我为Yii2 RESTful项目添加了一个自定义身份验证组件,它正在验证凭据,但它没有将有效的User对象返回给''Yii::$app->User
组件如下所示:
public function authenticate($user, $request, $response) {
$bearerToken = 'Yii::$app->getRequest()->getQueryParam('bearer_token');
$user = Account::findIdentityByAccessToken($bearerToken);
return $user;
}
账户模型方法如下:
public static function findIdentityByAccessToken($token, $userType = null) {
return static::findOne(['bearer_token' => $token]);
}
我可以看到$user是在authenticate()方法中调试时Account的预期记录,但''Yii::app()->user似乎是一个新加入的用户。''Yii::app()->user->identity等于null。
有人看到我在这里做错了什么吗?
要登录用户,这还不够:
Account::findIdentityByAccessToken($bearerToken);
您需要在authentificate()
内部调用$user->login($identity)
。例如,请参阅它是如何在yii''web''User loginByAccessToken():中实现的
public function loginByAccessToken($token, $type = null)
{
/* @var $class IdentityInterface */
$class = $this->identityClass;
$identity = $class::findIdentityByAccessToken($token, $type);
if ($identity && $this->login($identity)) {
return $identity;
} else {
return null;
}
}
因此,您也可以在自定义身份验证方法中调用它:
$identity = $user->loginByAccessToken($accessToken, get_class($this));
例如,请参阅如何在yii''filters''auth''QueryParamAuth中实现它。
您还需要返回$identity
,而不是$user
。此外,代码中缺少处理失败的功能。看看它是如何在内置的身份验证方法中实现的:
- HttpBasicAuth
- HttpBearerAuth
- QueryParamAuth
更多来自官方文档:
- yii''web''用户登录()
- yii''filters''auth''AuthInterface
更新:
没有什么强迫你使用loginByAccessToken()
,我只是举了一个例子。
下面是我不久前写的一个自定义身份验证方法的例子,不确定它是否100%安全和真实,但我希望它能帮助你理解这些细节:
自定义身份验证方法:
<?php
namespace api'components;
use yii'filters'auth'AuthMethod;
class HttpPostAuth extends AuthMethod
{
/**
* @see yii'filters'auth'HttpBasicAuth
*/
public $auth;
/**
* @inheritdoc
*/
public function authenticate($user, $request, $response)
{
$username = $request->post('username');
$password = $request->post('password');
if ($username !== null && $password !== null) {
$identity = call_user_func($this->auth, $username, $password);
if ($identity !== null) {
$user->switchIdentity($identity);
} else {
$this->handleFailure($response);
}
return $identity;
}
return null;
}
}
REST控制器中的用法:
/**
* @inheritdoc
*/
public function behaviors()
{
$behaviors = parent::behaviors();
$behaviors['authenticator'] = [
'class' => HttpPostAuth::className(),
'auth' => function ($username, $password) {
$user = new User;
$user->domain_name = $username;
// This will validate password according with LDAP
if (!$user->validatePassword($password)) {
return null;
}
return User::find()->username($username)->one();
},
];
return $behaviors;
}
指定$auth
可调用也可以在HttpBasicAuth
中找到。