yii2教程-登录与自动登录机制解析

简介

yii2的自动登录的原理很简单。主要就是利用cookie来实现的,在第一次登录的时候,如果登录成功并且选中了下次自动登录,那么就会把用户的认证信息保存到cookie中,cookie的有效期为1年或者几个月。在下次登录的时候先判断cookie中是否存储了用户的信息,如果有则用cookie中存储的用户信息来登录,

配置

首先在打开yii2配置文件的components中设置user组件

'user' => [
    'identityClass' => 'app\models\User',
    'enableAutoLogin' => true,
],

只有在enableAutoLogin为true的情况下,如果选择了下次自动登录,那么就会把用户信息存储起来放到cookie中并设置cookie的有效期为3600*24*30秒,以用于下次登录

解析

现在我们来看看Yii中是怎样实现的。

一、第一次登录存cookie

1、login 登录功能

public function login($identity, $duration = 0)
{
    if ($this->beforeLogin($identity, false, $duration)) {
        $this->switchIdentity($identity, $duration);
        $id = $identity->getId();
        $ip = Yii::$app->getRequest()->getUserIP();
        Yii::info("User '$id' logged in from $ip with duration $duration.", __METHOD__);
        $this->afterLogin($identity, false, $duration);
    }
    return !$this->getIsGuest();
}

在这里,就是简单的登录,然后执行switchIdentity方法,设置认证信息。

2、switchIdentity设置认证信息

public function switchIdentity($identity, $duration = 0)
{
    $session = Yii::$app->getSession();
    if (!YII_ENV_TEST) {
        $session->regenerateID(true);
    }
    $this->setIdentity($identity);
    $session->remove($this->idParam);
    $session->remove($this->authTimeoutParam);
    if ($identity instanceof IdentityInterface) {
        $session->set($this->idParam, $identity->getId());
        if ($this->authTimeout !== null) {
            $session->set($this->authTimeoutParam, time() + $this->authTimeout);
        }
        if ($duration > 0 && $this->enableAutoLogin) {
            $this->sendIdentityCookie($identity, $duration);
        }
    } elseif ($this->enableAutoLogin) {
        Yii::$app->getResponse()->getCookies()->remove(new Cookie($this->identityCookie));
    }
}

这个方法比较重要,在退出的时候也需要调用这个方法。

这个方法主要有三个功能

1.设置session的有效期

2.如果cookie的有效期大于0并且允许自动登录,那么就把用户的认证信息保存到cookie中

3.如果允许自动登录,删除cookie信息。这个是用于退出的时候调用的。退出的时候传递进来的$identity为null

protected function sendIdentityCookie($identity, $duration)
{
    $cookie = new Cookie($this->identityCookie);
    $cookie->value = json_encode([
        $identity->getId(),
        $identity->getAuthKey(),
        $duration,
    ]);
    $cookie->expire = time() + $duration;
    Yii::$app->getResponse()->getCookies()->add($cookie);
}

存储在cookie中的用户信息包含有三个值:

$identity->getId()

$identity->getAuthKey()

$duration

getId()和getAuthKey()是在IdentityInterface接口中的。我们也知道在设置User组件的时候,这个User Model是必须要实现IdentityInterface接口的。所以,可以在User Model中得到前两个值,第三值就是cookie的有效期。

二、自动从cookie登录

从上面我们知道用户的认证信息已经存储到cookie中了,那么下次的时候直接从cookie里面取信息然后设置就可以了。

1、AccessControl用户访问控制

Yii提供了AccessControl来判断用户是否登录,有了这个就不需要在每一个action里面再判断了

public function behaviors()
{
    return [
        'access' => [
            'class' => AccessControl::className(),
            'only' => ['logout'],
            'rules' => [
                [
                    'actions' => ['logout'],
                    'allow' => true,
                    'roles' => ['@'],
                ],
            ],
        ],
    ];
}

2、getIsGuest、getIdentity判断是否认证用户

isGuest是自动登录过程中最重要的属性。

在上面的AccessControl访问控制里面通过IsGuest属性来判断是否是认证用户,然后在getIsGuest方法里面是调用getIdentity来获取用户信息,如果不为空就说明是认证用户,否则就是游客(未登录)。

public function getIsGuest($checkSession = true)
{
    return $this->getIdentity($checkSession) === null;
}
public function getIdentity($checkSession = true)
{
    if ($this->_identity === false) {
        if ($checkSession) {
            $this->renewAuthStatus();
        } else {
            return null;
        }
    }
    return $this->_identity;
}

