本文詳細分析了Yii框架的登錄流程。分享給大家供大家參考。具體分析如下:
Yii對於新手來說上手有點難度,特別是關於session,cookie和用戶驗證。現在我們就Yii中登錄流程,來講講Yii開發中如何設置session,cookie和用戶驗證方面的一些通用知識
1. 概述
Yii是一個全棧式的MVC框架,所謂全棧式指的是Yii框架本身實現了web開發中所要用到的所有功能,比如MVC,ORM(DAO/ActiveRecord), 全球化(I18N/L10N), 緩存(caching), 基於jQuery Ajax支持(jQuery-based AJAX support), 基於角色的用戶驗證(authentication and role-based access control), 程序骨架生成器(scaffolding), 輸入驗證(input validation), 窗體小部件(widgets), 事件(events), 主題(theming), web服務(Web services),日志(logging)等功能. 詳見官方說明.
這裡要說的只是Yii的登錄流程. 用Yii開發一般是用一個叫做Yii shell的控制台工具生成一個程序的骨架,這個骨架為我們分配好了按MVC方式開發web程序的基本結構,並且是一個可以直接運行的程序. 如果你了解 Ruby on Rails的話,原理是一樣的.
2.網站登錄流程
生成的程序中有一個protected目錄,下面的controllers目錄有個叫SiteController.php的文件,這個文件是自動生成的,裡面有一個叫actionLogin的文件.程序登錄流程默認就是從來開始的. Yii把類似於 http://domain.com/index.php?r=site/login 這樣的地址通過叫router的組件轉到上面說的actionLogin方法裡的. 這個路由的功能不是的這裡說的重點.actionLogin方法的代碼是這樣的.
復制代碼 代碼如下:public function actionLogin(){
$model=new LoginForm;
// collect user input data
if(isset($_POST['LoginForm'])){
$model->attributes=$_POST['LoginForm'];
// validate user input and redirect to the previous page if valid
if($model->validate() && $model->login())
$this->redirect(Yii::app()->user->returnUrl);
}
// display the login form
$this->render('login',array('model'=>$model));
}
首先初始化一個LoginForm類,然後判斷是否是用戶點了登錄後的請求(查看請求中有沒有POST數據),如果是的話則先驗證輸入($model->validate)然後嘗試登錄($model->logiin),如果都成功,就跳轉到登錄前的頁面,否則顯示登錄頁面.
3.框架登錄流程
LoginForm類繼承於CFormModel,間接繼承於CModel,所以他提供了CModel提供了一些像驗證和錯誤處理方面的功能.其中的login方法就是執行驗證操作的.方法首先通過用戶提供的用戶名和密碼生成一個用來表示用戶實體的UserIdentity類,該類中的authenticate方法執行實際的驗證動作,比如從數據庫中判斷用戶名和密碼是否匹配. LoginForm類的login方法通過查詢authenticate是否有錯誤發生來判斷登錄是否成功.如果成功則執行Yii::app()->user->login方法來使用戶真正的的登錄到系統中. 前面講到的這些流程是用戶程序提供的,而Yii::app()->user->login也就是CWebUser的login方法是Yii框架提供的流程.我們來看看他做了些什麼.下面是該方面的代碼,位於(Yii)webauthCWebUser.php文件中.
復制代碼 代碼如下:public function login($identity,$duration=0){
$this->changeIdentity($identity->getId(),$identity->getName(),$identity->getPersistentStates());
if($duration>0){
if($this->allowAutoLogin)
$this->saveToCookie($duration);
else
throw new CException(Yii::t('yii','{class}.allowAutoLogin must be set true in order to use cookie-based authentication.',
array('{class}'=>get_class($this))));
}
}
參數$identity是上面登錄時生成的UserIdentity類,裡面包含了基本的用戶信息,如上面的Id,Name,還有可能是其它自定義的數據getPersistentStates. 程序首先把$identity中的數據復制到CWebUser的實例中,這個過程包括了生成相應的session,其實主要目的是生成session.然後根據參數$duration(cookie保存的時間)和allowAutoLogin屬性來判斷是否生成可以用來下次自動登錄的cookie.如果是則生成cookie(saveToCookie).
