2. 程式人生 > >Yii2 User 登入原理

Yii2 User 登入原理

阿新 發佈:2019-01-29

本文是在session登入暢通無阻的前提下,首先要先搞好session登入,這個在這裡不做敘述,好多session登入的文章。本文敘述cookie登入的原理和使用

1.具體實現:

1.1 cookie登入配置config方面,配置好的程式碼如下:

    'components' => [
        'user' => [
           'identityClass' => 'fecshop\models\mysqldb\Customer',
           'enableAutoLogin' => true,
           'authTimeout'
 
 => 3600,
           ],
    ],

enableAutoLogin設定為true,就會使用cookie登入,如果設定了enableAutoLogin,那麼下面的超時時間authTimeout就會無效,因為這個引數是session的超時時間,不過,我們可以在登入的時候,超時時間也從這個配置引數讀取,譬如下面的函式引數$duration,可以從這裡讀取,如果這樣,就會有效。

    $duration = \Yii::$app->user->authtimeout;
    \Yii::$app->user->login($this->getCustomer(), $duration
 
);

上面的結論通過程式碼解釋,如下:

    public function login(IdentityInterface $identity, $duration = 0)
        {
            if ($this->beforeLogin($identity, false, $duration)) {
                $this->switchIdentity($identity, $duration);
                $id = $identity->getId();
                $ip = Yii::$app->getRequest()->getUserIP();
                if
 
 ($this->enableSession) {
                    $log = "User '$id' logged in from $ip with duration $duration.";
                } else {
                    $log = "User '$id' logged in from $ip. Session not enabled.";
                }
                Yii::info($log, __METHOD__);
                $this->afterLogin($identity, false, $duration);
            }
            return !$this->getIsGuest();
        }

檢視 $this->switchIdentity($identity, $duration);

    public function switchIdentity($identity, $duration = 0)
        {
            $this->setIdentity($identity);
            if (!$this->enableSession) {
                return;
            }
            /* Ensure any existing identity cookies are removed. */
            if ($this->enableAutoLogin) {
                $this->removeIdentityCookie();
            }
            $session = Yii::$app->getSession();
            if (!YII_ENV_TEST) {
                $session->regenerateID(true);
            }
            $session->remove($this->idParam);
            $session->remove($this->authTimeoutParam);
            if ($identity) {
                $session->set($this->idParam, $identity->getId());
                if ($this->authTimeout !== null) {
                    $session->set($this->authTimeoutParam, time() + $this->authTimeout);
                }
                if ($this->absoluteAuthTimeout !== null) {
                    $session->set($this->absoluteAuthTimeoutParam, time() + $this->absoluteAuthTimeout);
                }
                if ($duration > 0 && $this->enableAutoLogin) {
                    $this->sendIdentityCookie($identity, $duration);
                }
            }
        }

檢視:$this->sendIdentityCookie($identity, $duration);

    protected function sendIdentityCookie($identity, $duration)
        {
            $cookie = new Cookie($this->identityCookie);
            $cookie->value = json_encode([
                $identity->getId(),
                $identity->getAuthKey(),
                $duration,
            ], JSON_UNESCAPED_SLASHES | JSON_UNESCAPED_UNICODE);
            $cookie->expire = time() + $duration;
            Yii::$app->getResponse()->getCookies()->add($cookie);
        }

通過一層層的函式可以看到,cookie的超時時間是從login()函式中讀取出來的,

而不是從\yii\web\User的authTimeout變數讀取。最後傳遞給sendIdentityCookie($identity, $duration)方法,進而設定cookie的超時時間。

另外配置中開啟了enableAutoLogin,但是在呼叫login方法的時候沒有設定超時時間變數$duration,同樣不會設定cookie,進而配置 enableAutoLogin 無效,下面是程式碼解釋:

public function switchIdentity($identity, $duration = 0){ 

 #函式中的程式碼

    if ($duration > 0 && $this->enableAutoLogin) {
        $this->sendIdentityCookie($identity, $duration);
    }
}

