本文詳細(xì)分析了Yii框架的登錄流程。分享給大家供大家參考。具體分析如下：

Yii對于新手來說上手有點(diǎn)難度，特別是關(guān)于session,cookie和用戶驗(yàn)證。現(xiàn)在我們就Yii中登錄流程，來講講Yii開發(fā)中如何設(shè)置session,cookie和用戶驗(yàn)證方面的一些通用知識

1. 概述

Yii是一個(gè)全棧式的MVC框架,所謂全棧式指的是Yii框架本身實(shí)現(xiàn)了web開發(fā)中所要用到的所有功能,比如MVC,ORM(DAO/ActiveRecord), 全球化(I18N/L10N), 緩存(caching), 基于jQuery Ajax支持(jQuery-based AJAX support), 基于角色的用戶驗(yàn)證(authentication and role-based access control), 程序骨架生成器(scaffolding), 輸入驗(yàn)證(input validation), 窗體小部件(widgets), 事件(events), 主題(theming), web服務(wù)(Web services),日志(logging)等功能. 詳見官方說明.

這里要說的只是Yii的登錄流程. 用Yii開發(fā)一般是用一個(gè)叫做Yii shell的控制臺工具生成一個(gè)程序的骨架,這個(gè)骨架為我們分配好了按MVC方式開發(fā)web程序的基本結(jié)構(gòu),并且是一個(gè)可以直接運(yùn)行的程序. 如果你了解 Ruby on Rails的話,原理是一樣的.

2.網(wǎng)站登錄流程

生成的程序中有一個(gè)protected目錄,下面的controllers目錄有個(gè)叫SiteController.php的文件,這個(gè)文件是自動生成的,里面有一個(gè)叫actionLogin的文件.程序登錄流程默認(rèn)就是從來開始的. Yii把類似于 http://domain.com/index.php?r=site/login 這樣的地址通過叫router的組件轉(zhuǎn)到上面說的actionLogin方法里的. 這個(gè)路由的功能不是的這里說的重點(diǎn).actionLogin方法的代碼是這樣的.

首先初始化一個(gè)LoginForm類,然后判斷是否是用戶點(diǎn)了登錄后的請求(查看請求中有沒有POST數(shù)據(jù)),如果是的話則先驗(yàn)證輸入($model->validate)然后嘗試登錄($model->logiin),如果都成功,就跳轉(zhuǎn)到登錄前的頁面,否則顯示登錄頁面.

3.框架登錄流程

LoginForm類繼承于CFormModel,間接繼承于CModel,所以他提供了CModel提供了一些像驗(yàn)證和錯誤處理方面的功能.其中的login方法就是執(zhí)行驗(yàn)證操作的.方法首先通過用戶提供的用戶名和密碼生成一個(gè)用來表示用戶實(shí)體的UserIdentity類,該類中的authenticate方法執(zhí)行實(shí)際的驗(yàn)證動作,比如從數(shù)據(jù)庫中判斷用戶名和密碼是否匹配. LoginForm類的login方法通過查詢authenticate是否有錯誤發(fā)生來判斷登錄是否成功.如果成功則執(zhí)行Yii::app()->user->login方法來使用戶真正的的登錄到系統(tǒng)中. 前面講到的這些流程是用戶程序提供的,而Yii::app()->user->login也就是CWebUser的login方法是Yii框架提供的流程.我們來看看他做了些什么.下面是該方面的代碼,位于(Yii)webauthCWebUser.php文件中.

參數(shù)$identity是上面登錄時(shí)生成的UserIdentity類,里面包含了基本的用戶信息,如上面的Id,Name,還有可能是其它自定義的數(shù)據(jù)getPersistentStates. 程序首先把$identity中的數(shù)據(jù)復(fù)制到CWebUser的實(shí)例中,這個(gè)過程包括了生成相應(yīng)的session,其實(shí)主要目的是生成session.然后根據(jù)參數(shù)$duration(cookie保存的時(shí)間)和allowAutoLogin屬性來判斷是否生成可以用來下次自動登錄的cookie.如果是則生成cookie(saveToCookie).

