安科网

Yii2.0 RESTful API 认证教程【令牌验证】

那年夏天

那年夏天

2019-06-30

关注 关注

认证介绍

和Web应用不同,RESTful APIs 通常是无状态的, 也就意味着不应使用 sessionscookies, 因此每个请求应附带某种授权凭证,因为用户授权状态可能没通过 sessionscookies 维护, 常用的做法是每个请求都发送一个秘密的 access token 来认证用户, 由于 access token 可以唯一识别和认证用户,API 请求应通过 HTTPS 来防止man-in-the-middle (MitM) 中间人攻击.

认证方式

  • HTTP 基本认证 :access token 当作用户名发送,应用在access token可安全存在API使用端的场景, 例如,API使用端是运行在一台服务器上的程序。
  • 请求参数: access token 当作API URL请求参数发送,例如 https://example.com/users?acc..., 由于大多数服务器都会保存请求参数到日志, 这种方式应主要用于JSONP 请求,因为它不能使用HTTP头来发送 access token
  • OAuth 2 : 使用者从认证服务器上获取基于 OAuth2 协议的 access token, 然后通过 HTTP Bearer Tokens 发送到 API 服务器。

上方进行简单介绍,内容来自 Yii Framework 2.0 权威指南

实现步骤

继续上一篇 的内容(这里暂时使用默认User数据表,正式环境请分离不同的数据表来进行认证)

需要添加的数据内容

继上篇的 User 数据表,我们还需要增加一 个 access_tokenexpire_at 的字段,

  • 进入项目根目录打开控制台输入以下命令:
./yii migrate/create add_column_access_token_to_user
./yii migrate/create add_column_expire_at_to_user
  • 打开 你的项目目录 /console/migrations/m181224_075747_add_column_access_token_user.php 修改如下内容:
public function up()
    {
        $ret = $this->db->createCommand("SELECT * FROM information_schema.columns WHERE table_schema = DATABASE()  AND table_name = 'user' AND column_name = 'access_token'")->queryOne();//判断user表是否有'access_token'这个字段
        if (empty($ret)) {
            $this->addColumn('user', 'access_token', $this->string(255)->defaultValue(NULL)->comment('令牌'));
        }
    }

    public function down()
    {
        $this->dropColumn('user', 'access_token');
        return true;
    }
  • 打开 你的项目目录 /console/migrations/m181224_092333_add_column_expire_at_user.php 修改如下内容:
public function up()
    {
        $ret = $this->db->createCommand("SELECT * FROM information_schema.columns WHERE table_schema = DATABASE()  AND table_name = 'user' AND column_name = 'expire_at'")->queryOne();
        if (empty($ret)) {
            $this->addColumn('user', 'expire_at', $this->integer(11)->defaultValue(NULL)->comment('令牌过期时间'));
        }
    }

    public function down()
    {
        $this->dropColumn('user', 'expire_at');
        return true;
    }
  • 执行迁移命令
./yii migrate

配置

打开 api\config\main.php

  • 配置 user 应用组件:
'user' => [
            'identityClass' => 'api\models\User',
            'enableAutoLogin' => true,
            'enableSession'=>false,
            //'identityCookie' => ['name' => '_identity-api', 'httpOnly' => true],
        ],
  • 将 session 组件注释掉,或删掉
//        'session' => [
//            // this is the name of the session cookie used for login on the backend
//            'name' => 'advanced-api',
//        ],
  • 编写 api\models\User.php 实现认证类,继承 IdentityInterface

common\models\User 类拷贝到 api\models\ 目录下,修改命名空间为 api\models

<?php
namespace api\models;

use Yii;
use yii\base\NotSupportedException;
use yii\behaviors\TimestampBehavior;
use yii\db\ActiveRecord;
use yii\web\IdentityInterface;
...
class User extends ActiveRecord implements IdentityInterface
{
    ...
    ...
}
  • commonmodelsLoginForm.php 类拷贝到 apimodels* 目录下,修改命名空间,并重写 login* 方法:
<?php
namespace api\models;

use Yii;
use yii\base\Model;
...
...

const EXPIRE_TIME = 604800;//令牌过期时间,7天有效

public function login()
{
        if ($this->validate()) {
            //return Yii::$app->user->login($this->getUser(), $this->rememberMe ? 3600 * 24 * 30 : 0);
            if ($this->getUser()) {
                $access_token = $this->_user->generateAccessToken();
                $this->_user->expire_at = time() + static::EXPIRE_TIME;
                $this->_user->save();
                Yii::$app->user->login($this->_user, static::EXPIRE_TIME);
                return $access_token;
            }
        }
        return false;
}
  • 上方代码给 User 模型添加了一个 generateAccessToken() 方法,因此我们到 api\models\User.php 中添加此方法
namespace api\models;

use Yii;
use yii\base\NotSupportedException;
use yii\behaviors\TimestampBehavior;
use yii\db\ActiveRecord;
use yii\web\IdentityInterface;
use yii\web\UnauthorizedHttpException;
...
...
class User extends ActiveRecord implements IdentityInterface
{
    ...
    ...
    