3、renewAuthStatus 重新生成用户认证信息

protected function renewAuthStatus()
{
    $session = Yii::$app->getSession();
    $id = $session->getHasSessionId() || $session->getIsActive() ? $session->get($this->idParam) : null;
    if ($id === null) {
        $identity = null;
    } else {
        /** @var IdentityInterface $class */
        $class = $this->identityClass;
        $identity = $class::findIdentity($id);
    }
    $this->setIdentity($identity);
    if ($this->authTimeout !== null && $identity !== null) {
        $expire = $session->get($this->authTimeoutParam);
        if ($expire !== null && $expire < time()) {
            $this->logout(false);
        } else {
            $session->set($this->authTimeoutParam, time() + $this->authTimeout);
        }
    }
    if ($this->enableAutoLogin) {
        if ($this->getIsGuest()) {
            $this->loginByCookie();
        } elseif ($this->autoRenewCookie) {
            $this->renewIdentityCookie();
        }
    }
}

这一部分先通过session来判断用户,因为用户登录后就已经存在于session中了。然后再判断如果是自动登录,那么就通过cookie信息来登录。

4、通过保存的Cookie信息来登录 loginByCookie

protected function loginByCookie()
{
    $name = $this->identityCookie['name'];
    $value = Yii::$app->getRequest()->getCookies()->getValue($name);
    if ($value !== null) {
        $data = json_decode($value, true);
        if (count($data) === 3 && isset($data[0], $data[1], $data[2])) {
            list ($id, $authKey, $duration) = $data;
            /** @var IdentityInterface $class */
            $class = $this->identityClass;
            $identity = $class::findIdentity($id);
            if ($identity !== null && $identity->validateAuthKey($authKey)) {
                if ($this->beforeLogin($identity, true, $duration)) {
                    $this->switchIdentity($identity, $this->autoRenewCookie ? $duration : 0);
                    $ip = Yii::$app->getRequest()->getUserIP();
                    Yii::info("User '$id' logged in from $ip via cookie.", __METHOD__);
                    $this->afterLogin($identity, true, $duration);
                }
            } elseif ($identity !== null) {
                Yii::warning("Invalid auth key attempted for user '$id': $authKey", __METHOD__);
            }
        }
    }
}

先读取cookie值,然后$data = json_decode($value, true);反序列化为数组。

这个从上面的代码可以知道要想实现自动登录,这三个值都必须有值。另外,在User Model中还必须要实现findIdentity、validateAuthKey这两个方法。

登录完成后,还可以再重新设置cookie的有效期,这样便能一起有效下去了。

 $this->switchIdentity($identity, $this->autoRenewCookie ? $duration : 0);

三、退出 logout

public function logout($destroySession = true)
{
    $identity = $this->getIdentity();
    if ($identity !== null && $this->beforeLogout($identity)) {
        $this->switchIdentity(null);
        $id = $identity->getId();
        $ip = Yii::$app->getRequest()->getUserIP();
        Yii::info("User '$id' logged out from $ip.", __METHOD__);
        if ($destroySession) {
            Yii::$app->getSession()->destroy();
        }
        $this->afterLogout($identity);
    }
    return $this->getIsGuest();
}
public function switchIdentity($identity, $duration = 0)
{
    $session = Yii::$app->getSession();
    if (!YII_ENV_TEST) {
        $session->regenerateID(true);
    }
    $this->setIdentity($identity);
    $session->remove($this->idParam);
    $session->remove($this->authTimeoutParam);
    if ($identity instanceof IdentityInterface) {
        $session->set($this->idParam, $identity->getId());
        if ($this->authTimeout !== null) {
            $session->set($this->authTimeoutParam, time() + $this->authTimeout);
        }
        if ($duration > 0 && $this->enableAutoLogin) {
            $this->sendIdentityCookie($identity, $duration);
        }
    } elseif ($this->enableAutoLogin) {
        Yii::$app->getResponse()->getCookies()->remove(new Cookie($this->identityCookie));
    }
}

退出的时候先把当前的认证设置为null,然后再判断如果是自动登录功能则再删除相关的cookie信息。

你可能感兴趣的:(yii2登陆)