Nette REST API 套件

dev-master 2024-05-31 11:02 UTC

This package is not auto-updated.

Last update: 2024-09-20 22:07:52 UTC


README

Build Status

此仓库正在开发中。

内容

需求

Drahak/Restful 需要 PHP 版本 5.3.0 或更高。唯一的依赖项是 Nette 框架 2.0.x。Restful 也能很好地与我的 Drahak\OAuth2 提供者配合使用(见 使用 OAuth2 保护资源

安装与设置

最简单的方法是使用 Composer

$ composer require drahak/restful:@dev

然后通过将以下代码添加到 bootstrap.php(在创建容器之前)来注册扩展

Drahak\Restful\DI\RestfulExtension::install($configurator);

或者在 config.neon 中注册

extensions:
  restful: Drahak\Restful\DI\RestfulExtension

Neon 配置

您可以在 config.neon 中的 restful 部分配置 Drahak\Restful 库

restful:
	convention: 'snake_case'
	cacheDir: '%tempDir%/cache'
	jsonpKey: 'jsonp'
	prettyPrintKey: 'pretty'
	routes:
		generateAtStart: FALSE
		prefix: resources
		module: 'RestApi'
		autoGenerated: TRUE
		panel: TRUE
	mappers:
		myMapper:
			contentType: 'multipart/form-data'
			class:  \App\MyMapper
	security:
		privateKey: 'my-secret-api-key'
		requestTimeKey: 'timestamp'
		requestTimeout: 300
  • cacheDir:没什么好说的,就是存储缓存的目录
  • jsonpKey:设置查询参数名称,启用 JSONP 封装模式。如果您想禁用它,则将其设置为 FALSE。
  • prettyPrintKey:API 默认以美观打印方式打印每个资源。您可以使用此查询参数来禁用它
  • convention:资源数组键约定。目前支持 3 个值:snake_casecamelCase & PascalCase,这些值会自动转换资源数组键。您可以编写自己的转换器。只需实现 Drahak\Restful\Resource\IConverter 接口,并用 restful.converter 标记您的服务即可。
  • routes.generateAtStart:在 Router 的开始处生成路由(仅适用于自动生成的路由,并且如果通过 config.neon 设置了 Router)
  • routes.prefix:掩码前缀到资源路由(仅适用于自动生成的路由)
  • routes.module:资源路由的默认模块(仅适用于自动生成的路由)
  • routes.autoGenerated:如果为 TRUE,则库会自动从 Presenter 动作方法注释中生成资源路由(见下文)
  • routes.panel:如果为 TRUE,则资源路由面板将出现在您的 nette 调试栏中
  • mappers:替换现有映射器或为不同内容类型添加新映射器
  • security.privateKey:用于散列受保护请求的私钥
  • security.requestTimeKey:请求体中的密钥,其中可以找到请求时间戳(见下文 - 安全与认证
  • security.requestTimeout:最大请求时间戳年龄

提示:为您的资源使用 gzip 压缩。您可以在 neon 中简单地启用它

php:
    zlib.output_compression: yes

资源路由面板

默认情况下已启用,但您可以通过将 restful.routes.panel 设置为 FALSE 来禁用它。此面板显示所有 REST API 资源路由(即默认路由列表中实现 IResourceRouter 接口的所有路由)。这对于开发客户端应用程序的开发者来说很有用,这样他们就可以在一个地方找到所有 API 资源路由。 REST API resource routes panel

示例用法

<?php
namespace ResourcesModule;

use Drahak\Restful\IResource;
use Drahak\Restful\Application\UI\ResourcePresenter;

/**
 * SamplePresenter resource
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class SamplePresenter extends ResourcePresenter
{

   protected $typeMap = array(
       'json' => IResource::JSON,
       'xml' => IResource::XML
   );

   /**
    * @GET sample[.<type xml|json>]
    */
   public function actionContent($type = 'json')
   {
       $this->resource->title = 'REST API';
       $this->resource->subtitle = '';
       $this->sendResource($this->typeMap[$type]);
   }

