搜索isigar/restful
Nette REST API 扩展包
Requires
- php: >= 5.3.0
- nette/application: ~2.0|~3.0
- nette/bootstrap: ~2.0|~3.0
- nette/caching: ~2.0|~3.0
- nette/deprecated: ~2.0|~3.0
- nette/di: ~2.0|~3.0
- nette/http: ~2.0|~3.0
- nette/reflection: ~2.0|~3.0
- nette/robot-loader: ~2.0|~3.0
- nette/security: ~2.0|~3.0
- nette/utils: ~2.0|~3.0
Requires (Dev)
- drahak/oauth2: dev-master
- jakub-onderka/php-parallel-lint: ~0.8
- janmarek/mockista: 1.0.0
- nette/tester: ~1.3
This package is not auto-updated.
Last update: 2024-09-29 06:14:16 UTC
README
此存储库正在开发中。
内容
要求
Drahak/Restful 需要 PHP 版本 5.3.0 或更高。唯一的依赖是 Nette 框架 2.0.x。Restful 还与我的 Drahak\OAuth2 提供者配合良好(见使用 OAuth2 保护您的资源)
安装与设置
最简单的方法是使用 Composer
$ composer require drahak/restful:@dev
然后在 bootstrap.php 中注册扩展,将以下代码添加到其中(在创建容器之前)
Drahak\Restful\DI\RestfulExtension::install($configurator);
或在 config.neon 中注册它
extensions: restful: Drahak\Restful\DI\RestfulExtension
Neon 配置
您可以在 config.neon 中的 restful 部分配置 Drahak\Restful 库
restful: convention: 'snake_case' cacheDir: '%tempDir%/cache' jsonpKey: 'jsonp' prettyPrintKey: 'pretty' routes: generateAtStart: FALSE prefix: resources module: 'RestApi' autoGenerated: TRUE panel: TRUE mappers: myMapper: contentType: 'multipart/form-data' class: \App\MyMapper security: privateKey: 'my-secret-api-key' requestTimeKey: 'timestamp' requestTimeout: 300
cacheDir:无需多言,只是存储缓存的目录jsonpKey:设置查询参数名称,启用 JSONP 封装模式。如果您想禁用它,请设置为 FALSE。prettyPrintKey:API 默认以美化打印方式打印每个资源。您可以使用此查询参数禁用它convention:资源数组键约定。当前支持 3 个值:snake_case、camelCase和PascalCase,这些会自动转换资源数组键。您可以编写自己的转换器。只需实现Drahak\Restful\Resource\IConverter接口,并用restful.converter标注您的服务。routes.generateAtStart:在 Router 的开始处生成路由(仅适用于自动生成的路由,并且如果 Router 在 config.neon 中设置,则适用)routes.prefix:对资源路由应用掩码前缀(仅适用于自动生成的路由)routes.module:资源路由的默认模块(仅适用于自动生成的路由)routes.autoGenerated:如果为TRUE,则库将从 Presenter 动作方法注释自动生成资源路由(见下文)routes.panel:如果为TRUE,则资源路由面板将出现在您的 nette 调试栏中mappers:替换现有映射器或为不同的内容类型添加新映射器security.privateKey:用于哈希受保护请求的私钥security.requestTimeKey:请求体中的键,其中包含请求时间戳(见下文 - 安全与认证)security.requestTimeout:最大请求时间戳年龄
提示:使用 gzip 压缩您的资源。您可以在 neon 中简单地启用它
php: zlib.output_compression: yes
资源路由面板
默认情况下已启用,但您可以通过将 restful.routes.panel 设置为 FALSE 来禁用它。此面板显示所有 REST API 资源路由(即默认路由列表中实现 IResourceRouter 接口的所有路由)。这对于开发客户端应用程序的开发者很有用,他们可以将所有 API 资源路由放在一个地方。
示例用法