可以看到,如果超時時間為0,那麼不會執行設定cookie的方法

public function sendIdentityCookie($identity, $duration); 進而不會設定cookie

1.2 程式碼改進: 參考程式碼:

    public function getCustomer(){
          if($this->_customer === null){
            $this->_customer = Customer::findByEmail($this->email);
          }
          return $this->_customer;
          
        }
        
        public function login($duration = 86400)
        {
          if ($this->validate()) {
            //return \Yii::$app->user->login($this->getAdminUser(), $this->rememberMe ? 3600 * 24 * 30 : 0);
            return \Yii::$app->user->login($this->getCustomer(), $duration);
          } else {
            return false;
          }
        }

在上面的程式碼,預設cookie的過期時間為86400秒,這樣預設就不會cookie超時 如果我我呼叫:

    $model = new CustomerLogin;
    $model->email = $data['email'];
    $model->password = $data['password'];
    $loginStatus = $model->login(0);

由於過期時間填寫為0,因此,即使在user元件中開啟配置enableAutoLogin=true, cookie也不會生效。

另外,我如果從\yii\web\User的authTimeout變數讀取。來設定cookie的超時時間,也是一個不錯的選擇,程式碼如下:

    public function login($duration = 0)
        {
        if(!$duration){
          if(Yii::$app->user->authTimeout){
            $duration = Yii::$app->user->authTimeout;
          }
        }
        if ($this->validate()) {
                //return \Yii::$app->user->login($this->getAdminUser(), $this->rememberMe ? 3600 * 24 * 30 : 0);
          return \Yii::$app->user->login($this->getCustomer(), $duration);
            } else {
                return false;
            }
        }
  1. cookie超時時間重新整理。

在預設的情況下,如果登入成功賬戶,每次請求訪問Yii::$app->user->identity,都會重新整理cookie的超時時間,設定自動更新的變數為: public $autoRenewCookie = true;

該變數預設為true,所以不需要在配置中設定這個變數,使用預設就好。

cookie超時時間重新整理的原理解釋,下面是詳細程式碼:

執行Yii::$app->user->identity,對應的是下面的函式

    public function getIdentity($autoRenew = true)
       {
           if ($this->_identity === false) {
               if ($this->enableSession && $autoRenew) {
                   $this->_identity = null;
                   $this->renewAuthStatus();
               } else {
                   return null;
               }
           }
           return $this->_identity;
       }

會執行renewAuthStatus()方法

    protected function renewAuthStatus()
       {
           $session = Yii::$app->getSession();
           $id = $session->getHasSessionId() || $session->getIsActive() ? $session->get($this->idParam) : null;
           if ($id === null) {
               $identity = null;
           } else {
               /* @var $class IdentityInterface */
               $class = $this->identityClass;
               $identity = $class::findIdentity($id);
           }
           $this->setIdentity($identity);
           if ($identity !== null && ($this->authTimeout !== null || $this->absoluteAuthTimeout !== null)) {
               $expire = $this->authTimeout !== null ? $session->get($this->authTimeoutParam) : null;
               $expireAbsolute = $this->absoluteAuthTimeout !== null ? $session->get($this->absoluteAuthTimeoutParam) : null;
               if ($expire !== null && $expire < time() || $expireAbsolute !== null && $expireAbsolute < time()) {
                   $this->logout(false);
               } elseif ($this->authTimeout !== null) {
                   $session->set($this->authTimeoutParam, time() + $this->authTimeout);
               }
           }
           if ($this->enableAutoLogin) {
               if ($this->getIsGuest()) {
                   $this->loginByCookie();
               } elseif ($this->autoRenewCookie) {
                   $this->renewIdentityCookie();
               }
           }
       }

如果enableAutoLogin開啟,如果登入就會執行renewIdentityCookie方法。

    protected function renewIdentityCookie()
       {
           $name = $this->identityCookie['name'];
           $value = Yii::$app->getRequest()->getCookies()->getValue($name);
           if ($value !== null) {
               $data = json_decode($value, true);
               if (is_array($data) && isset($data[2])) {
                   $cookie = new Cookie($this->identityCookie);
                   $cookie->value = $value;
                   $cookie->expire = time() + (int) $data[2];
                   Yii::$app->getResponse()->getCookies()->add($cookie);
               }
           }
       }

