Yii框架登录流程分析


Posted in PHP onDecember 03, 2014

本文详细分析了Yii框架的登录流程。分享给大家供大家参考。具体分析如下:

Yii对于新手来说上手有点难度,特别是关于session,cookie和用户验证。现在我们就Yii中登录流程,来讲讲Yii开发中如何设置session,cookie和用户验证方面的一些通用知识

1. 概述

Yii是一个全栈式的MVC框架,所谓全栈式指的是Yii框架本身实现了web开发中所要用到的所有功能,比如MVC,ORM(DAO/ActiveRecord), 全球化(I18N/L10N), 缓存(caching), 基于jQuery Ajax支持(jQuery-based AJAX support), 基于角色的用户验证(authentication and role-based access control), 程序骨架生成器(scaffolding), 输入验证(input validation), 窗体小部件(widgets), 事件(events), 主题(theming), web服务(Web services),日志(logging)等功能. 详见官方说明.

这里要说的只是Yii的登录流程. 用Yii开发一般是用一个叫做Yii shell的控制台工具生成一个程序的骨架,这个骨架为我们分配好了按MVC方式开发web程序的基本结构,并且是一个可以直接运行的程序. 如果你了解 Ruby on Rails的话,原理是一样的.

2.网站登录流程

生成的程序中有一个protected目录,下面的controllers目录有个叫SiteController.php的文件,这个文件是自动生成的,里面有一个叫actionLogin的文件.程序登录流程默认就是从来开始的. Yii把类似于 http://domain.com/index.php?r=site/login 这样的地址通过叫router的组件转到上面说的actionLogin方法里的. 这个路由的功能不是的这里说的重点.actionLogin方法的代码是这样的.

public function actionLogin(){

$model=new LoginForm;

// collect user input data

if(isset($_POST['LoginForm'])){

$model->attributes=$_POST['LoginForm'];

// validate user input and redirect to the previous page if valid

if($model->validate() && $model->login())

$this->redirect(Yii::app()->user->returnUrl);

}

// display the login form

$this->render('login',array('model'=>$model));

}

首先初始化一个LoginForm类,然后判断是否是用户点了登录后的请求(查看请求中有没有POST数据),如果是的话则先验证输入($model->validate)然后尝试登录($model->logiin),如果都成功,就跳转到登录前的页面,否则显示登录页面.

3.框架登录流程

LoginForm类继承于CFormModel,间接继承于CModel,所以他提供了CModel提供了一些像验证和错误处理方面的功能.其中的login方法就是执行验证操作的.方法首先通过用户提供的用户名和密码生成一个用来表示用户实体的UserIdentity类,该类中的authenticate方法执行实际的验证动作,比如从数据库中判断用户名和密码是否匹配. LoginForm类的login方法通过查询authenticate是否有错误发生来判断登录是否成功.如果成功则执行Yii::app()->user->login方法来使用户真正的的登录到系统中. 前面讲到的这些流程是用户程序提供的,而Yii::app()->user->login也就是CWebUser的login方法是Yii框架提供的流程.我们来看看他做了些什么.下面是该方面的代码,位于(Yii)webauthCWebUser.php文件中.

public function login($identity,$duration=0){

$this->changeIdentity($identity->getId(),$identity->getName(),$identity->getPersistentStates());

if($duration>0){

if($this->allowAutoLogin)

$this->saveToCookie($duration);

else

throw new CException(Yii::t('yii','{class}.allowAutoLogin must be set true in order to use cookie-based authentication.',

array('{class}'=>get_class($this))));

}

}

参数$identity是上面登录时生成的UserIdentity类,里面包含了基本的用户信息,如上面的Id,Name,还有可能是其它自定义的数据getPersistentStates. 程序首先把$identity中的数据复制到CWebUser的实例中,这个过程包括了生成相应的session,其实主要目的是生成session.然后根据参数$duration(cookie保存的时间)和allowAutoLogin属性来判断是否生成可以用来下次自动登录的cookie.如果是则生成cookie(saveToCookie).

protected function saveToCookie($duration){

$app=Yii::app();

$cookie=$this->createIdentityCookie($this->getStateKeyPrefix());

$cookie->expire=time()+$duration;

$data=array(

$this->getId(),

$this->getName(),

$duration,

$this->saveIdentityStates(),

);