復制代碼 代碼如下:protected function saveToCookie($duration){
$app=Yii::app();
$cookie=$this->createIdentityCookie($this->getStateKeyPrefix());
$cookie->expire=time()+$duration;
$data=array(
$this->getId(),
$this->getName(),
$duration,
$this->saveIdentityStates(),
);
$cookie->value=$app->getSecurityManager()->hashData(serialize($data));
$app->getRequest()->getCookies()->add($cookie->name,$cookie);
}
首先是新建一個CHttpCookie,cookie的key通過getStateKeyPrefix方法取得,該方法默認返回md5('Yii.'.get_class($this).'.'.Yii::app()->getId());即類名和CApplication的Id,這個Id又是crc32函數生成的一個值.這個具體的值是多少無關緊要. 但是每次都是產生一樣的值的. 接著設置expire,cookie的過期時間,再新建一個array,包含了基本數據,接著比較重要的是計算取得cookie的值,$app->getSecurityManager()->hashData(serialize($data)), getSecurityManager返回一個CSecurityManager的對象,並調用hashData方法.
復制代碼 代碼如下:public function hashData($data){
$hmac=$this->computeHMAC($data);
return $hmac.$data;
}
protected function computeHMAC($data){
if($this->_validation==='SHA1'){
$pack='H40';
$func='sha1';
}
else{
$pack='H32';
$func='md5';
}
$key=$this->getValidationKey();
$key=str_pad($func($key), 64, chr(0));
return $func((str_repeat(chr(0x5C), 64) ^ substr($key, 0, 64)) . pack($pack, $func((str_repeat(chr(0x36), 64) ^ substr($key, 0, 64)) . $data)));
}
hashData調用computHMAC方法生成一個hash值. hash的算法有SHA1和MD5兩種,默認是用SHA1的. hash的時候還要生成一個validationKey(驗證碼)的,然後把驗證碼和要hash的值進行一些故意安排的運算,最終生成一個40位的SHA1,hash值. hashData方法最終返回的是computeHMAC生成的hash值和經序列化的原始數據生成的字符串.這個過程有也許會有疑問. 如為什麼要有驗證碼?
我們先來看一下基於cookie的驗證是怎麼操作的.服務器生成一個cookie後發送的浏覽器中,並根據過期時間保存在浏覽器中一段時間.用戶每次通過浏覽器訪問這個網站的時候都會隨HTTP請求把cookie發送過去,這是http協議的一部分, 與語言和框架無關的. 服務器通過判斷發過來的cookie來決定該用戶是否可以把他當作已登錄的用戶.但是cookie是客戶端浏覽器甚至其它程序發過來的,也就是說發過來的cookie可能是假的中被篡改過的.所以服務器要通過某種驗證機制來判斷是否是之後自己發過去的cookie.這個驗證機制就是在cookie中包含一個hash值和生成這串hash值的原始數據.服務器接到cookie後取出原始數據,然後按原來的方法生成一個hash值來和發過來的hash值比較,如果相同,則信任該cookie,否則肯定是非法請求.比如我的Yii網站生成了這樣一個cookie:
cookie name:b72e8610f8decd39683f245d41394b56
cookie value: 1cbb64bdea3e92c4ab5d5cb16a67637158563114a%3A4%3A%7Bi%3A0%3Bs%3A7%3A%22maxwell%22%3Bi%3A1%3Bs%3A7%3A%22maxwell%22%3Bi%3A2%3Bi%3A3600%3Bi%3A3%3Ba%3A2%3A%7Bs%3A8%3A%22realname%22%3Bs%3A6%3A%22helloc%22%3Bs%3A4%3A%22myId%22%3Bi%3A123%3B%7D%7D
cookie name是網站統一生成的一個md5值. cookie value的值為兩個部分,就是hashData方法生成的一個字符串.前面部分是hash值,後面是原始值.也就是說前面的1cbb64bdea3e92c4ab5d5cb16a67637158563114是hash值,後面是原始值.這個hash值是用SHA1生成的40位的字符串. 服務器把後面的原始值通過算法hash出一個值和這個傳過來的hash值比較就知道是合法不審非法請求了. 那驗證碼呢?
如果服務器只是簡單的把後面的原始值直接用SHA1或MD5,hash的話,那發送請求的人可以隨意修改這個原始值和hash值來通過服務器的驗證.因為SHA1算法是公開的,每個人都可以使用. 所以服務端需要在hash的時候加一個客戶端不知道的驗證碼來生成一個客戶端無法通過原始值得到正確hash的hash值(有點繞:) ). 這就是需要驗證碼的原因.並且這個驗證碼必須是全站通用的,所以上面的getValidationKey方法是生成一個全站唯一的驗證碼並保存起來.默認情況下,驗證碼是一個隨機數,並保存在(yii)runtimestate.bin文件中.這樣對每個請求來說都是一樣的.
登錄流程的最後就是把生成的cookie發送到浏覽器中. 下次請求的時候可以用來驗證.
希望本文所述對大家基於Yii框架的PHP程序設計有所幫助。
