yii2项目实战之restful api授权验证详解

/**

• 根据用户名获取用户的认证信息
• @return User|null
  */
  protected function getUser()
  {
  if ($this->_user === null) {
  $this->_user = User::findByUsername($this->username);
  }

return $this->_user;
}

/**

• 登录校验成功后，为用户生成新的token
• 如果token失效，则重新生成token
  */
  public function onGenerateApiToken ()
  {
  if (!User::apiTokenIsValid($this->_user->api_token)) {
  $this->_user->generateApiToken();
  $this->_user->save(false);
  }
  }
  }

  我们回过头来看一下，当我们在UserController的login操作中调用LoginForm的login操作后都发生了什么

  1、调用LoginForm的login方法

  2、调用validate方法，随后对rules进行校验

  3、rules校验中调用validatePassword方法，对用户名和密码进行校验

  4、validatePassword方法校验的过程中调用LoginForm的getUser方法，通过commonmodelsUser类的findByUsername获取用户，找不到或者commonmodelsUser的validatePassword对密码校验失败则返回error

  5、触发LoginForm::GENERATE_API_TOKEN事件，调用LoginForm的onGenerateApiToken方法,通过commonmodelsUser的apiTokenIsValid校验token的有效性，如果无效，则调用User的generateApiToken方法重新生成

  注意：commonmodelsUser类必须是用户的认证类，如果不知道如何创建完善该类，请围观这里 用户管理之user组件的配置

  下面补充本节增加的commonmodelsUser的相关方法

• 生成 api_token
  */
  public function generateApiToken()
  {
  $this->apitoken = Yii::$app->security->generateRandomString() . '' . time();
  }

/**

• 校验api_token是否有效
  */
  public static function apiTokenIsValid($token)
  {
  if (empty($token)) {
  return false;
  }

$timestamp = (int) substr($token,strrpos($token,'_') + 1);
$expire = Yii::$app->params['user.apiTokenExpire'];
return $timestamp + $expire >= time();
}

继续补充apiTokenIsValid方法中涉及到的token有效期，在apiconfigparams.php文件内增加即可