$cookie->value=$app->getSecurityManager()->hashData(serialize($data));

$app->getRequest()->getCookies()->add($cookie->name,$cookie);

}

首先是新建一个CHttpCookie,cookie的key通过getStateKeyPrefix方法取得,该方法默认返回md5('Yii.'.get_class($this).'.'.Yii::app()->getId());即类名和CApplication的Id,这个Id又是crc32函数生成的一个值.这个具体的值是多少无关紧要. 但是每次都是产生一样的值的. 接着设置expire,cookie的过期时间,再新建一个array,包含了基本数据,接着比较重要的是计算取得cookie的值,$app->getSecurityManager()->hashData(serialize($data)), getSecurityManager返回一个CSecurityManager的对象,并调用hashData方法.

public function hashData($data){

$hmac=$this->computeHMAC($data);

return $hmac.$data;

}
protected function computeHMAC($data){

if($this->_validation==='SHA1'){

$pack='H40';

$func='sha1';

}

else{

$pack='H32';

$func='md5';

}

$key=$this->getValidationKey();

$key=str_pad($func($key), 64, chr(0));

return $func((str_repeat(chr(0x5C), 64) ^ substr($key, 0, 64)) . pack($pack, $func((str_repeat(chr(0x36), 64) ^ substr($key, 0, 64)) . $data)));

}

hashData调用computHMAC方法生成一个hash值. hash的算法有SHA1和MD5两种,默认是用SHA1的. hash的时候还要生成一个validationKey(验证码)的,然后把验证码和要hash的值进行一些故意安排的运算,最终生成一个40位的SHA1,hash值.  hashData方法最终返回的是computeHMAC生成的hash值和经序列化的原始数据生成的字符串.这个过程有也许会有疑问. 如为什么要有验证码?

我们先来看一下基于cookie的验证是怎么操作的.服务器生成一个cookie后发送的浏览器中,并根据过期时间保存在浏览器中一段时间.用户每次通过浏览器访问这个网站的时候都会随HTTP请求把cookie发送过去,这是http协议的一部分, 与语言和框架无关的. 服务器通过判断发过来的cookie来决定该用户是否可以把他当作已登录的用户.但是cookie是客户端浏览器甚至其它程序发过来的,也就是说发过来的cookie可能是假的中被篡改过的.所以服务器要通过某种验证机制来判断是否是之后自己发过去的cookie.这个验证机制就是在cookie中包含一个hash值和生成这串hash值的原始数据.服务器接到cookie后取出原始数据,然后按原来的方法生成一个hash值来和发过来的hash值比较,如果相同,则信任该cookie,否则肯定是非法请求.比如我的Yii网站生成了这样一个cookie:

cookie name:b72e8610f8decd39683f245d41394b56

cookie value: 1cbb64bdea3e92c4ab5d5cb16a67637158563114a%3A4%3A%7Bi%3A0%3Bs%3A7%3A%22maxwell%22%3Bi%3A1%3Bs%3A7%3A%22maxwell%22%3Bi%3A2%3Bi%3A3600%3Bi%3A3%3Ba%3A2%3A%7Bs%3A8%3A%22realname%22%3Bs%3A6%3A%22helloc%22%3Bs%3A4%3A%22myId%22%3Bi%3A123%3B%7D%7D

cookie name是网站统一生成的一个md5值. cookie value的值为两个部分,就是hashData方法生成的一个字符串.前面部分是hash值,后面是原始值.也就是说前面的1cbb64bdea3e92c4ab5d5cb16a67637158563114是hash值,后面是原始值.这个hash值是用SHA1生成的40位的字符串. 服务器把后面的原始值通过算法hash出一个值和这个传过来的hash值比较就知道是合法不审非法请求了. 那验证码呢?

如果服务器只是简单的把后面的原始值直接用SHA1或MD5,hash的话,那发送请求的人可以随意修改这个原始值和hash值来通过服务器的验证.因为SHA1算法是公开的,每个人都可以使用. 所以服务端需要在hash的时候加一个客户端不知道的验证码来生成一个客户端无法通过原始值得到正确hash的hash值(有点绕:) ). 这就是需要验证码的原因.并且这个验证码必须是全站通用的,所以上面的getValidationKey方法是生成一个全站唯一的验证码并保存起来.默认情况下,验证码是一个随机数,并保存在(yii)runtimestate.bin文件中.这样对每个请求来说都是一样的.