<?php namespace ResourcesModule; use Drahak\Restful\IResource; use Drahak\Restful\Application\UI\ResourcePresenter; /** * SamplePresenter resource * @package ResourcesModule * @author Drahomír Hanák */ class SamplePresenter extends ResourcePresenter { protected $typeMap = array( 'json' => IResource::JSON, 'xml' => IResource::XML ); /** * @GET sample[.<type xml|json>] */ public function actionContent($type = 'json') { $this->resource->title = 'REST API'; $this->resource->subtitle = ''; $this->sendResource($this->typeMap[$type]); } /** * @GET sample/detail */ public function actionDetail() { $this->resource->message = 'Hello world'; } }
资源输出由 Accept 标头确定。库检查 application/xml、application/json、application/x-data-url 和 application/www-form-urlencoded 标头,并保持 Accept 标头中的顺序。
注意:如果您使用带有 MIME 类型的第一个参数调用 $presenter->sendResource() 方法,API 只会接受此 MIME 类型。
另外注意:有可用的注解 @GET、@POST、@PUT、@HEAD、@DELETE。这允许 Drahak\Restful 库为您生成 API 路由,因此您无需手动操作。但这不是必需的!您可以使用 IResourceRoute 或其默认实现(例如)来定义您的路由。
<?php use Drahak\Restful\Application\Routes\ResourceRoute; $anyRouteList[] = new ResourceRoute('sample[.<type xml|json>]', 'Resources:Sample:content', ResourceRoute::GET);
与 Nette 默认路由不同,这里只有一个参数,即请求方法。这允许您为例如 GET 和 POST 方法生成相同的 URL。您可以将此参数传递给路由作为标志,以便可以将更多请求方法组合在一起,例如 ResourceRoute::GET | ResourceRoute::POST 以在同一个路由上监听 GET 和 POST 请求方法。
您还可以为每个请求方法定义动作名称字典
<?php new ResourceRoute('myResourceName', array( 'presenter' => 'MyResourcePresenter', 'action' => array( ResourceRoute::GET => 'content', ResourceRoute::DELETE => 'delete' ) ), ResourceRoute::GET | ResourceRoute::DELETE);
简单的 CRUD 资源
这很好,但在许多情况下,我只定义 CRUD 操作,那么如何更直观地做到这一点呢?使用 CrudRoute!这是 ResourceRoute 的一个子类,为您预先定义了基本的 CRUD 操作。具体来说,对于 POST 方法是 Presenter:create,对于 GET 是 Presenter:read,对于 PUT 是 Presenter:update,对于 DELETE 是 Presenter:delete。然后您的路由器将如下所示
<?php new CrudRoute('<module>/crud', 'MyResourcePresenter');
注意:第二个参数是元数据。您可以只定义 Presenter 而不是动作名称。这是因为动作名称将由来自 actionDictionary 的值替换([CrudRoute::POST => 'create', CrudRoute::GET => 'read', CrudRoute::PUT => 'update', CrudRoute::DELETE => 'delete']),该值是 ResourceRoute 的属性,即使是 CrudRoute 也一样,因为它是其子类。另外注意,我们不需要设置标志。默认标志设置为 CrudRoute::CRUD,因此路由将匹配所有请求方法。
然后您可以简单地定义您的 CRUD 资源演示者
<?php namespace ResourcesModule; /** * CRUD resource presenter * @package ResourcesModule * @author Drahomír Hanák */ class CrudPresenter extends BasePresenter { public function actionCreate() { $this->resource->action = 'Create'; } public function actionRead() { $this->resource->action = 'Read'; } public function actionUpdate() { $this->resource->action = 'Update'; } public function actionDelete() { $this->resource->action = 'Delete'; } }
注意:如果请求中指定了 X-HTTP-Method-Override 标头或通过将查询参数 __method 添加到 URL 中,则可以覆盖每个请求方法。
让我们来定义关系
关系在 RESTful 服务中很常见,但在 URL 中如何处理它?我们的目标是这样的 GET /articles/94/comments[/5],其中括号中的 ID 可能是可选的。路由将如下所示
