本文詳細(xì)分析了Yii框架的登錄流程。分享給大家供大家參考。具體分析如下：

Yii對于新手來說上手有點難度，特別是關(guān)于session,cookie和用戶驗證?，F(xiàn)在我們就Yii中登錄流程，來講講Yii開發(fā)中如何設(shè)置session,cookie和用戶驗證方面的一些通用知識

1. 概述

Yii是一個全棧式的MVC框架,所謂全棧式指的是Yii框架本身實現(xiàn)了web開發(fā)中所要用到的所有功能,比如MVC,ORM(DAO/ActiveRecord), 全球化(I18N/L10N), 緩存(caching), 基于jQuery Ajax支持(jQuery-based AJAX support), 基于角色的用戶驗證(authentication and role-based access control), 程序骨架生成器(scaffolding), 輸入驗證(input validation), 窗體小部件(widgets), 事件(events), 主題(theming), web服務(wù)(Web services),日志(logging)等功能. 詳見官方說明.

這里要說的只是Yii的登錄流程. 用Yii開發(fā)一般是用一個叫做Yii shell的控制臺工具生成一個程序的骨架,這個骨架為我們分配好了按MVC方式開發(fā)web程序的基本結(jié)構(gòu),并且是一個可以直接運行的程序. 如果你了解 Ruby on Rails的話,原理是一樣的.

2.網(wǎng)站登錄流程

生成的程序中有一個protected目錄,下面的controllers目錄有個叫SiteController.php的文件,這個文件是自動生成的,里面有一個叫actionLogin的文件.程序登錄流程默認(rèn)就是從來開始的. Yii把類似于 http://domain.com/index.php?r=site/login 這樣的地址通過叫router的組件轉(zhuǎn)到上面說的actionLogin方法里的. 這個路由的功能不是的這里說的重點.actionLogin方法的代碼是這樣的.

首先初始化一個LoginForm類,然后判斷是否是用戶點了登錄后的請求(查看請求中有沒有POST數(shù)據(jù)),如果是的話則先驗證輸入($model->validate)然后嘗試登錄($model->logiin),如果都成功,就跳轉(zhuǎn)到登錄前的頁面,否則顯示登錄頁面.

3.框架登錄流程

LoginForm類繼承于CFormModel,間接繼承于CModel,所以他提供了CModel提供了一些像驗證和錯誤處理方面的功能.其中的login方法就是執(zhí)行驗證操作的.方法首先通過用戶提供的用戶名和密碼生成一個用來表示用戶實體的UserIdentity類,該類中的authenticate方法執(zhí)行實際的驗證動作,比如從數(shù)據(jù)庫中判斷用戶名和密碼是否匹配. LoginForm類的login方法通過查詢authenticate是否有錯誤發(fā)生來判斷登錄是否成功.如果成功則執(zhí)行Yii::app()->user->login方法來使用戶真正的的登錄到系統(tǒng)中. 前面講到的這些流程是用戶程序提供的,而Yii::app()->user->login也就是CWebUser的login方法是Yii框架提供的流程.我們來看看他做了些什么.下面是該方面的代碼,位于(Yii)webauthCWebUser.php文件中.

參數(shù)$identity是上面登錄時生成的UserIdentity類,里面包含了基本的用戶信息,如上面的Id,Name,還有可能是其它自定義的數(shù)據(jù)getPersistentStates. 程序首先把$identity中的數(shù)據(jù)復(fù)制到CWebUser的實例中,這個過程包括了生成相應(yīng)的session,其實主要目的是生成session.然后根據(jù)參數(shù)$duration(cookie保存的時間)和allowAutoLogin屬性來判斷是否生成可以用來下次自動登錄的cookie.如果是則生成cookie(saveToCookie).

