2. 程式人生 > >Yii之登入、登出、驗證、授權理解

Yii之登入、登出、驗證、授權理解

阿新 發佈:2019-02-14

驗證Authentication的目的是驗證某個使用者是否就是他聲稱的那個使用者,常見的就是 使用者名稱+密碼 來確認使用者身份,通過更復雜的程式設計,可以實現其它的身份確認方法

授權Authorization就是對於身份明確的(即已經過“驗證”這一步的)使用者檢查他是否允許訪問特定的資源(他對一定的資源能幹什麼,能讀嗎,能寫嗎),即檢查是否符合某種許可權角色

Yii包含內建的auth框架,並且可以定製以滿足特定的需求。auth框架的核心點在於預定義的user應用程式元件(一個實現了IWebUser介面的物件,常常是id為user的CWebUser物件),該元件代表當前使用者的持久的身份資訊,在應用的任何地方,都可以用Yii::app()->user來訪問。IWebUser介面包含3個屬性方法getId()、getIsGuest()、getName()和非屬性方法checkAccess()。CWebUser常用的屬性有allowAutoLogin、id、name、isGuest、loginUrl、returnUrl,常用的方法有checkAccess()、getFlash()、hasFlash()、login()、logout()、setFlash()。

CWebUser需要和identity(常見的繼承鏈為UserIdentity--CUserIdentity--CBaseUserIdentity-->IUserIdentity)一起使用來實現實際的驗證演算法。IUserIdentity定義的方法有authenticate()、getId()、getIsAuthenticated、getName()、getPersistentStates()。常見的做法是從CUserIdentity派生自己的身份識別類(例如用OpenID驗證、LDAP驗證、Twitter OAuth驗證、Facebook connect驗證)。預設生成的app中,LoginForm這個Form Model的authenticate方法和login方法中構造了UserIdentity物件,並呼叫了其authenticate方法。LoginForm中還將UserIdentity物件作為引數傳遞給user元件的login方法(此時使用者身份資訊是已經認證過的),原型public booleanlogin

(IUserIdentity $identity, integer $duration=0)

權威指南給出的身份驗證類是典型的做法:

class UserIdentity extends CUserIdentity
    {
        private $id;
        public function authenticate()
        {
            $record = User::model()->findByAttributes(array('username' => $this->username));
            if ($record === null)
                $this->errorCode = self::ERROR USERNAME INVALID;
            elseif ($record->password !== crypt($this->password, $record->password))
                $this->errorCode = self::ERROR PASSWORD INVALID;
            else {
                $this->id = $record->id;
                $this->setState('title', $record->title);
                $this->errorCode = self::ERROR NONE;
            }
            return !$this->errorCode;
        }
        public function getId()
        {
            return $this->id;
        }

    }
上述程式碼中,authenticate()方法中,先用模型方法根據使用者名稱查詢使用者是否存在,然後進行密碼的Hash值比對(可以把具體演算法放入User模型的業務邏輯中) ,使用者名稱和密碼Hash值比對成功後,設定私有變數id(最終通過屬性方法getId()暴露該值),使用繼承自CUserIdentity的屬性errorCode,方法setState()。

這個身份驗證類的例項最終是傳遞給user元件的login方法的,任何通過呼叫CBaseUserIdentity::setState()儲存的狀態資訊都將傳遞給CWebUser,而CWebUser將這些資訊存放到持久儲存內(如session),之後這些資訊就可以類似CWebUser的屬性一樣被訪問。例如,上面的例子中呼叫了$this->setState('title', $record->title),登入成功後,就可以用Yii::app()->user->title來獲取該資訊。

有了身份驗證類,登入和登出是比較簡單的。登入主要包括:構造身份驗證類UserIdentity的例項,呼叫其方法authenticate()進行具體驗證,驗證成功後將例項作為引數傳遞給user元件的login()方法實現登入(這裡包含了必要的資訊的傳遞,session的記錄)。登出就是呼叫user元件的logout()方法(這裡包含了session的清理)。我們可以用user元件的isGuest屬性來判斷使用者是否是成功登入的(使用session時,就是讀取session中的有關設定)。

