如何禁用Yii的内置身份验证? (/ site / login)。
我正在使用扩展程序进行身份验证,并且不希望将内置登录文件保持打开状态 - 这可能是一个安全问题。
答案 0 :(得分:2)
我认为您可以删除站点控制器中用于登录和注销的操作,即 mywebapp / protected / controllers / SiteController.php中的actionLogin()
和actionLogout()
文件
和登录视图,即 mywebapp / protected / views / site / login.php ,
并删除模型,即 mywebapp / protected / models内部/LoginForm.php 强>点。
此外,我建议您更改 mywebapp / protected / components 文件夹中的UserIdentity.php,或删除它并编写您自己的身份类。
如果您需要任何提示来编写您的身份等级,请查看this link上的API。
答案 1 :(得分:1)
这部分取决于您的扩展程序如何管理访问控制,我假设当您说“内置身份验证”时,您指的是Gii生成的文件。
如果删除/注释掉控制器文件中的accessControl
过滤器以及accessRules()
方法以获得良好的衡量标准,那么这几乎应该禁用生成的访问控制/身份验证。< / p>
假设您的扩展程序不需要它们,您可以删除/views/site/login.php和/components/UserIdentity.php文件以及其他相关文件。