$router[] = new ResourceRoute('api/v1/articles/<id>/comments[/<commentId>]', array( 'presenter' => 'Articles', 'action' => array( IResourceRouter::GET => 'readComment', IResourceRouter::DELETE => 'deleteComment' ) ), IResourceRouter::GET | IResourceRouter::DELETE);
请求参数在动作名称中
这相当长。因此,有一个选项可以泛化它。现在它看起来像这样
$router[] = new ResourceRoute('api/v1/<presenter>/<id>/<relation>[/<relationId>]', array( 'presenter' => 'Articles', 'action' => array( IResourceRouter::GET => 'read<Relation>', IResourceRouter::DELETE => 'delete<Relation>' ) ), IResourceRouter::GET | IResourceRouter::DELETE);
好多了,但仍然相当长。让我们再次使用 CrudRoute
$router[] = new CrudRoute('api/v1/<presenter>/<id>/[<relation>[/<relationId>]]', 'Articles');
这是最短的方法。它之所以有效,是因为 CrudRoute 中的动作字典基本上如下。
array( IResourceRouter::POST => 'create<Relation>', IResourceRouter::GET => 'read<Relation>', IResourceRouter::PUT => 'update<Relation>', IResourceRouter::DELETE => 'delete<Relation>' )
还可以看看这个单个路由的几个示例
GET api/v1/articles/94 => Articles:read
DELETE api/v1/articles/94 => Articles:delete
GET api/v1/articles/94/comments => Articles:readComments
GET api/v1/articles/94/comments/5 => Articles:readComments
DELETE api/v1/articles/94/comments/5 => Articles:deleteComments
POST api/v1/articles/94/comments => Articles:createComments
...
当然,您可以将多个参数添加到动作名称中,并创建更长的关系。
注意:如果 关系 或动作名称中的任何其他参数不存在,它将被忽略,并使用不带参数的名称。
另外注意:动作名称中的参数 不区分大小写。
访问输入数据
如果您想构建REST API,可能还需要访问所有请求方法(GET、POST、PUT、DELETE和HEAD)的查询输入数据。因此,该库定义了输入解析器,它读取数据并将其解析为数组。数据可以从查询字符串或请求体中获取,并由IMapper解析。首先,库会查找请求体。如果它不为空,它会检查Content-Type头并确定正确的映射器(例如,对于application/json -> JsonMapper等)。然后,如果请求体为空,尝试获取POST数据,最后甚至获取URL查询数据。
<?php namespace ResourcesModule; /** * Sample resource * @package ResourcesModule * @author Drahomír Hanák */ class SamplePresenter extends BasePresenter { /** * @PUT <module>/sample */ public function actionUpdate() { $this->resource->message = isset($this->input->message) ? $this->input->message : 'no message'; } }
它的好处是您不必关心请求方法。Nette Drahak REST API库将为您选择正确的输入解析器,但如何处理它还取决于您。有可用的InputIterator,因此您可以在presenter中遍历输入或将其用作自己的输入解析器中的迭代器。
输入数据验证
访问输入数据的第一条规则:永远不要相信客户端!这确实非常重要,因为这是安全性的关键功能。那么如何正确操作呢?您可能已经熟悉Nette Forms及其验证。让我们在Restful中也这样做!您可以定义每个输入数据字段的验证规则。要获取字段(即Drahak\Restful\Validation\IField),只需在Input(在presenter中:$this->input)上调用带字段名称参数的field方法。然后定义规则(几乎)与Nette相同
/** * SamplePresenter resource * @package Restful\Api * @author Drahomír Hanák */ class SamplePresenter extends BasePresenter { public function validateCreate() { $this->input->field('password') ->addRule(IValidator::MIN_LENGTH, NULL, 3) ->addRule(IValidator::PATTERN, 'Please add at least one number to password', '/.*[0-9].*/'); } public function actionCreate() { // some save data insertion } }