   /**
     * 生成accessToken字符串
     * @return string
     * @throws \yii\base\Exception
     */
    public function generateAccessToken()
    {
        $this->access_token=Yii::$app->security->generateRandomString();
        return $this->access_token;
    }
}
  • 接下来在api\controllers\新加一个控制器 命名为 UserController 并继承 yii\rest\ActiveController,编写登录 Login 方法,具体代码如下:
namespace api\controllers;
use api\models\LoginForm;
use yii\rest\ActiveController;
use yii;


class UserController extends ActiveController
{
    public $modelClass = 'api\models\User';

    public function actions()
    {
        $action= parent::actions(); // TODO: Change the autogenerated stub
        unset($action['index']);
        unset($action['create']);
        unset($action['update']);
        unset($action['delete']);
    }

    public function actionIndex()
    {
        //你的代码
    }

    /**
     * 登陆
     * @return array
     * @throws \yii\base\Exception
     * @throws \yii\base\InvalidConfigException
     */
    public function actionLogin()
    {
        $model = new LoginForm();
        if ($model->load(Yii::$app->getRequest()->getBodyParams(), '') && $model->login()) {
            return [
                'access_token' => $model->login(),
            ];
        } else {
            return $model->getFirstErrors();
        }
    }
}
  • 最后新增一条 URL 规则

打开 api\config\main.php 修改 components 属性,添加下列代码:

'urlManager' => [
    'enablePrettyUrl' => true,
    'enableStrictParsing' => true,
    'showScriptName' => false,
    'rules' => [
        ['class' => 'yii\rest\UrlRule', 
            'controller' => 'user',
            'extraPatterns'=>[
                'POST login'=>'login',
            ],
        ],
    ],
]

使用一个调试工具来进行测试 http://youdomain/users/login 记住是POST 请求发送,假如用POSTMAN有问题的话指定一下 Content-Type:application/x-www-form-urlencoded
ok,不出意外的话,相信你已经可以收到一个access_token 了,接下来就是如何使用这个token,如何维持认证状态,达到不携带这个token将无法访问,返回 401

维持认证状态

实现认证步骤:

  1. 在你的 REST 控制器类中配置 authenticator 行为来指定使用哪种认证方式
  2. 在你的 user identity class 类中实现 yiiwebIdentityInterface::findIdentityByAccessToken() 方法.

具体实现方式如下:

  • 打开之前的 User 控制器( api\controllers\UserController.php ),增加以下内容:
use yii\helpers\ArrayHelper;
use yii\filters\auth\QueryParamAuth;

...//此处省略一些代码了

    public function behaviors()
    {
        return ArrayHelper::merge(parent::behaviors(), [
            'authenticatior' => [
                'class' => QueryParamAuth::className(), //实现access token认证
                'except' => ['login'], //无需验证access token的方法,注意区分$noAclLogin
            ]
        ]);
    }
...
  • 实现 findIdentityByAccessToken() 方法:

打开 api\models\User.php 重写 findIdentityByAccessToken() 方法

...
use yii\web\UnauthorizedHttpException;
...

class User extends ActiveRecord implements IdentityInterface
{
    ...
    ...
    
    /**
     * {@inheritdoc}
     */
    public static function findIdentityByAccessToken($token, $type = null)
    {
//        throw new NotSupportedException('"findIdentityByAccessToken" is not implemented.');
        $user = static::find()->where(['access_token' => $token, 'status' => self::STATUS_ACTIVE])->one();
        if (!$user) {
            return false;
        }
        if ($user->expire_at < time()) {
            throw new UnauthorizedHttpException('the access - token expired ', -1);
        } else {
            return $user;
        }
    }
    ...
}
  • 打开 api\controllers\UserController.php ,增加 Test方法,用于测试令牌验证
public function actionTest()
    {
        return ['status'=>'success'];
    }
  • 修改 api\config\main.php
'urlManager' => [
            'enablePrettyUrl' => true,
            'enableStrictParsing' => true,
            'showScriptName' => false,
            'rules' => [
                ['class' => 'yii\rest\UrlRule',
                    'controller' => 'user',
                    //'pluralize' => false,    //设置为false 就可以去掉复数形式了
                    'extraPatterns'=>[
                        'GET test'=>'test',
                        'POST login'=>'login',
                    ],
                ],
            ],
        ]

接下来访问一下你的域名 http://youdomain/users/test,不携带任何参数是不是返回 401了?
ok,这里介绍两种访问方式,一种是URL访问,另一种是通过header 来进行携带

  1. http://youdomain/users/test?a...
  2. 传递 header 头信息
Authorization:Bearer YYdpiZna0hJGhjsfqwxUeHEgLDfHEjB-

注意 Bearer 和你的token中间是有 一个空格的,很多同学在这个上面碰了很多次
以上就是基于YII2.0 RESTful 认证的内容。

api access restful api认证

那年夏天

那年夏天

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

每天用SpringBoot,还不懂RESTful API返回统一数据格式是怎么实现的?

有童鞋说,我们项目都做了这种处理,就是在每个 API 都单独工具类将返回值进行封装,但这种不够优雅;我想写最少的代码完成这件事,也许有童鞋说,加几个注解就解决问题了,说的没错,但这篇文章主要是为了说明为什么加了几个注解就解决问题了,目的是希望大家知其所以然

Eiceblue 2020-08-02

python 爬虫如何实现百度翻译

本文将会通过爬虫的方式实现简单的百度翻译。本文中的代码只供学习,不允许作为于商务作用。若有侵犯,立即删文!在网站文件中找到隐藏的免费api。传入api所需要的参数并对其发出请求。在返回的json结果里找到相应的翻译结果。进入百度翻译,随便输入一段需要翻译的

染血白衣 2020-11-16

net core webapi多版本控制与swagger(nswag)配置教程

首先希望webapi支持多版本,swagger针对不同的版本可进行交互。这种方式很直观,但如果原有项目没有使用多版本控制不建议用,可采用header的方式更为合理一些,增加多个 [ApiVersion]即可。但是两个相同的版本中Controller不能有相

SAMXIE 2020-11-04

4个下一个JavaScript项目的有趣API

术语API是首字母缩写词,代表“应用程序编程接口”。同样,一个API也列出了一堆开发者可以使用的操作,以及对这些操作的描述。API使开发人员可以利用平台的实现来执行一些有用的任务,从而节省时间。这也有助于减少开发人员需要为其程序编写的代码行数,因为API使

一个智障 2020-11-15

前端api请求缓存方案

在开发 web 应用程序时,性能都是必不可少的话题。对于webpack打包的单页面应用程序而言,我们可以采用很多方式来对性能进行优化,比方说 tree-shaking、模块懒加载、利用 extrens 网络cdn 加速这些常规的优化。而事实上,缓存一定是提

学习web前端 2020-11-09

Spring API 的 CORS 测试

在开发 API 和前端的时候,最麻烦的就是一个 CORS 测试。你不知道你的 API 是否允许 CORS,也不知道是不是因为前端的原因。但是 CORS 这个跨域访问确实让人非常头疼。## 写个页面为了解决这个问题,我们用 HTML 写了个页面,这个页面可以

yiranpiaoluo 2020-11-04

看看人家那后端API接口写得,那叫一个优雅!

在移动互联网,分布式、微服务盛行的今天,现在项目绝大部分都采用的微服务框架,前后端分离方式,。前端和后端进行交互,前端按照约定请求URL路径,并传入相关参数,后端服务器接收请求,进行业务处理,返回数据给前端。这样虽然能够照常满足业务,但状态码太凌乱了。这样

lxhuang 2020-11-03

WebAssembly及其 API 的完整介绍

自从引入计算机以来,本地应用程序的性能有了巨大的提高。相比之下,web 应用程序相当慢,因为 JS 一开始并不是为了速度而构建的。但是由于浏览器之间的激烈竞争以及JS 引擎如V8的快速开发,使得 JS 能够在机器上快速运行。但是它仍然不能超过本机应用程

88274956 2020-11-03

Postman API 获得文件如何保存

我们会使用 Postman 测试 API 的测试功能。如果我们直接使用 Postman 发送数据到 API ,API 会返回二进制的数据,然后 Postman 会尝试打开,很不幸的是,你将会看到下面的内容。有 2 个办法可以解决这个问题。一个是在发送的时候

82387067 2020-11-03

使用Node.js原生API写一个Web服务器

Node.js是JavaScript基础上发展起来的语言,所以前端开发者应该天生就会一点。一般我们会用它来做CLI工具或者Web服务器,做Web服务器也有很多成熟的框架,比如Express和Koa。所以本文其实是这两个源码解析的前置知识,可以帮我们更好的理

huangliuyu00 2020-10-29

Facebook:如何在Golang中搭建GraphQL?