首先是新建一個(gè)CHttpCookie,cookie的key通過getStateKeyPrefix方法取得,該方法默認(rèn)返回md5('Yii.'.get_class($this).'.'.Yii::app()->getId());即類名和CApplication的Id,這個(gè)Id又是crc32函數(shù)生成的一個(gè)值.這個(gè)具體的值是多少無關(guān)緊要. 但是每次都是產(chǎn)生一樣的值的. 接著設(shè)置expire,cookie的過期時(shí)間,再新建一個(gè)array,包含了基本數(shù)據(jù),接著比較重要的是計(jì)算取得cookie的值,$app->getSecurityManager()->hashData(serialize($data)), getSecurityManager返回一個(gè)CSecurityManager的對象,并調(diào)用hashData方法.

hashData調(diào)用computHMAC方法生成一個(gè)hash值. hash的算法有SHA1和MD5兩種,默認(rèn)是用SHA1的. hash的時(shí)候還要生成一個(gè)validationKey(驗(yàn)證碼)的,然后把驗(yàn)證碼和要hash的值進(jìn)行一些故意安排的運(yùn)算,最終生成一個(gè)40位的SHA1,hash值.  hashData方法最終返回的是computeHMAC生成的hash值和經(jīng)序列化的原始數(shù)據(jù)生成的字符串.這個(gè)過程有也許會有疑問. 如為什么要有驗(yàn)證碼?

我們先來看一下基于cookie的驗(yàn)證是怎么操作的.服務(wù)器生成一個(gè)cookie后發(fā)送的瀏覽器中,并根據(jù)過期時(shí)間保存在瀏覽器中一段時(shí)間.用戶每次通過瀏覽器訪問這個(gè)網(wǎng)站的時(shí)候都會隨HTTP請求把cookie發(fā)送過去,這是http協(xié)議的一部分, 與語言和框架無關(guān)的. 服務(wù)器通過判斷發(fā)過來的cookie來決定該用戶是否可以把他當(dāng)作已登錄的用戶.但是cookie是客戶端瀏覽器甚至其它程序發(fā)過來的,也就是說發(fā)過來的cookie可能是假的中被篡改過的.所以服務(wù)器要通過某種驗(yàn)證機(jī)制來判斷是否是之后自己發(fā)過去的cookie.這個(gè)驗(yàn)證機(jī)制就是在cookie中包含一個(gè)hash值和生成這串hash值的原始數(shù)據(jù).服務(wù)器接到cookie后取出原始數(shù)據(jù),然后按原來的方法生成一個(gè)hash值來和發(fā)過來的hash值比較,如果相同,則信任該cookie,否則肯定是非法請求.比如我的Yii網(wǎng)站生成了這樣一個(gè)cookie:

cookie name:b72e8610f8decd39683f245d41394b56

cookie value: 1cbb64bdea3e92c4ab5d5cb16a67637158563114a%3A4%3A%7Bi%3A0%3Bs%3A7%3A%22maxwell%22%3Bi%3A1%3Bs%3A7%3A%22maxwell%22%3Bi%3A2%3Bi%3A3600%3Bi%3A3%3Ba%3A2%3A%7Bs%3A8%3A%22realname%22%3Bs%3A6%3A%22helloc%22%3Bs%3A4%3A%22myId%22%3Bi%3A123%3B%7D%7D

cookie name是網(wǎng)站統(tǒng)一生成的一個(gè)md5值. cookie value的值為兩個(gè)部分,就是hashData方法生成的一個(gè)字符串.前面部分是hash值,后面是原始值.也就是說前面的1cbb64bdea3e92c4ab5d5cb16a67637158563114是hash值,后面是原始值.這個(gè)hash值是用SHA1生成的40位的字符串. 服務(wù)器把后面的原始值通過算法hash出一個(gè)值和這個(gè)傳過來的hash值比較就知道是合法不審非法請求了. 那驗(yàn)證碼呢?

如果服務(wù)器只是簡單的把后面的原始值直接用SHA1或MD5,hash的話,那發(fā)送請求的人可以隨意修改這個(gè)原始值和hash值來通過服務(wù)器的驗(yàn)證.因?yàn)镾HA1算法是公開的,每個(gè)人都可以使用. 所以服務(wù)端需要在hash的時(shí)候加一個(gè)客戶端不知道的驗(yàn)證碼來生成一個(gè)客戶端無法通過原始值得到正確hash的hash值(有點(diǎn)繞:) ). 這就是需要驗(yàn)證碼的原因.并且這個(gè)驗(yàn)證碼必須是全站通用的,所以上面的getValidationKey方法是生成一個(gè)全站唯一的驗(yàn)證碼并保存起來.默認(rèn)情況下,驗(yàn)證碼是一個(gè)隨機(jī)數(shù),并保存在(yii)runtimestate.bin文件中.這樣對每個(gè)請求來說都是一樣的.

登錄流程的最后就是把生成的cookie發(fā)送到瀏覽器中. 下次請求的時(shí)候可以用來驗(yàn)證.

希望本文所述對大家基于Yii框架的PHP程序設(shè)計(jì)有所幫助。