YII框架的认证是什么？YII框架如何实现用户登录？

自定义用户认证规则需创建实现identityinterface接口的用户模型，配置user组件指定identityclass为自定义模型，创建登录表单模型验证用户名密码并调用login()方法完成登录；2. 用户权限和访问控制可通过rbac实现角色、权限与规则的分配，并使用can()方法检查权限，或通过accesscontrol过滤器在控制器中定义访问规则，亦可自定义逻辑进行更复杂控制；3. 实现“记住我”功能需在配置中启用enableautologin，在登录时根据rememberme设置cookie有效期，并在用户模型中实现getauthkey()和validateauthkey()方法以支持自动登录验证，auth_key需安全存储并适时更新。

YII框架的认证，简单来说，就是验证用户身份的过程，确保只有授权的用户才能访问特定的资源或功能。而用户登录则是认证流程的起点，YII提供了一套相对灵活且可扩展的机制来实现这一目标。

YII框架中，认证通常涉及验证用户的身份凭证（例如用户名和密码），并创建一个代表已认证用户的会话。用户登录则是在认证成功后，将用户信息存储到会话中，以便在后续请求中识别用户。

如何在YII中自定义用户认证规则？

YII框架默认提供了一个

User

1. 创建自定义用户模型： 继承

   yii\web\IdentityInterface

   登录后复制
   接口，实现

   getId()

   登录后复制
   ,

   getAuthKey()

   登录后复制
   ,

   validateAuthKey($authKey)

   登录后复制
   , 和

   findIdentity($id)

   登录后复制
   方法。

   findIdentity()

   登录后复制
   方法负责根据用户ID查找用户，

   validateAuthKey()

   登录后复制
   验证用户的 "记住我" cookie。

   use yii\web\IdentityInterface;
   
   class User extends \yii\db\ActiveRecord implements IdentityInterface
   {
       public static function findIdentity($id)
       {
           return static::findOne($id);
       }
   
       public static function findIdentityByAccessToken($token, $type = null)
       {
           throw new NotSupportedException('"findIdentityByAccessToken" is not implemented.');
       }
   
       public function getId()
       {
           return $this->id;
       }
   
       public function getAuthKey()
       {
           return $this->auth_key;
       }
   
       public function validateAuthKey($authKey)
       {
           return $this->auth_key === $authKey;
       }
   
       public static function findByUsername($username)
       {
           return static::findOne(['username' => $username]);
       }
   
       public function validatePassword($password)
       {
           return Yii::$app->security->validatePassword($password, $this->password_hash);
       }
   }

   登录后复制

2. 配置

   User

   登录后复制
   组件： 在

   config/web.php

   登录后复制
   文件中，配置

   User

   登录后复制
   组件，指定

   identityClass

   登录后复制
   为你的自定义用户模型。

   'components' => [
       'user' => [
           'identityClass' => 'app\models\User',
           'enableAutoLogin' => true,
       ],
   ],

   登录后复制

3. 创建登录表单模型： 创建一个表单模型，用于接收用户输入的用户名和密码。

   class LoginForm extends \yii\base\Model
   {
       public $username;
       public $password;
       public $rememberMe = true;
   
       private $_user = false;
   
       public function rules()
       {
           return [
               [['username', 'password'], 'required'],
               ['rememberMe', 'boolean'],
               ['password', 'validatePassword'],
           ];
       }
   
       public function validatePassword($attribute, $params)
       {
           if (!$this->hasErrors()) {
               $user = $this->getUser();
   
               if (!$user || !$user->validatePassword($this->password)) {
                   $this->addError($attribute, 'Incorrect username or password.');
               }
           }
       }
   
       public function login()
       {
           if ($this->validate()) {
               return Yii::$app->user->login($this->getUser(), $this->rememberMe ? 3600*24*30 : 0);
           }
           return false;
       }
   
       protected function getUser()
       {
           if ($this->_user === false) {
               $this->_user = User::findByUsername($this->username);
           }
   
           return $this->_user;
       }
   }

   登录后复制

4. 实现登录控制器： 在控制器中，处理登录表单的提交，验证用户身份，并调用

   Yii::$app->user->login()

   登录后复制
   方法进行登录。

   public function actionLogin()
   {
       $model = new LoginForm();
       if ($model->load(Yii::$app->request->post()) && $model->login()) {
           return $this->goBack();
       }
   
       return $this->render('login', [
           'model' => $model,
       ]);
   }

   登录后复制

通过以上步骤，就可以实现自定义的用户认证规则。核心在于自定义用户模型和登录表单模型的实现，以及对

Yii::$app->user

如何处理用户权限和访问控制？

用户认证只是第一步，更重要的是如何控制用户对不同资源的访问权限。YII框架提供了多种方式来实现访问控制，包括：

1. 基于角色的访问控制 (RBAC)： YII提供了强大的RBAC组件，可以定义角色、权限和规则，并将它们分配给用户。这是一种非常灵活和可扩展的访问控制方式。

   • 角色 (Role)： 代表一组权限的集合，例如 "管理员"、"编辑"、"访客"。
   • 权限 (Permission)： 代表对特定资源或操作的访问许可，例如 "创建文章"、"删除用户"。
   • 规则 (Rule)： 用于动态地判断用户是否具有某个权限，例如 "只有文章的作者才能编辑该文章"。