首先是新建一個CHttpCookie,cookie的key通過getStateKeyPrefix方法取得,該方法默認(rèn)返回md5('Yii.'.get_class($this).'.'.Yii::app()->getId());即類名和CApplication的Id,這個Id又是crc32函數(shù)生成的一個值.這個具體的值是多少無關(guān)緊要. 但是每次都是產(chǎn)生一樣的值的. 接著設(shè)置expire,cookie的過期時間,再新建一個array,包含了基本數(shù)據(jù),接著比較重要的是計算取得cookie的值,$app->getSecurityManager()->hashData(serialize($data)), getSecurityManager返回一個CSecurityManager的對象,并調(diào)用hashData方法.

hashData調(diào)用computHMAC方法生成一個hash值. hash的算法有SHA1和MD5兩種,默認(rèn)是用SHA1的. hash的時候還要生成一個validationKey(驗證碼)的,然后把驗證碼和要hash的值進(jìn)行一些故意安排的運算,最終生成一個40位的SHA1,hash值.  hashData方法最終返回的是computeHMAC生成的hash值和經(jīng)序列化的原始數(shù)據(jù)生成的字符串.這個過程有也許會有疑問. 如為什么要有驗證碼?

我們先來看一下基于cookie的驗證是怎么操作的.服務(wù)器生成一個cookie后發(fā)送的瀏覽器中,并根據(jù)過期時間保存在瀏覽器中一段時間.用戶每次通過瀏覽器訪問這個網(wǎng)站的時候都會隨HTTP請求把cookie發(fā)送過去,這是http協(xié)議的一部分, 與語言和框架無關(guān)的. 服務(wù)器通過判斷發(fā)過來的cookie來決定該用戶是否可以把他當(dāng)作已登錄的用戶.但是cookie是客戶端瀏覽器甚至其它程序發(fā)過來的,也就是說發(fā)過來的cookie可能是假的中被篡改過的.所以服務(wù)器要通過某種驗證機(jī)制來判斷是否是之后自己發(fā)過去的cookie.這個驗證機(jī)制就是在cookie中包含一個hash值和生成這串hash值的原始數(shù)據(jù).服務(wù)器接到cookie后取出原始數(shù)據(jù),然后按原來的方法生成一個hash值來和發(fā)過來的hash值比較,如果相同,則信任該cookie,否則肯定是非法請求.比如我的Yii網(wǎng)站生成了這樣一個cookie:

cookie name:b72e8610f8decd39683f245d41394b56

cookie value: 1cbb64bdea3e92c4ab5d5cb16a67637158563114a%3A4%3A%7Bi%3A0%3Bs%3A7%3A%22maxwell%22%3Bi%3A1%3Bs%3A7%3A%22maxwell%22%3Bi%3A2%3Bi%3A3600%3Bi%3A3%3Ba%3A2%3A%7Bs%3A8%3A%22realname%22%3Bs%3A6%3A%22helloc%22%3Bs%3A4%3A%22myId%22%3Bi%3A123%3B%7D%7D

cookie name是網(wǎng)站統(tǒng)一生成的一個md5值. cookie value的值為兩個部分,就是hashData方法生成的一個字符串.前面部分是hash值,后面是原始值.也就是說前面的1cbb64bdea3e92c4ab5d5cb16a67637158563114是hash值,后面是原始值.這個hash值是用SHA1生成的40位的字符串. 服務(wù)器把后面的原始值通過算法hash出一個值和這個傳過來的hash值比較就知道是合法不審非法請求了. 那驗證碼呢?

如果服務(wù)器只是簡單的把后面的原始值直接用SHA1或MD5,hash的話,那發(fā)送請求的人可以隨意修改這個原始值和hash值來通過服務(wù)器的驗證.因為SHA1算法是公開的,每個人都可以使用. 所以服務(wù)端需要在hash的時候加一個客戶端不知道的驗證碼來生成一個客戶端無法通過原始值得到正確hash的hash值(有點繞:) ). 這就是需要驗證碼的原因.并且這個驗證碼必須是全站通用的,所以上面的getValidationKey方法是生成一個全站唯一的驗證碼并保存起來.默認(rèn)情況下,驗證碼是一個隨機(jī)數(shù),并保存在(yii)runtimestate.bin文件中.這樣對每個請求來說都是一樣的.

登錄流程的最后就是把生成的cookie發(fā)送到瀏覽器中. 下次請求的時候可以用來驗證.

希望本文所述對大家基于Yii框架的PHP程序設(shè)計有所幫助。

最新評論