登录流程的最后就是把生成的cookie发送到浏览器中. 下次请求的时候可以用来验证.

希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。

PHP 相关文章推荐
用PHP生成静态HTML速度快类库
Mar 18 PHP
php escape URL编码
Dec 10 PHP
在PHP中利用wsdl创建标准webservice的实现代码
Dec 07 PHP
记录mysql性能查询过程的使用方法
May 02 PHP
基于php socket(fsockopen)的应用实例分析
Jun 02 PHP
ecshop 2.72如何修改后台访问地址
Mar 03 PHP
twig模板常用语句实例小结
Feb 04 PHP
php实现图片以base64显示的方法
Oct 13 PHP
ThinkPHP中调用PHPExcel的实现代码
Apr 08 PHP
PHP机器学习库php-ml的简单测试和使用方法
Jul 14 PHP
php时间戳转换代码详解
Aug 04 PHP
PHP命名空间定义与用法实例分析
Aug 14 PHP
Yii框架获取当前controlle和action对应id的方法
Dec 03 #PHP
PHP多线程类及用法实例
Dec 03 #PHP
php提取字符串中网站url地址的方法
Dec 03 #PHP
thinkphp常见路径用法分析
Dec 02 #PHP
ThinkPHP中关联查询实例
Dec 02 #PHP
ThinkPHP实现支付宝接口功能实例
Dec 02 #PHP
ThinkPHP实现ajax仿官网搜索功能实例
Dec 02 #PHP
You might like
编写自己的php扩展函数
2006/10/09 PHP
PHP默认安装产生系统漏洞
2006/10/09 PHP
用mysql触发器自动更新memcache的实现代码
2009/10/11 PHP
初步介绍PHP扩展开发经验分享
2012/09/06 PHP
php变量范围介绍
2012/10/15 PHP
php中is_null,empty,isset,unset 的区别详细介绍
2013/04/28 PHP
JavaScript 通过模式匹配实现重载
2010/08/12 Javascript
如何使用jQUery获取选中radio对应的值(一句代码)
2013/06/03 Javascript
基于jQuery创建鼠标悬停效果的方法
2015/03/07 Javascript
跟我学习javascript的隐式强制转换
2015/11/16 Javascript
jquery获取所有选中的checkbox实现代码
2016/05/26 Javascript
nodejs如何获取时间戳与时间差
2016/08/03 NodeJs
Javascript 实现全屏滚动实例代码
2016/12/31 Javascript
完美解决手机浏览器顶部下拉出现网页源或刷新的问题
2017/11/30 Javascript
JS中原始值和引用值的储存方式示例详解
2018/03/23 Javascript
可能被忽略的一些JavaScript数组方法细节
2019/02/28 Javascript
跟老齐学Python之Python文档
2014/10/10 Python
Python实现SSH远程登陆,并执行命令的方法(分享)
2017/05/08 Python
基于Django模板中的数字自增(详解)
2017/09/05 Python
对numpy Array [: ,] 的取值方法详解
2018/07/02 Python
Python 最大概率法进行汉语切分的方法
2018/12/14 Python
Python和Anaconda和Pycharm安装教程图文详解
2020/02/04 Python
django实现模板中的字符串文字和自动转义
2020/03/31 Python
浅谈keras中的后端backend及其相关函数(K.prod,K.cast)
2020/06/29 Python
推荐值得学习的12款python-web开发框架
2020/08/10 Python
PyCharm 2020.2 安装详细教程
2020/09/25 Python
用HTML5制作烟火效果的教程
2015/05/12 HTML / CSS
Html5调用手机摄像头并实现人脸识别的实现
2018/12/21 HTML / CSS
前台文员岗位职责
2013/12/28 职场文书
汉语言文学职业规划
2014/02/14 职场文书
同学聚会主持词
2014/03/18 职场文书
2014年9.18纪念日演讲稿
2014/09/14 职场文书
离婚协议书的书写要求
2014/09/17 职场文书
2015年试用期工作总结
2014/12/12 职场文书
初中英语教学随笔
2015/08/15 职场文书
Python基础之函数嵌套知识总结
2021/05/23 Python