該方法會重新設定超時時間,通過上面的幾個函式知道了原理,那麼問題來了,如果我登入了使用者,超時時間設定的為10秒,我開始瀏覽器文章或者幹其他的,每次訪問間隔3秒,如果這些頁面都沒有執下面的行程式碼:Yii::$app->user->identity

那麼,10秒後,使用者登入狀態就會被超時,需要重新登入,(有一些間接的方法也會執行上面的程式碼,譬如Yii::$app->user->isGuest ,就會間接呼叫執行Yii::$app->user->identity,這種情況下不會超時)。

    public function getIsGuest()
       {
           return $this->getIdentity() === null;
       }

因此,如果登入狀態要持久下去,那麼為了保持登入狀態,每個頁面請求後,都需要執行Yii::$app->user->identity,然後cookie的超時時間就會更新,這樣3秒請求一次,登入狀態會一直保持下去。

上面是yii2 cookie使用過程中要注意的一些問題。總體來說還是不錯,但在實際過程中,還需要結合一下其他,譬如cart 和customer login都使用cookie,超時時間要一致,那麼,cart和customer的cookie超時時間要一致,並且,在每次呼叫Yii::$app->user->identity,都必須執行更新cart的cookie超時時間,因此,需要重寫Yii\web\User。

相關推薦

Yii2 User 登入原理

本文是在session登入暢通無阻的前提下,首先要先搞好session登入,這個在這裡不做敘述,好多session登入的文章。本文敘述cookie登入的原理和使用 1.具體實現: 1.1 cookie登入配置config方面,配置好的程式碼如下: 'comp

Yii2 User cookie 登入原理_TERRY

本文是在session登入暢通無阻的前提下,首先要先搞好session登入,這個在這裡不做敘述,好多session登入的文章。本文敘述cookie登入的原理和使用 1.具體實現: 1.1 cookie登入配置config方面,配置好的程式碼如下: 'co

JWT登入原理及使用

一、JWT原理:   參考文章:https://www.jianshu.com/p/180a870a308a   1、傳統的登入方式:     瀏覽器輸入使用者名稱密碼,服務端校驗通過,根據使用者資訊生成一個token,將token和user_id存到資料庫或者session中,並將token返回給前端

單點登入原理與簡單實現學習

一、單系統登入機制 1、http無狀態協議   web應用採用browser/server架構,http作為通訊協議。http是無狀態協議,瀏覽器的每一次請求,伺服器會獨立處理,不與之前或之後的請求產生關聯,這個過程用下圖說明,三次請求/響應對之間沒有任何聯絡   但這也同時意味著

手機掃一掃登入原理

手機掃一掃登入 伺服器生成uuid和uuid為內容的二維碼,同時生成一個全域性的hashMap,key為uuid,value為登入資訊,現在為空。 瀏覽器得到伺服器傳過來的uuid和二維碼的同時發起輪詢操作,問伺服器是否有手機掃描了這個二維碼。 手機端掃描二維碼來得到

單點登入原理與簡單實現

一、單系統登入機制 1、http無狀態協議 web應用採用browser/server架構,http作為通訊協議。http是無狀態協議,瀏覽器的每一次請求,伺服器會獨立處理,不與之前或之後的請求產生關聯,這個過程用下圖說明,三次請求/響應對之間沒有任何聯絡 但這也同

java web自動登入原理及實現

1、建立web工程2、建立使用者名稱、密碼的資料庫並建立對應的連線工廠及dao,service3、建立登入頁面(表單),含有記住密碼選項4、建立Servlet,接收登入引數,查詢資料庫,登入判斷,進行成功跳轉(歡迎頁面),     a、session記住登入使用者     b

單點登入原理及實現(共享)

單點登入原理及實現 隨著業務發展,公司業務會不斷壯大,每個業務都會存在使用者登入和許可權驗證,不可能要求使用者每個業務網站都登入一次,這個時候,就需要單點登入功能。下面將先介紹基本概念,然後以百度(baidu.com)為例進行講解,最後用一個小例子講解如何實現(

