亚洲国产日韩欧美一区二区三区,精品亚洲国产成人av在线,国产99视频精品免视看7,99国产精品久久久久久久成人热,欧美日韩亚洲国产综合乱

ディレクトリ 検索
閱讀前篇 簡介 Yii 是什么 從 Yii 1.1 升級 入門 安裝 Yii 運行應用 第一次問候 使用Forms 數(shù)據(jù)庫應用 使用 Gii 生成代碼 進階 應用結構 概述 入口腳本 應用(Applications) 應用組件(Application Components) 控制器(Controllers) 模型(Models) 視圖(views) 模塊(Modules) 過濾器(Filters) 小部件(Widgets) 前端資源(Assets) 擴展(Extensions) 請求處理 運行概述 啟動引導(Bootstrapping) 路由和創(chuàng)建URL 請求(Requests) 響應(Responses) Sessions 和 Cookies 錯誤處理(Handling Errors) 日志(Logging) 關鍵概念 組件(Component) 屬性(Property) 事件(Events) 行為(Behaviors) 配置(Configurations) 別名(Aliases) 類自動加載(Autoloading) 服務定位器(Service Locator) 依賴注入容器(Dependency Injection Container) 配合數(shù)據(jù)庫工作 數(shù)據(jù)庫訪問 (Data Access Objects) 查詢生成器(Query Builder) 活動記錄(Active Record) 數(shù)據(jù)庫遷移(Migrations) Sphinx Redis MongoDB Elasticsearch 接收用戶數(shù)據(jù) 創(chuàng)建表單(Creating Forms) 輸入驗證(Validating Input) 文件上傳(Uploading Files) 收集列表輸入(Collecting Tabular Input) 多模型的復合表單(Getting Data for Multiple Models) 顯示數(shù)據(jù) 格式化輸出數(shù)據(jù)(Data Formatting) 分頁(Pagination) 排序(Sorting) 數(shù)據(jù)提供器(Data Providers) 數(shù)據(jù)小部件(Data Widgets) 客戶端腳本使用(Working with Client Scripts) 主題(Theming) 安全 認證(Authentication) 授權(Authorization) 處理密碼(Working with Passwords) 客戶端認證(Auth Clients) 最佳安全實踐(Best Practices) 緩存 概述 數(shù)據(jù)緩存 片段緩存 頁面緩存 HTTP 緩存 RESTfull Web服務 快速入門(Quick Start) 資源(Resources) 控制器(Controllers) 路由(Routing) 格式化響應(Response Formatting) 授權認證(Authentication) 速率限制(Rate Limiting) 版本(Versioning) 錯誤處理(Error Handling) 開發(fā)工具 調(diào)試工具欄和調(diào)試器 使用Gii生成代碼 生成API文檔 測試 概述(Overview) 配置測試環(huán)境(Testing environment setup) 單元測試(Unit Tests) 功能測試(Function Tests) 驗收測試(Acceptance Tests) 測試夾具(Fixtures) 高級專題 高級應用模板 創(chuàng)建自定義應用程序結構 控制臺命令 核心驗證器(Core Validators) 國際化 收發(fā)郵件 性能優(yōu)化 共享主機環(huán)境 模板引擎 集成第三方代碼 小部件 Bootstrap 小部件 Jquery UI 助手類 概述 Array 助手(ArrayHelper) Html 助手(Html) Url 助手(Url)
テキスト

授權認證

認證

和Web應用不同,RESTful APIs 通常是無狀態(tài)的,也就意味著不應使用sessions 或 cookies, 因此每個請求應附帶某種授權憑證,因為用戶授權狀態(tài)可能沒通過sessions 或 cookies維護, 常用的做法是每個請求都發(fā)送一個秘密的access token來認證用戶,由于access token可以唯一識別和認證用戶,?API 請求應通過HTTPS來防止man-in-the-middle (MitM) 中間人攻擊.