驗證的目的是為了授權,Yii內建了一種稱為訪問控制過濾器的授權模式,即檢查當前使用者是否能執行請求的控制器動作。訪問控制過濾器屬於過濾器的一種,所以在控制器中覆蓋filters()方法,並配置'accessControl'來實現,具體的過濾規則卻通過覆蓋accessRules()方法實現。對於簡單情形,使用訪問控制過濾器並設定規則就可以了,對於更復雜的授權體系,可以使用RBAC。

Yii通過authManager應用程式元件來實現RBAC授權體系。

RBAC的其中一個基本概念是“授權條目authorization”,即對做某事的許可。“授權條目”分為三類:操作operations,任務tasks,角色roles 。“授權條目”通過名字(字串)來唯一標識。授權條目可以有關聯的業務規則business rule(PHP程式碼片段,對授權條目進行訪問檢查時得以執行,只有該程式碼片段返回true,使用者才有對該條目的訪問許可)。

使用授權條目,就可以構建授權體系,RBAC授權體系是一個偏序圖,而不是樹,每個授權條目就是一個節點。有了授權體系,就可以把體系中的角色(這個角色包括授權條目中的3類條目)賦予應用程式的使用者,可以理解為使用者繫結到授權條目(節點)。使用者一旦賦予某個角色(節點),他就擁有那種角色(節點)具備的訪問許可。

在控制器的動作中,我們通過 if(Yii::app()->user->checkAccess('operation名字')){}這樣的程式碼來判斷當前使用者能否進行指定的操作,而RBAC體系通過在偏序圖中搜索來判斷當前使用者繫結的條目(節點)最終是否可以傳遞到指定的操作operation(節點)。值得注意的是,操作operation在RBAC授權體系中具有原子性(即已經是最小單位),operation名字和控制器動作action名字沒有必然的聯絡,理論上可以隨意起名字,因為最終的程式碼裡是通過Yii::app()->user->checkAccess來判斷的(從這個意義來說,RBAC體系就是個判斷體系),但是正如cookbook中指出的那樣,按一定的命名規則給節點(授權條目)起名字,能夠使RBAC體系更容易理解,也更容易管理。

在進行具體的工作中,第一步是配置authManager應用程式元件。常見的做法是配置成CDbAuthManager類,並指定資料庫連線名。

之後的定義授權體系是最複雜,需要仔細考慮的部分。這部分包括了定義授權條目,建立這些條目間的關係,將角色賦給應用程式的使用者。這些工作都是通過authManagerDe API來實現的。

定義條目用的API有:

CAuthManager::createRole
CAuthManager::createTask
CAuthManager::createOperation

建立關係(即構建偏序圖)的API有:

CAuthManager::addItemChild
CAuthManager::removeItemChild
CAuthItem::addChild
CAuthItem::removeChild

角色條目賦給使用者的API有:

CAuthManager::assign
CAuthManager::revoke

業務規則business rule的使用:無論是哪一種節點型別(role、task、operation)都可以關聯一個稱為業務規則的東西,甚至可以在使用者和節點繫結時(給節點)關聯業務規則。業務規則是一小段PHP程式碼,它在我們進行訪問檢查(通常是Yii::app()->user->checkAccess)時得以執行。可以這樣理解,不帶業務規則的節點,對它的許可權判斷是“已編譯”的,靜態的,而帶業務規則的節點,對它的許可權判斷是“執行時”的,動態的引數化的(Yii::app()->user->checkAccess('節點名', $params),$params是一個關聯陣列,其鍵必須和業務規則中預設的對應)。

