我的用户授权在没有authKey的情况下正常工作。我不明白我应该怎么用它。但是它在文档中使用它在某种程度上更安全。
我在User ActiveRecord类中实现了这些方法。
public function generateAuthKey()
{
$this->auth_key = Yii::$app->security->generateRandomString();
}
public function validateAuthKey($authKey)
{
return $this->authKey === $authKey;
}
我甚至在用户创建时将其保存到用户表。但我知道永远不会使用validateAuthKey。我正在使用会话,只有PHPSESSID发送给用户。我是否必须手动设置authKey cookie?这有什么好处?为什么我不能仅通过PHPSESSID授权用户。它已存储在会话表中。会话配置:
'session' => [
'class' => 'yii\web\DbSession',
'sessionTable' => 'session',
],
答案 0 :(得分:1)
Yii2: Why is the auth key in class User?
中已有答案请参阅以下源代码(vendor\yiisoft\yii2\web\User.php):
protected function loginByCookie()
{
$value = Yii::$app->getRequest()->getCookies()->getValue($this->identityCookie['name']);
if ($value === null) {
return;
}
$data = json_decode($value, true);
if (count($data) !== 3 || !isset($data[0], $data[1], $data[2])) {
return;
}
list ($id, $authKey, $duration) = $data;
/* @var $class IdentityInterface */
$class = $this->identityClass;
$identity = $class::findIdentity($id);
if ($identity === null) {
return;
} elseif (!$identity instanceof IdentityInterface) {
throw new InvalidValueException("$class::findIdentity() must return an object implementing IdentityInterface.");
}
if ($identity->validateAuthKey($authKey)) {
if ($this->beforeLogin($identity, true, $duration)) {
$this->switchIdentity($identity, $this->autoRenewCookie ? $duration : 0);
$ip = Yii::$app->getRequest()->getUserIP();
Yii::info("User '$id' logged in from $ip via cookie.", __METHOD__);
$this->afterLogin($identity, true, $duration);
}
} else {
Yii::warning("Invalid auth key attempted for user '$id': $authKey", __METHOD__);
}
}