简介
yii2的自动登录的原理很简单。主要就是利用cookie来实现的,在第一次登录的时候,如果登录成功并且选中了下次自动登录,那么就会把用户的认证信息保存到cookie中,cookie的有效期为1年或者几个月。在下次登录的时候先判断cookie中是否存储了用户的信息,如果有则用cookie中存储的用户信息来登录。
配置
首先在打开yii2配置文件的components中设置user组件
'user' => [
'identityClass' => 'app\models\User',
'enableAutoLogin' => true,
],
只有在enableAutoLogin为true的情况下,如果选择了下次自动登录,那么就会把用户信息存储起来放到cookie中并设置cookie的有效期为36002430秒,以用于下次登录
解析
一、第一次登录存cookie
1、login 登录功能
public function login($identity, $duration = 0)
{
if ($this->beforeLogin($identity, false, $duration)) {
$this->switchIdentity($identity, $duration);
$id = $identity->getId();
$ip = Yii::$app->getRequest()->getUserIP();
Yii::info("User '$id' logged in from $ip with duration $duration.", __METHOD__);
$this->afterLogin($identity, false, $duration);
}
return !$this->getIsGuest();
}
2、switchIdentity设置认证信息
public function switchIdentity($identity, $duration = 0)
{
$session = Yii::$app->getSession();
if (!YII_ENV_TEST) {
$session->regenerateID(true);
}
$this->setIdentity($identity);
$session->remove($this->idParam);
$session->remove($this->authTimeoutParam);
if ($identity instanceof IdentityInterface) {
$session->set($this->idParam, $identity->getId());
if ($this->authTimeout !== null) {
$session->set($this->authTimeoutParam, time() + $this->authTimeout);
}
if ($duration > 0 && $this->enableAutoLogin) {
$this->sendIdentityCookie($identity, $duration);
}
} elseif ($this->enableAutoLogin) {
Yii::$app->getResponse()->getCookies()->remove(new Cookie($this->identityCookie));
}
}
这个方法比较重要,在退出的时候也需要调用这个方法。
这个方法主要有三个功能
1.设置session的有效期
2.如果cookie的有效期大于0并且允许自动登录,那么就把用户的认证信息保存到cookie中
3.如果允许自动登录,删除cookie信息。这个是用于退出的时候调用的。退出的时候传递进来的$identity为null
protected function sendIdentityCookie($identity, $duration)
{
$cookie = new Cookie($this->identityCookie);
$cookie->value = json_encode([
$identity->getId(),
$identity->getAuthKey(),
$duration,
]);
$cookie->expire = time() + $duration;
Yii::$app->getResponse()->getCookies()->add($cookie);
}
存储在cookie中的用户信息包含有三个值:
$identity->getId()
$identity->getAuthKey()
$duration
getId()和getAuthKey()是在IdentityInterface接口中的。我们也知道在设置User组件的时候,这个User Model是必须要实现IdentityInterface接口的。所以,可以在User Model中得到前两个值,第三值就是cookie的有效期。
二、自动从cookie登录
用户的认证信息已经存储到cookie中,每次访问的时候直接从cookie里面获取用户的信息
yii2提供了两种用户 游客 认证用户,使用isGuest来判断
public function getIsGuest($checkSession = true)
{
return $this->getIdentity($checkSession) === null;
}
public function getIdentity($checkSession = true)
{
if ($this->_identity === false) {
if ($checkSession) {
$this->renewAuthStatus();
} else {
return null;
}
}
return $this->_identity;
}
Yii提供了AccessControl来判断用户是否登录,有了这个就不需要在每一个action里面再判断了
public function behaviors()
{
return [
'access' => [
'class' => 'yii\filters\AccessControl',
'rules' => [
[
'allow' => true,
'actions' => ['login', 'signup'],
'roles' => ['?'],
],
[
'allow' => true,
'roles' => ['@'],
],
],
'denyCallback' => function($rule, $action) {
BaseController::denyCallback($rule, $action);
}
]
];
}
以上ACF代码是作为行为(behavior)附加在了site控制器上面。这是使用动作过滤器的典型方式。
only选项指定了这个ACF只应用在login,logout和signup动作上面。rules选项指定了访问规则:
允许所有游客(guest,未认证用户)访问login和signup动作(action),roles选项是一个问号(?),代表的就是游客(guests)。
允许经过认证的用户访问logout动作,字符@就是指已认证的用户。
当ACF执行鉴权检查的时候,它将从上到下依次检查每条规则(rules),直到找到匹配。allow的值会在最终判断鉴权的时候使用。
假如没有任何规则匹配,那么ACF会终止用户的进一步操作。
默认的,当一个没有通过鉴权的用户访问当前动作(action)时,ACF会这样做:
假如是一个游客,它会调用yii\web\User::loginRequired()方法,重定向浏览器到登录页面。
假如是一个已认证用户,它会抛出一个权限错误的异常yii\web\ForbiddenHttpException。
如果你要自定义ACF的这些默认行为,可以通过配置yii\filters\AccessControl::$denyCallback属性来达到目的:
访问规则支持很多选项,下面是一些简要说明,你也可以通过扩展yii\filters\AccessRule来创建你自己的访问规则类:
allow:指定这是一条允许(allow)还是拒绝(deny)规则。
actions:这条规则匹配那些动作(action)。是一个动作ID的数组,区分大小写,假如这个选项设置为空或者不设置,那么这条规则适用于所有动作(action)。
controllers:指定这条规则适用于那些控制器(controller)。值是控制器ID数组,区分大小写,设置为空或者不设置,意味着适用于所有控制器(controller)。
roles:指定这条规则适用于那些用户角色。有两个认可的特殊角色,都是通过yii\web\User::$isGuest来检查。?:匹配游客(未认证用户),@:匹配已认证的用户,未设置或设为空,则匹配所有角色。
ips:匹配那些客户端IP。ip地址可以使用通配符(),比如:192.168.。为设置或设为空则匹配所有IP。
verbs:匹配那些请求方式(如:GET,POST)。区分大小写。
matchCallback:指定一个PHP回调,以确定应用该规则。
denyCallback:PHP回调,当规则禁止访问的时候会被调用。
总结
用户登陆的时候有没有点击‘记住用户’,区别是是否将用户的认证信息保存在cookie中。问题:如果用户没有点击‘记住登陆’,那么登陆后浏览器是通过什么判断当前的登陆用户的;答:session·。通过这个认证信息,关闭浏览器后,再进入,可以通过这个认证直接获取用户信息。
服务器将用户的信息保存到session,当浏览器再次来请求的时候,浏览器会把(gr_session_id_a9c381bb3f63a3f3)带过来,和服务器端的session_id对比,来判别登陆用户。