本文转载自公众号“读芯术”。多年来,人们一直在使用REST API来满足开发需求,但得完成大量不必要的调用后,开发者才能灵活使用。本文将重点介绍GraphQL的主要功能,以及就API而言它存在的优缺点。文末将展示一个使用Golang的简单程序。Graph

sichenglain 2020-10-27

Java中的微信支付之一:API V3版本签名详解

最近在折腾微信支付,证书还是比较烦人的,所以有必要分享一些经验,减少你在开发微信支付时的踩坑。目前微信支付的 API 已经发展到V3版本,采用了流行的 Restful 风格。今天来分享微信支付的难点——签名,虽然有很多好用的 SDK 但是如果你想深入了解

Dayer 2020-10-27

Postman 测试 API 如何上传文件

很多时候我们都会用 Postman 来测试 API。如何在 Postman 中进行设置来上传文件?Postman 已经帮我们想到了。在进入 Postman 以后,找到你需要进行测试的 API,然后选择 body。其实主要开始很多人不知道怎么设置的原因是,你

小马的学习笔记 2020-10-23

「机器学习架构」一个真实世界机器学习系统的架构

在「机器学习」机器学习开发平台概述,我概述了ML开发平台,它们的工作是帮助创建和打包ML模型。模型构建只是ML系统所需的众多功能中的一项。在这篇文章的最后,我提到了其他类型的ML平台以及构建现实世界ML系统时的限制。在我们能够讨论这些之前,我们需要回顾这些

liuweiITlove 2020-10-14

服务网格和API网关在微服务架构中的作用

如果您从事微服务,那么您可能已经多次听说过这两个术语。人们常常在两者之间感到困惑。在本文中,我将详细讨论服务网格和API网关,并讨论何时使用。在深入研究服务网格和API网关之前,让我们重新访问网络层。API网关充当进入集群,数据中心或一组分布式服务的单个入

kjyiyi 2020-10-10

码农编写代码的方式即将改变,快加入等待列表吧

OpenAI API即将彻底改变编码。好吧,这很容易; 它应该是pwd。如果要导航到/ tmp文件夹怎么办?现在,您最想知道的是,用于计算当前文件夹中python文件数量的命令是什么?类型的f -name'* .py'| wc -l。这并不难,也可以通过其

fanjunjaden 2020-10-09

GraphQL初体验,Node.js构建GraphQL API指南

在过去的几年中,GraphQL[1]已经成为一种非常流行的API规范,该规范专注于使客户端的数据获取更加容易。但是,在GraphQL中,客户端可以精确地确定其从服务器获取的数据。与任何技术决策一样,了解GraphQL为你的项目提供了哪些优势是很重要的,而不

zhyue 2020-09-28

Webhooks与API的区别在哪里?

Webhooks起初看起来像是API,但它们略有不同。它们之间的主要区别在于,webhooks不需要发出请求即可获得响应,而API则需要发送请求才能获得响应。使用Webhooks可以接收,而API需要您检索。正确设置了Webhook之后,无论何时更新Git

huangliuyu00 2020-09-24

微软获GPT-3独家授权,可访问底层代码,API用户继续使用

微软今天宣布,获得OpenAI GPT-3的独家授权。毕竟也是投资10亿美元的金主爸爸,这个结果并不意外。虽然目前尚不清楚具体授权许可内容,但声明中说了,这项协议将允许微软其技术为自身客户开放和提供更优的AI解决方案。微软CTO、兼执行副总裁Kevin S

88397813 2020-09-23

Kafka都没整明白,还敢去面试?

放眼当下数据为王的时代,深入了解 Apache Kafka 及其常见的部署应用,快速实现数据架构已是大势所趋,刻不容缓。以下分别 Kafka 架构,四大核心 API,典型应用场景,Kafka 代理与消息主题,集群的创建,流 APIs及其处理模式等不同方面展

jyj0 2020-09-21
那年夏天

那年夏天

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号