下面有幾種方式來發(fā)送access token:

  • HTTP 基本認證: access token 當作用戶名發(fā)送,應用在access token可安全存在API使用端的場景,例如,API使用端是運行在一臺服務器上的程序。
  • 請求參數(shù): access token 當作API URL請求參數(shù)發(fā)送,例如?https://example.com/users?access-token=xxxxxxxx,由于大多數(shù)服務器都會保存請求參數(shù)到日志, 這種方式應主要用于JSONP?請求,因為它不能使用HTTP頭來發(fā)送access token
  • OAuth 2: 使用者從認證服務器上獲取基于OAuth2協(xié)議的access token,然后通過?HTTP Bearer Tokens?發(fā)送到API 服務器。

Yii 支持上述的認證方式,你也可很方便的創(chuàng)建新的認證方式。

為你的APIs啟用認證,做以下步驟:

  1. 配置user?應用組件:
    • 設置 yii\web\User::enableSession 屬性為?false.
    • 設置 yii\web\User::loginUrl 屬性為null?顯示一個HTTP 403 錯誤而不是跳轉(zhuǎn)到登錄界面.
  2. 在你的REST 控制器類中配置authenticator?行為來指定使用哪種認證方式
  3. 在你的yii\web\User::identityClass 類中實現(xiàn) yii\web\IdentityInterface::findIdentityByAccessToken() 方法.

步驟1不是必要的,但是推薦配置,因為RESTful APIs應為無狀態(tài)的,當yii\web\User::enableSession為false, 請求中的用戶認證狀態(tài)就不能通過session來保持,每個請求的認證通過步驟2和3來實現(xiàn)。

提示: 如果你將RESTful APIs作為應用開發(fā),可以設置應用配置中?user?組件的yii\web\User::enableSession, 如果將RESTful APIs作為模塊開發(fā),可以在模塊的?init()?方法中增加如下代碼,如下所示:

public function init(){
    parent::init();
    \Yii::$app->user->enableSession = false;
}

例如,為使用HTTP Basic Auth,可配置authenticator?行為,如下所示:

use yii\filters\auth\HttpBasicAuth;

public function behaviors(){
    $behaviors = parent::behaviors();
    $behaviors['authenticator'] = [
        'class' => HttpBasicAuth::className(),
    ];
    return $behaviors;
}

如果你系那個支持以上3個認證方式,可以使用CompositeAuth,如下所示:

use yii\filters\auth\CompositeAuth;
use yii\filters\auth\HttpBasicAuth;
use yii\filters\auth\HttpBearerAuth;
use yii\filters\auth\QueryParamAuth;

public function behaviors(){
    $behaviors = parent::behaviors();
    $behaviors['authenticator'] = [
        'class' => CompositeAuth::className(),
        'authMethods' => [
            HttpBasicAuth::className(),
            HttpBearerAuth::className(),
            QueryParamAuth::className(),
        ],
    ];
    return $behaviors;
}

authMethods?中每個單元應為一個認證方法名或配置數(shù)組。

findIdentityByAccessToken()方法的實現(xiàn)是系統(tǒng)定義的, 例如,一個簡單的場景,當每個用戶只有一個access token, 可存儲access token 到user表的access_token列中, 方法可在User類中簡單實現(xiàn),如下所示:

use yii\db\ActiveRecord;
use yii\web\IdentityInterface;

class User extends ActiveRecord implements IdentityInterface{
    public static function findIdentityByAccessToken($token, $type = null)
    {
        return static::findOne(['access_token' => $token]);
    }
}

在上述認證啟用后,對于每個API請求,請求控制器都會在它的beforeAction()步驟中對用戶進行認證。

如果認證成功,控制器再執(zhí)行其他檢查(如頻率限制,操作權限),然后再執(zhí)行操作, 授權用戶信息可使用Yii::$app->user->identity獲取.

如果認證失敗,會發(fā)送一個HTTP狀態(tài)碼為401的響應,并帶有其他相關信息頭(如HTTP 基本認證會有WWW-Authenticate?頭信息).

授權

在用戶認證成功后,你可能想要檢查他是否有權限執(zhí)行對應的操作來獲取資源,這個過程稱為?authorization?, 詳情請參考?Authorization section.

如果你的控制器從yii\rest\ActiveController類繼承,可覆蓋 yii\rest\Controller::checkAccess() 方法 來執(zhí)行授權檢查,該方法會被yii\rest\ActiveController內(nèi)置的操作調(diào)用。
前の記事: 次の記事: