授权验证（Authentication） · Yii 2.0 权威指南

[入门（Getting Started） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-2)[应用结构（Application Structure） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-3)[请求处理（Handling Requests） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-4)[关键概念（Key Concepts） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-5)[配合数据库工作（Working with Databases） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-6)[接收用户数据（Getting Data from Users） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-7)[显示数据（Displaying Data） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-8)[安全（Security） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-9)[缓存（Caching） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-10)[RESTful Web 服务 ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-11) [快速入门（Quick Start）](http://www.yiichina.com/doc/guide/2.0/rest-quick-start)[资源（Resources）](http://www.yiichina.com/doc/guide/2.0/rest-resources)[控制器（Controllers）](http://www.yiichina.com/doc/guide/2.0/rest-controllers)[路由（Routing）](http://www.yiichina.com/doc/guide/2.0/rest-routing)[格式化响应（Response Formatting）](http://www.yiichina.com/doc/guide/2.0/rest-response-formatting)[授权验证（Authentication）](http://www.yiichina.com/doc/guide/2.0/rest-authentication)[速率限制（Rate Limiting）](http://www.yiichina.com/doc/guide/2.0/rest-rate-limiting)[版本化（Versioning）](http://www.yiichina.com/doc/guide/2.0/rest-versioning)[错误处理（Error Handling）](http://www.yiichina.com/doc/guide/2.0/rest-error-handling) [开发工具（Development Tools） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-12)[测试（Testing） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-13)[高级专题（Special Topics） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-14)[小部件（Widgets） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-15)[助手类（Helpers） ](http://www.yiichina.com/doc/guide/2.0/rest-authentication#w0-16) # 认证和Web应用不同，RESTful APIs 通常是无状态的，也就意味着不应使用sessions 或 cookies，因此每个请求应附带某种授权凭证，因为用户授权状态可能没通过sessions 或 cookies维护，常用的做法是每个请求都发送一个秘密的access token来认证用户，由于access token可以唯一识别和认证用户， **API 请求应通过HTTPS来防止man-in-the-middle (MitM) 中间人攻击**. 下面有几种方式来发送access token： * [HTTP 基本认证](http://en.wikipedia.org/wiki/Basic_access_authentication): access token 当作用户名发送，应用在access token可安全存在API使用端的场景，例如，API使用端是运行在一台服务器上的程序。 * 请求参数: access token 当作API URL请求参数发送，例如 `https://example.com/users?access-token=xxxxxxxx`，由于大多数服务器都会保存请求参数到日志，这种方式应主要用于`JSONP` 请求，因为它不能使用HTTP头来发送access token * [OAuth 2](http://oauth.net/2/): 使用者从认证服务器上获取基于OAuth2协议的access token，然后通过 [HTTP Bearer Tokens](http://tools.ietf.org/html/rfc6750) 发送到API 服务器。 Yii 支持上述的认证方式，你也可很方便的创建新的认证方式。为你的APIs启用认证，做以下步骤： 1. 配置`user` 应用组件: * 设置 yii\web\User::enableSession 属性为 `false`. * 设置 yii\web\User::loginUrl 属性为`null` 显示一个HTTP 403 错误而不是跳转到登录界面. 2. 在你的REST 控制器类中配置`authenticator` 行为来指定使用哪种认证方式 3. 在你的yii\web\User::identityClass 类中实现 yii\web\IdentityInterface::findIdentityByAccessToken() 方法. 步骤1不是必要的，但是推荐配置，因为RESTful APIs应为无状态的，当yii\web\User::enableSession为false，请求中的用户认证状态就不能通过session来保持，每个请求的认证通过步骤2和3来实现。 > 提示: 如果你将RESTful APIs作为应用开发，可以设置应用配置中 `user` 组件的yii\web\User::enableSession，如果将RESTful APIs作为模块开发，可以在模块的 `init()` 方法中增加如下代码，如下所示： ~~~ public function init() { parent::init(); \Yii::$app->user->enableSession = false; } ~~~ 例如，为使用HTTP Basic Auth，可配置`authenticator` 行为，如下所示： ~~~ use yii\filters\auth\HttpBasicAuth; public function behaviors() { $behaviors = parent::behaviors(); $behaviors['authenticator'] = [ 'class' => HttpBasicAuth::className(), ]; return $behaviors; } ~~~ 如果你系那个支持以上3个认证方式，可以使用`CompositeAuth`，如下所示： ~~~ use yii\filters\auth\CompositeAuth; use yii\filters\auth\HttpBasicAuth; use yii\filters\auth\HttpBearerAuth; use yii\filters\auth\QueryParamAuth; public function behaviors() { $behaviors = parent::behaviors(); $behaviors['authenticator'] = [ 'class' => CompositeAuth::className(), 'authMethods' => [ HttpBasicAuth::className(), HttpBearerAuth::className(), QueryParamAuth::className(), ], ]; return $behaviors; } ~~~ `authMethods` 中每个单元应为一个认证方法名或配置数组。 `findIdentityByAccessToken()`方法的实现是系统定义的，例如，一个简单的场景，当每个用户只有一个access token, 可存储access token 到user表的`access_token`列中，方法可在`User`类中简单实现，如下所示： ~~~ use yii\db\ActiveRecord; use yii\web\IdentityInterface; class User extends ActiveRecord implements IdentityInterface { public static function findIdentityByAccessToken($token, $type = null) { return static::findOne(['access_token' => $token]); } } ~~~ 在上述认证启用后，对于每个API请求，请求控制器都会在它的`beforeAction()`步骤中对用户进行认证。如果认证成功，控制器再执行其他检查(如频率限制，操作权限)，然后再执行操作，授权用户信息可使用`Yii::$app->user->identity`获取. 如果认证失败，会发送一个HTTP状态码为401的响应，并带有其他相关信息头(如HTTP 基本认证会有`WWW-Authenticate` 头信息). ## 授权在用户认证成功后，你可能想要检查他是否有权限执行对应的操作来获取资源，这个过程称为 *authorization* ，详情请参考[Authorization section](http://www.yiichina.com/doc/guide/2.0/security-authorization). 如果你的控制器从yii\rest\ActiveController类继承，可覆盖 yii\rest\Controller::checkAccess() 方法来执行授权检查，该方法会被yii\rest\ActiveController内置的操作调用。