   可以通过命令行工具或者图形界面来管理RBAC规则。

   ./yii migrate/up --migrationPath=@yii/rbac/migrations

   登录后复制

   然后，可以在

   config/web.php

   登录后复制
   中配置

   authManager

   登录后复制
   组件：
   

   知我AI·PC客户端

   离线运行 AI 大模型，构建你的私有个人知识库，对话式提取文件知识，保证个人文件数据安全

   0

   查看详情

   'components' => [
       'authManager' => [
           'class' => 'yii\rbac\DbManager',
       ],
   ],

   登录后复制

   之后，就可以在控制器中使用

   Yii::$app->user->can()

   登录后复制
   方法来检查用户是否具有某个权限。

   if (Yii::$app->user->can('createPost')) {
       // 允许创建文章
   } else {
       throw new ForbiddenHttpException('You are not allowed to create posts.');
   }

   登录后复制

2. 访问控制过滤器 (Access Control Filter)： YII提供了一个

   AccessControl

   登录后复制
   过滤器，可以方便地在控制器级别进行访问控制。

   use yii\filters\AccessControl;
   use yii\web\ForbiddenHttpException;
   
   public function behaviors()
   {
       return [
           'access' => [
               'class' => AccessControl::class,
               'rules' => [
                   [
                       'actions' => ['login', 'error'],
                       'allow' => true,
                   ],
                   [
                       'actions' => ['logout', 'index', 'create', 'update', 'delete'],
                       'allow' => true,
                       'roles' => ['@'], // @ 代表已认证用户
                   ],
               ],
               'denyCallback' => function ($rule, $action) {
                   throw new ForbiddenHttpException('You are not allowed to access this page.');
               }
           ],
       ];
   }

   登录后复制

   AccessControl

   登录后复制
   过滤器允许定义一系列规则，指定哪些用户可以访问哪些操作。

   allow

   登录后复制
   属性指定是否允许访问，

   roles

   登录后复制
   属性指定允许访问的角色。

   @

   登录后复制
   代表已认证用户，

   ?

   登录后复制
   代表未认证用户。

3. 自定义访问控制逻辑： 如果需要更复杂的访问控制逻辑，可以自定义过滤器或者直接在代码中进行判断。

选择哪种方式取决于项目的具体需求。RBAC 适用于需要精细化控制权限的场景，而

AccessControl

如何实现 "记住我" 功能？

"记住我" 功能允许用户在关闭浏览器后，下次访问时自动登录。YII框架提供了内置的支持来实现这一功能。

1. 启用

   enableAutoLogin

   登录后复制
   ： 在

   config/web.php

   登录后复制
   文件中，确保

   User

   登录后复制
   组件的

   enableAutoLogin

   登录后复制
   属性设置为

   true

   登录后复制
   。

   'components' => [
       'user' => [
           'identityClass' => 'app\models\User',
           'enableAutoLogin' => true,
       ],
   ],

   登录后复制

2. 在登录时设置 cookie 有效期： 在登录表单的

   login()

   登录后复制
   方法中，将

   rememberMe

   登录后复制
   属性设置为

   true

   登录后复制
   ，并设置 cookie 的有效期。

   public function login()
   {
       if ($this->validate()) {
           return Yii::$app->user->login($this->getUser(), $this->rememberMe ? 3600*24*30 : 0);
       }
       return false;
   }

   登录后复制

   3600*24*30

   登录后复制
   表示 cookie 的有效期为 30 天。

3. 实现

   getAuthKey()

   登录后复制
   和

   validateAuthKey()

   登录后复制
   方法： 在自定义用户模型中，实现

   getAuthKey()

   登录后复制
   和

   validateAuthKey()

   登录后复制
   方法。

   getAuthKey()

   登录后复制
   方法返回用户的认证密钥，

   validateAuthKey()

   登录后复制
   方法验证用户的认证密钥是否有效。

   public function getAuthKey()
   {
       return $this->auth_key;
   }
   
   public function validateAuthKey($authKey)
   {
       return $this->auth_key === $authKey;
   }

   登录后复制

   auth_key

   登录后复制
   应该存储在数据库中，并在用户注册时生成。

通过以上步骤，就可以实现 "记住我" 功能。YII框架会自动处理 cookie 的设置和验证，无需手动编写代码。需要注意的是，为了安全起见，

auth_key

以上就是YII框架的认证是什么？YII框架如何实现用户登录？的详细内容，更多请关注php中文网其它相关文章！