   /**
    * @GET sample/detail
    */
   public function actionDetail()
   {
       $this->resource->message = 'Hello world';
   }

}

资源输出由 Accept 头部确定。库会检查头部中的 application/xmlapplication/jsonapplication/x-data-urlapplication/www-form-urlencoded,并按照 Accept 头部的顺序保持。

注意:如果您使用第一个参数中的 MIME 类型调用 $presenter->sendResource() 方法,API 只会接受这个类型。

另请注意:有可用的注解 @GET@POST@PUT@HEAD@DELETE。这允许 Drahak\Restful 库为您生成 API 路由,因此您不需要手动进行。但不是必需的!您可以使用 IResourceRoute 或其默认实现(例如)来定义路由。

<?php
use Drahak\Restful\Application\Routes\ResourceRoute;

$anyRouteList[] = new ResourceRoute('sample[.<type xml|json>]', 'Resources:Sample:content', ResourceRoute::GET);

与 Nette 默认路由不同,只有一个参数,即请求方法。这允许您为例如 GET 和 POST 方法生成相同的 URL。您可以将此参数作为标志传递给路由,以便可以组合更多的请求方法,例如 ResourceRoute::GET | ResourceRoute::POST,以在同一个路由上监听 GET 和 POST 请求方法。

您还可以为每个请求方法定义操作名称字典

<?php
new ResourceRoute('myResourceName', array(
    'presenter' => 'MyResourcePresenter',
    'action' => array(
        ResourceRoute::GET => 'content',
        ResourceRoute::DELETE => 'delete'
    )
), ResourceRoute::GET | ResourceRoute::DELETE);

简单的 CRUD 资源

这很好,但在许多情况下,我只定义 CRUD 操作,那么我如何更直观地做呢?使用 CrudRoute!这是 ResourceRoute 的子类,为您预先定义了基本的 CRUD 操作。具体来说,对于 POST 方法是 Presenter:create,对于 GET 是 Presenter:read,对于 PUT 是 Presenter:update,对于 DELETE 是 Presenter:delete。然后您的路由器将看起来像这样

<?php
new CrudRoute('<module>/crud', 'MyResourcePresenter');

注意第二个参数,元数据。您只需定义 Presenter 而不是操作名称。这是因为操作名称将由来自 actionDictionary 的值替换([CrudRoute::POST => 'create', CrudRoute::GET => 'read', CrudRoute::PUT => 'update', CrudRoute::DELETE => 'delete']),这是 ResourceRoute 的属性,因此即使是 CrudRoute(因为它是其子类)。注意,我们不需要设置标志。默认标志设置为 CrudRoute::CRUD,因此路由将匹配所有请求方法。

然后您可以简单地定义您的 CRUD 资源 Presen

<?php
namespace ResourcesModule;

/**
 * CRUD resource presenter
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class CrudPresenter extends BasePresenter
{

    public function actionCreate()
    {
        $this->resource->action = 'Create';
    }

    public function actionRead()
    {
        $this->resource->action = 'Read';
    }

    public function actionUpdate()
    {
        $this->resource->action = 'Update';
    }

    public function actionDelete()
    {
        $this->resource->action = 'Delete';
    }

}

注意:如果请求中指定了 X-HTTP-Method-Override 头部或向 URL 中添加了查询参数 __method,则可以覆盖每个请求方法。

现在有关系了

关系在 RESTful 服务中很常见,但在 URL 中如何处理它?我们的目标是这样的 GET /articles/94/comments[/5],其中括号中的 ID 可能是可选的。路由将如下所示

$router[] = new ResourceRoute('api/v1/articles/<id>/comments[/<commentId>]', array(
    'presenter' => 'Articles',
    'action' => array(
        IResourceRouter::GET => 'readComment',
        IResourceRouter::DELETE => 'deleteComment'
    )
), IResourceRouter::GET | IResourceRouter::DELETE);

