goalio / goalio-rememberme
为ZfcUser添加“记住我”功能
Requires
- zf-commons/zfc-user: 1.*
This package is not auto-updated.
Last update: 2024-09-11 11:18:43 UTC
README
版本 1.0.0 由goalio UG (haftungsbeschränkt) 创建
简介
GoalioRememberMe是ZfcUser的扩展模块,提供在后续访问网站时保持登录状态的功能。
信息
我开发了此模块用于我们的goalio应用程序。目前没有测试,并且由于我们是一家只有两名开发人员的小公司,支持可能有点慢。我非常感谢任何反馈,Pull requests甚至更好。
需求
- Zend Framework 2 (ZfcUser的需求)。
- ZfcBase (ZfcUser的需求)。
- ZfcUser (1.*).
功能/目标
- 添加保持登录的可插拔行为 [已完成]
- 提供更新的登录视图 [已完成]
- 提供如何使用cookie信息的示例,例如区分cookie和常规登录 [未完成]
安装
主要设置
使用composer
-
将此项目和需求添加到您的composer.json中
"require": { "goalio/goalio-rememberme": "1.*" }
-
现在运行以下命令让composer下载ZfcUser
$ php composer.phar update
安装后
-
在您的
application.config.php
文件中启用它。<?php return array( 'modules' => array( // ... 'ZfcBase', 'ZfcUser', 'GoalioRememberMe' ), // ... );
-
然后导入位于
./vendor/goalio/goalio-rememberme/data/schema.sql
的SQL模式。
安装后:Zend\Db
-
如果您在服务管理器配置中还没有有效的Zend\Db\Adapter\Adapter,请在
./config/autoload/database.local.php
中添加以下内容<?php $dbParams = array( 'database' => 'changeme', 'username' => 'changeme', 'password' => 'changeme', 'hostname' => 'changeme', ); return array( 'service_manager' => array( 'factories' => array( 'Zend\Db\Adapter\Adapter' => function ($sm) use ($dbParams) { return new Zend\Db\Adapter\Adapter(array( 'driver' => 'pdo', 'dsn' => 'mysql:dbname='.$dbParams['database'].';host='.$dbParams['hostname'], 'database' => $dbParams['database'], 'username' => $dbParams['username'], 'password' => $dbParams['password'], 'hostname' => $dbParams['hostname'], )); }, ), ), );
安装后:Doctrine2 ORM
有一个额外的模块用于Doctrine集成 GoalioRememberMeDoctrineORM
使用方法
导航到http://yourproject/user,您应该会进入登录页面。
选项
RememberMe模块有一些选项,允许您快速自定义基本功能。安装后,将./vendor/goalio/goalio-rememberme/config/goaliorememberme.global.php.dist
复制到./config/autoload/goaliorememberme.global.php
,并按需更改值。
以下选项可用
- remember_me_entity_class - 要使用的Entity类的名称。对于使用默认提供的类以外的自定义类很有用。默认是
GoalioRememberMe\Entity\RememberMe
。 - cookie_expire - 当登录cookie应该过期时的秒数整数值。默认为
2592000
(30天)。 - cookie_domain - 应为该cookie设置的域的字符串值。默认为null。
安全
为了登录目的,拥有这样的cookie会削弱应用程序的安全性,因为这些值可能被猜测,并且它们除了默认使用的身份/凭证组合外还提供了一个第二个入口点。
为了降低这种风险,已经采取了预防措施。例如,在http://jaspan.com/improved_persistent_login_cookie_best_practice中提到的解决方案允许识别是否有人使用了“记住我”令牌,并为用户提供必要的提示(更改密码等)。
自定义
请就本模块的任何问题进行评论或提供反馈,如果任何东西不按预期工作。除非出现安全问题,否则实际上不需要修改行为,但因为我自己在模块的使用上很有创意,我非常想听听如何扩展功能。
它是如何工作的
此模块向 ZfcUser 中的 Process 添加了一个额外的 AuthenticationAdapter。如果之前的任何身份验证都成功(即默认情况),并且用户请求设置 cookie,适配器将执行此操作并在数据库中创建必要的更新以识别该 cookie。
在之后的访问中,模块的引导过程中会检查 cookie 的存在,以提供用户身份验证的早期切入点。它存储在会话中,表明登录是通过 cookie 完成的,因此某些操作应在没有额外登录的情况下被禁止(例如更改密码、访问支付信息等)。
致谢
感谢 Daniel Strøm(https://github.com/Danielss89)为 cookie 适配器等大部分基础工作。