii2 是一个基于组件、高性能的 PHP 框架,适用于开发 Web 2.0 应用程序。作为初学者,了解 Yii2 可以帮助你快速构建高效且易于维护的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值