使用預設角色:預設角色是隱式賦給每個使用者的角色,用來避免對大部分使用者常常遇到的許可權判斷情形進行顯式的賦權(當CWebUser::checkAccess被呼叫時,首先會檢查使用者是否賦予預設角色)。預設角色必須在CAuthManager::defaultRoles屬性中進行申明(在配置authManager時進行),並且因為預設角色會賦予給每個使用者,所以它常常需要相關的業務規則來決定指定的預設角色是否真正應用到該使用者,例如authenticated和admin:

$bizRule='return !Yii::app()->user->isGuest;';
$auth->createRole('authenticated', 'authenticated user', $bizRule);
$bizRule='return Yii::app()->user->name === "admin";';
$auth->createRole('admin', 'admin user', $bizRule);




相關推薦

Yii登入登出驗證授權理解

驗證Authentication的目的是驗證某個使用者是否就是他聲稱的那個使用者,常見的就是 使用者名稱+密碼 來確認使用者身份,通過更復雜的程式設計,可以實現其它的身份確認方法 授權Authorization就是對於身份明確的(即已經過“驗證”這一步的)使用者檢查他是否允

Flask10 登錄模塊表單框架表單渲染表單驗證bookie請求之前鉤子g對象編寫裝飾器

data 函數實現 https tid 路徑 錯誤 post請求 字符 als from flask import Flask from flask import request from flask import render_template from flask_

js非空驗證身份證格式驗證手機和電話格式驗證(前端框架用了miniui)

//法人代表身份證 var w_frsfz=mini.get("w_frsfz").getValue(); var reg = /^(^[1-9]\d{7}((0\d)|(1[0-2]))(([0|1|2]\d)|3[0-1])\d{3}$)|(^[1-9]\d

公鑰,私鑰和公鑰加密私鑰解密公鑰數字簽名私鑰驗證等概念理解 - 超簡單

公鑰加密(public key)和 私鑰解密(private key) 假設一下,我找了兩個數字,一個是1,一個是2。我喜歡2這個數字,就保留起來,不告訴你們(私鑰),然後我告訴大家,1是我的公鑰。 我有一個檔案,不能讓別人看,我就用1加密了。別人找到了這個檔案,但是他不知道2就是解密的私鑰啊,所以他解不

OpenVPN安裝配置及使用詳解,證書驗證使用者密碼驗證手機連線配置。

搞了一天安裝過程中不是很順利,部分文章說明的不是太詳細,因此結合多個文章撰寫的此文,希望能幫上使用OpenVpn的兄弟們。一、OpenVPN     OpenVPN是一個用於建立虛擬專用網路(Virtual Private Network)加密通道的免費開源軟體。使用Op

JavaScript(正則表示式表單驗證郵箱驗證函式HTML DOM)

正則表示式 1.定義:它是由一個字元序列形成的搜尋模式,當在文字中搜索資料時,可以用搜索模式來描述你要查詢的內容。它可以是一個簡單的字元,或一個更復雜的模式。它可用於所有文字搜尋和文字替換操作。 2.Eg:var patt = /youngamber/i

springboot實際專案:日誌列印表單驗證異常處理

第一個比較系統的springboot的一個測試專案 涉及的知識有==日誌的列印==、==表單的驗證==、==異常的統一處理== 省略導包和getter、setter 日誌的列印:涉及AOP、Logger @Aspect @Componen

從零開始搭建伺服器登入登出遠端伺服器

雙 11 期間入手了一臺雲伺服器,備案花了一兩個星期,這兩天終於備案通過了.於是在個人伺服器上裝了 Docker 容器用於部署專案,準備儘量把所有的服務都打包成容器,方便統一管理運維. 於是利用 docker 搭建了 nginx 作為反向代理伺服器,負責請求分發,用 nginx 部署靜態部落格,用 mysql

Spring系列學習Spring Security OAuth身份驗證授權

英文原文:https://spring.io/projects/spring-security-oauth 目錄 概述 特性 快速開始 學習 文件 概述 Spring Security OAuth使用標準的Spring和Spring Security程式設計模型和