请求参数在操作名称中

相当长。因此,有一个选项可以将其泛化。现在它看起来像这样

$router[] = new ResourceRoute('api/v1/<presenter>/<id>/<relation>[/<relationId>]', array(
    'presenter' => 'Articles',
    'action' => array(
        IResourceRouter::GET => 'read<Relation>',
        IResourceRouter::DELETE => 'delete<Relation>'
    )
), IResourceRouter::GET | IResourceRouter::DELETE);

更好,但仍然相当长。让我们再次使用 CrudRoute

$router[] = new CrudRoute('api/v1/<presenter>/<id>/[<relation>[/<relationId>]]', 'Articles');

这是最短的方式。它之所以可行,是因为 CrudRoute 中的操作字典基本上如下。

array(
    IResourceRouter::POST => 'create<Relation>',
    IResourceRouter::GET => 'read<Relation>',
    IResourceRouter::PUT => 'update<Relation>',
    IResourceRouter::DELETE => 'delete<Relation>'
)

还可以看看这个单一路由的几个示例

    GET api/v1/articles/94                  => Articles:read
    DELETE api/v1/articles/94               => Articles:delete
    GET api/v1/articles/94/comments         => Articles:readComments
    GET api/v1/articles/94/comments/5       => Articles:readComments
    DELETE api/v1/articles/94/comments/5    => Articles:deleteComments
    POST api/v1/articles/94/comments        => Articles:createComments
    ...

当然,您可以将多个参数添加到操作名称中,并创建更长的关系。

注意:如果 关系 或操作名称中的任何其他参数不存在,则将其忽略,并使用不带参数的名称。

另请注意:操作名称中的参数不区分大小写

访问输入数据

如果您想构建REST API,您可能还想访问所有请求方法(GET、POST、PUT、DELETE和HEAD)的查询输入数据。因此,该库定义了输入解析器,它读取数据并将其解析为数组。数据可以从查询字符串或请求体中获取,并通过IMapper进行解析。首先,库会查找请求体。如果它不为空,它会检查Content-Type头并确定正确的映射器(例如,对于application/json -> JsonMapper等)。然后,如果请求体为空,尝试获取POST数据,最后甚至获取URL查询数据。

<?php
namespace ResourcesModule;

/**
 * Sample resource
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class SamplePresenter extends BasePresenter
{

	/**
	 * @PUT <module>/sample
	 */
	public function actionUpdate()
	{
		$this->resource->message = isset($this->input->message) ? $this->input->message : 'no message';
	}

}

它的好处是您不必关心请求方法。Nette Drahak REST API库会为您选择正确的输入解析器,但它仍然取决于您如何处理它。有一个可用的InputIterator,因此您可以在表示器中遍历输入或在您自己的输入解析器中作为迭代器使用。

输入数据验证

访问输入数据的第一条规则:永远不要相信客户端!这确实非常重要,因为这是安全性的关键特性。那么如何正确地做呢?您可能已经知道Nette Forms及其验证。让我们在Restful中做同样的事情!您可以定义每个输入数据字段的验证规则。要获取字段(确切地说,是Drahak\Restful\Validation\IField),只需在Input(在表示器中:$this->input)上调用带有字段名的field方法。然后定义规则(几乎)像在Nette中一样。

/**
 * SamplePresenter resource
 * @package Restful\Api
 * @author Drahomír Hanák
 */
class SamplePresenter extends BasePresenter
{

	public function validateCreate()
	{
    	$this->input->field('password')
    		->addRule(IValidator::MIN_LENGTH, NULL, 3)
    		->addRule(IValidator::PATTERN, 'Please add at least one number to password', '/.*[0-9].*/');
	}

    public function actionCreate()
    {
    	// some save data insertion
	}

}

就是这样!它并不完全像Nette,但非常相似。至少是基础公共接口。

注意:验证方法validateCreate。这个新的生命周期方法validate<Action>()将在每个操作方法action<Action>()之前进行处理。这不是必需的,但用于定义一些验证规则或验证数据是很好的。如果验证失败,将抛出带有代码HTT/1.1 422(UnprocessableEntity)的BadRequestException异常,该异常可以由错误表示器处理。