CAS單點登入原理簡單介紹

1. SSO簡介 1.1 單點登入定義 單點登入(Single sign on),英文名稱縮寫SSO,SSO的意思就是在多系統的環境中,登入單方系統,就可以在不用再次登入的情況下訪問相關受信任的系統。也就是說只要登入一次單體系統就可以。計劃在專案中加入單點登入,

cas單點登入原理簡單介紹(1)

SSO簡介 1.1 單點登入定義 單點登入(Single sign on),英文名稱縮寫SSO,SSO的意思就是在多系統的環境中,登入單方系統,就可以在不用再次登入的情況下訪問相關受信任的系統。也就是說只要登入一次單體系統就可以。計劃在專案中加入單點登入,開發

CAS單點登入原理分析

一,業務分析 在分散式系統架構中,假設把上述的三個子系統部署在三個不同的伺服器上。前提是使用者登入之後才能訪問這些子系統。那麼使用傳統方式,可能會存在這樣的問題: 1.當訪問使用者中心,需要使用者登入帳號 2.當訪問購物車,還需要使用者登入帳號 3.當訪問商品

單點登入原理與簡單實現(轉) 單點登入原理與簡單實現

單點登入原理與簡單實現   (2017-09-22更新)GitHub:https://github.com/sheefee/simple-sso 一、單系統登入機制 1、http無狀態協議   web應用採用browser/server架構,http作為通訊

app使用者註冊、登入原理、註冊頁面

app端使用者登入以及保持登入原理 註冊: 1、app客戶端填寫註冊資訊:賬號 密碼 暱稱 。。。。。。 2、提交到伺服器端 2.1 驗證使用者是否已經註冊 2.2 記錄到資料庫 2.3 返回註冊資訊用於登入 登入 1、app端判斷是否登入 2、APP端提交登入資訊 2.1 服務

IdentityServer4-從資料庫獲取User登入並對Claims授權驗證(五)

原文: IdentityServer4-從資料庫獲取User登入並對Claims授權驗證(五) 本節將在第四節基礎上介紹如何實現IdentityServer4從資料庫獲取User進行驗證,並對Claim進行許可權設定。 一、新建Web API資源服務,命名為ResourceAPI (1)新建API專

java實現單使用者登入原理

為了系統的安全性,很多網站都實現單使用者登入,下面我們來探討一下它的實現原理: 第一步: public class SessionListener implements HttpSessionListener{ public static Map<Long, St

Yii2.0登入詳解(下)

在上一篇博文中,筆者講述了yii2應用使用者登陸的基本方法,但是這些方法到底是怎樣實現登陸的呢?底層的原理到底是什麼?在這篇博文筆者將從Yii的原始碼角度分析登陸的基本原理以及cookie自動登陸的原理,通過原始碼的分析,各位對Yii的理解也會更上一層樓。 一、第一次

基於SSH的使用者名稱密碼驗證和免密登入原理

關於SSH你只需要瞭解這些 SSH即安全外殼協議:專為遠端登入會話和其他網路服務提供安全性的協議,通過使用SSH,你可以把所有傳輸的資料進行加密。 瞭解OpenSSH OpenSSH是SSH的免費開源實現,是使用SSH透過計算機網路加密通訊的實現。它是

sso單點登入原理詳解(最後解說的比較好)

yale cas可以百度一下,這是學習cas後的一點總結,以備日後使用!安全性:使用者只須在cas錄入使用者名稱和密碼,之後通過ticket繫結使用者,在cas客戶端與cas校驗是通過ticket,並不會在網上傳輸密碼,所以可以保證安全性,密碼不被竊取原理:1個cookie+

CAS單點登入原理解析

1、基於Cookie的單點登入的回顧        基於Cookie的單點登入核心原理:       將使用者名稱密碼加密之後存於Cookie中,之後訪問網站時在過濾器(filter)中校驗使用者許可權,如果沒有許可權

CAS實現SSO單點登入原理

1.      CAS簡介 CAS(Central Authentication Service) 是 Yale大學發起的一個企業級的、開源的專案,旨在為 Web 應用系統提供一種可靠的單點登入解決方法(屬於Web SSO)。 CAS開始於2001年, 並在 2004年