Spring系列學習Spring Security SAML身份驗證授權

英文原文:http://projects.spring.io/spring-security-saml/ 目錄 Spring Security SAML 特性 快速開始 版本 資源 Spring Security SAML Spring Security Exte

Django學習筆記4 使用者註冊和身份驗證登入登出註冊

1. 使用者註冊和身份驗證 1.建立另一個應用程式users 在專案中新建users python manage.py startapp users 新增應用到settings.py中的INSTALLED_APPS列表中 INSTALLED_APP

Net Core Identity 身份驗證:註冊登入登出 (簡單示例)

一、前言   一般我們自己的系統都會用自己設定的一套身份驗證授權的程式碼,這次用net core的identity來完成簡單的註冊、登入和登出。 二、資料庫   首先就是建立上下文,我這裡簡單的建了Users和UserClaim表,要是沒有UserClaim等下的登入操作是會報錯的,應該是有身份認證方面的關係

Apache基礎服務Web訪問控制(身份驗證虛擬目錄虛擬主機)

火墻 不同 14. cfa 防火 控制 根據 主機名訪問 a20 Apache HTTP server之所以受到眾多企業的青睞,得益於其代碼開源、跨平臺、功能模塊化、可靈活定制等諸多優點,其不僅性能穩定,在安全性方面的表現也十分的出色。接下來我們通過Apache搭建網站來學

機器學習系列交叉驗證網格搜尋

第一部分:交叉驗證 機器學習建立和驗證模型,常用的方法之一就是交叉驗證。在機器學習過程中,往往資料集是有限的,而且可能具有一定的侷限性。如何最大化的利用資料集去訓練、驗證、測試模型,常用的方法就是交叉驗證。交叉驗證,就是重複的使用資料,對樣本資料進行劃分為多組不同的訓練集和測試集(訓練集訓練模型

5使用者模組介面開發——登入登出和註冊

先看一下工程目錄 建立UserController類 在主方法上加上這兩個註釋: @Controller @RequestMapping("/user/") 如: 1、登入介面: Cont

Django快取訊號和驗證

一、 快取 1、 介紹 快取通俗來說:就是把資料先儲存在某個地方,下次再讀取的時候不用再去原位置讀取,讓訪問速度更快。 快取機制圖解   2、Django中提供了6種快取方式   1. 開發除錯   2. 記憶體   3. 檔案   4. 資料庫   5. Memcache快取(p

java實現登入視窗(含驗證驗證賬戶註冊等)

登入視窗主類 package ccnu.paint; import java.awt.Color; import java.awt.Font; import java.awt.GridLayout; import java.awt.Point; impo

JavaWeb登入登出退出記住使用者名稱和密碼

應該是儲存在Cookie裡,session是放在伺服器的記憶體裡的。在使用者關閉了網頁視窗後,session就清空了。而Cookie是儲存在使用者的IE臨時資料夾中的,再次登入時,讀取其中的值傳給伺服

微信授權登入註冊關聯微訊號全流程圖

 實現微信公眾號內支付時,必須提供微信使用者的openid。新使用者剛進入頁面時強制開啟微信授權的方式,比較不友好。 以下的流程中也考慮到了這一點,實現方式: 1、未登入狀態下,允許訪問不受登入限制的頁面,不請求微信授權。 2、註冊帳號分2種方式   &nbs

深度學習TFRecord資料集讀寫的製作讀取及驗證 具體操作過程

如題,TensorFlow官方為我們提供了資料讀取的標準格式:TFRecord,本文主要闡述了該資料格式的製作、讀取及驗證三個具體操作過程。簡要介紹:tfrecord資料檔案是一種將影象資料和標籤統一儲存的二進位制檔案,能更好的利用記憶體,在tensorflow中快速的複製,