错误显示器

为客户端提供可读错误响应的最简单但功能强大的方法之一是使用$presenter->sendErrorResponse(Exception $e)方法。最简单的错误表示器可能如下所示

<?php
namespace Restful\Api;

use Drahak\Restful\Application\UI\ResourcePresenter;

/**
 * Base API ErrorPresenter
 * @package Restful\Api
 * @author Drahomír Hanák
 */
class ErrorPresenter extends ResourcePresenter
{

	/**
	 * Provide error to client
	 * @param \Exception $exception
	 */
	public function actionDefault($exception)
	{
		$this->sendErrorResource($exception);
	}

}

客户端可以像在正常API资源中一样确定首选格式。实际上,它只是将异常数据添加到资源中并发送到输出。

安全与认证

Restful提供了一些方法来保护您的资源

基本身份验证

这是一个完全基本但功能强大的资源保护方法。它基于标准的Nette用户身份验证(如果用户未登录,则抛出安全异常,该异常提供给客户端),因此它适用于受信任的客户端(例如自己的客户端应用程序等)。由于这是常见的Restful,它包含SecuredResourcePresenter作为ResourcePresenter的子类,它已经为您处理了BasicAuthentication。请参见示例

use Drahak\Restful\Application\UI\SecuredResourcePresenter

/**
 * My secured resource presenter
 * @author Drahomír Hanák
 */
class ArticlesPresenter extends SecuredResourcePresenter
{

    // all my resources are protected and reachable only for logged user's
    // you can also add some Authorizator to check user rights

}

提示:小心使用此身份验证(以及标准事物,如用户身份)。记住保持REST API无状态。务实地说,这不是一个好的方法,但这是最简单的方法。

受保护的身份验证

当第三方客户端连接时,您必须找到另一种方法来对这些请求进行身份验证。SecuredAuthentication是这一点的答案。它基于发送带有私有密钥的散列数据。由于数据已经加密,因此它不依赖于SSL。身份验证过程如下

理解身份验证过程

  • 客户端:将请求时间戳附加到请求体中。
  • 客户端:使用hash_hmac(sha256算法)和私有密钥对所有数据进行散列。然后将生成的散列附加到请求的X-HTTP-AUTH-TOKEN头(默认情况下)。
  • 客户端:将请求发送到服务器。
  • 服务器:接受客户端的请求并以相同的方式计算散列(使用抽象模板类AuthenticationProcess)。
  • 服务器:将客户端的散列与之前步骤中生成的散列进行比较。
  • 服务器:也检查请求时间戳并计算差值。如果大于300(5分钟),则抛出异常。(这避免了所谓的重放攻击
  • 服务器:捕获抛出AuthenticationProcess的任何SecurityException并提供错误响应。

默认的AuthenticationProcessNullAuthentication,所以所有请求都是未加密的。您可以使用SecuredAuthentication来保护您的资源。要做到这一点,只需将此认证过程设置为restful.authentication中的AuthenticationContext$presenter->authentication

<?php
namespace ResourcesModule;

use Drahak\Restful\Security\Process\SecuredAuthentication;

/**
 * CRUD resource presenter
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class CrudPresenter extends BasePresenter
{

	/** @var SecuredAuthentication */
	private $securedAuthentication;

	/**
	 * Inject secured authentication process
	 * @param SecuredAuthentication $auth
	 */
	public function injectSecuredAuthentication(SecuredAuthentication $auth)
	{
		$this->securedAuthentication = $auth;
	}

	protected function startup()
	{
		parent::startup();
		$this->authentication->setAuthProcess($this->securedAuthentication);
	}

	// your secured resource action
}
永远不要发送私钥!

使用 OAuth2 保护资源

如果您想使用OAuth2保护您的API资源,则需要一些OAuth2提供者。我实现了Nette框架的OAuth2提供者包,因此您可以使用Restful。要做到这一点,只需将依赖项"drahak/oauth2": "dev-master"添加到您的composer,然后使用OAuth2Authentication,它是AuthenticationProcess。如果您想使用其他OAuth2提供者,您可以编写自己的AuthenticationProcess

<?php
namespace Restful\Api;

use Drahak\Restful\IResource;
use Drahak\Restful\Security\Process\AuthenticationProcess;
use Drahak\Restful\Security\Process\OAuth2Authentication;

/**
 * CRUD resource presenter
 * @package Restful\Api
 * @author Drahomír Hanák
 */
class CrudPresenter extends BasePresenter
{

	/** @var AuthenticationProcess */
	private $authenticationProcess;

	/**
	 * Inject authentication process
	 * @param OAuth2Authentication $auth
	 */
	public function injectSecuredAuthentication(OAuth2Authentication $auth)
	{
		$this->authenticationProcess = $auth;
	}

	/**
	 * Check presenter requirements
	 * @param $element
	 */
	public function checkRequirements($element)
	{
		parent::checkRequirements($element);
		$this->authentication->setAuthProcess($this->authenticationProcess);
	}

	// ...

}

注意:这只是一个资源服务器,它处理访问令牌授权。要生成访问令牌,您需要创建OAuth2演示者(资源所有者和授权服务器 - 见Drahak\OAuth2文档)。

JSONP 支持

如果您想通过JavaScript在远程主机上访问API资源,您不能在API上执行正常的AJAX请求。所以JSONP是替代方法。在JSONP请求中,您使用HTML中的标准script标签将API资源作为JavaScript加载。API将JSON字符串包裹在回调函数参数中。这实际上很简单,但需要特别注意。例如,您无法访问响应头或状态码。您可以将这些头和状态码包装到所有资源中,但这不适合正常的API客户端,它们可以访问头信息。该库允许您添加特殊的查询参数jsonp(名称取决于您的配置,这是默认值)。如果您通过?jsonp=callback访问资源,API将自动确定JSONP模式并将所有资源包裹到以下JavaScript中

callback({
	"response": {
		"yourResourceData": "here"
	},
	"status": 200,
	"headers": {
		"X-Powered-By": "Nette framework",
		...
	}
})

注意:函数名称。这是来自jsonp查询参数的名称。该字符串通过Nette\Utils\Strings::webalize(jsonp, NULL, FALSE)进行“web化”。如果您在配置中将jsonpKey设置为FALSENULL,您将完全禁用所有API资源的JSONP模式。然后您可以手动触发它。只需将IResource$contentType属性设置为IResource::JSONP

另外注意:如果此选项启用且客户端将jsonp参数添加到查询字符串中,无论您将什么设置为$presenter->resource->contentType,它都会产生JsonpResponse

使生活更美好的实用工具

过滤API请求是例行公事。这就是为什么再次做这件事很无聊。Restful提供RequestFilter,它为您解析最常见的事情。在ResourcePresenter中,您可以在$requestFilter属性中找到RequestFilter

分页器

通过将offsetlimit参数添加到查询字符串,您可以创建标准的Nette Paginator。然后您的API资源将响应Link头(其中“最后一页”部分和X-Total-Count头仅在您将项目总数设置到分页器时提供)。

Link: <URL_to_next_page>; rel="next",
      <URL_to_last_page>; rel="last"
X-Total-Count: 1000

字段列表

如果您只想加载资源的一部分(例如,加载整个资源数据很昂贵),您应该将带有所需字段列表的fields参数添加到查询参数中(例如,fields=user_id,name,email)。在RequestFilter中,您可以通过调用getFieldsList()方法获取此列表(array('user_id', 'name', 'email'))。

排序列表

如果您想对资源提供的数据进行排序,您可能需要根据排序的属性。为了尽可能简化,您可以从sort查询参数(例如sort=name,-created_at)获取,通过调用RequestFilter方法的getSortList(),得到array('name' => 'ASC', 'created_at' => 'DESC')

这就是全部了。祝您使用愉快,希望您喜欢!