就是这样!它不完全像Nette,但非常相似。至少是基本公共接口。
注意:验证方法validateCreate。这个新的生命周期方法validate<Action>()将在每个操作方法action<Action>()之前被处理。虽然不是必需的,但用于定义一些验证规则或验证数据是很好的。如果验证失败,将抛出带有代码HTT/1.1 422(UnproccessableEntity)的BadRequestException异常,该异常可以由错误presenter处理。
错误展示器
为客户端提供可读错误响应的最简单但功能强大的方法是使用$presenter->sendErrorResponse(Exception $e)方法。最简单的错误presenter可能如下所示
<?php namespace Restful\Api; use Drahak\Restful\Application\UI\ResourcePresenter; /** * Base API ErrorPresenter * @package Restful\Api * @author Drahomír Hanák */ class ErrorPresenter extends ResourcePresenter { /** * Provide error to client * @param \Exception $exception */ public function actionDefault($exception) { $this->sendErrorResource($exception); } }
客户端可以像在正常API资源中一样确定首选格式。实际上,它只是将异常数据添加到资源中并发送到输出。
安全与认证
Restful提供了一些方法来保护您的资源
BasicAuthentication
这是一个完全基础但功能强大的资源保护方法。它基于标准的Nette用户认证(如果用户未登录,则抛出安全异常,该异常提供给客户端),因此它适用于受信任的客户端(例如,自己的客户端应用程序等)。由于这是常见的Restful,它包含SecuredResourcePresenter,它是ResourcePresenter的子类,它已经为您处理了BasicAuthentication。请参阅示例
use Drahak\Restful\Application\UI\SecuredResourcePresenter /** * My secured resource presenter * @author Drahomír Hanák */ class ArticlesPresenter extends SecuredResourcePresenter { // all my resources are protected and reachable only for logged user's // you can also add some Authorizator to check user rights }
提示:小心使用此认证(以及标准事物,如用户身份)。请记住,将REST API保持为无状态。从实用主义的角度来看,这不是一个好的方法,但它是最简单的方法。
SecuredAuthentication
当第三方客户端连接时,您必须找到另一种方法来验证这些请求。SecuredAuthentication几乎是答案。它基于发送带有私有密钥的哈希数据。由于数据已经被加密,因此它不依赖于SSL。认证过程如下
理解认证过程
- 客户端:将请求时间戳添加到请求体中。
- 客户端:使用
hash_hmac(sha256算法)和私有密钥对所有数据进行哈希处理。然后将生成的哈希值附加到请求作为X-HTTP-AUTH-TOKEN头(默认值)。 - 客户端:将请求发送到服务器。
- 服务器:接受客户端的请求并使用与客户端相同的方式(使用抽象模板类
AuthenticationProcess)计算哈希。 - 服务器:将客户端的哈希值与其在先前步骤中生成的哈希值进行比较。
- 服务器:还会检查请求的时间戳并计算差值。如果这个差值大于300(5分钟),则会抛出异常。(这样可以避免重放攻击Replay Attack)
- 服务器:捕获任何抛出
AuthenticationProcess的SecurityException,并返回错误响应。
默认的AuthenticationProcess是NullAuthentication,所以所有请求都是未加密的。您可以使用SecuredAuthentication来保护您的资源。要做到这一点,只需将此认证过程设置到restful.authentication或$presenter->authentication中的AuthenticationContext。
<?php namespace ResourcesModule; use Drahak\Restful\Security\Process\SecuredAuthentication; /** * CRUD resource presenter * @package ResourcesModule * @author Drahomír Hanák */ class CrudPresenter extends BasePresenter { /** @var SecuredAuthentication */ private $securedAuthentication; /** * Inject secured authentication process * @param SecuredAuthentication $auth */ public function injectSecuredAuthentication(SecuredAuthentication $auth) { $this->securedAuthentication = $auth; } protected function startup() { parent::startup(); $this->authentication->setAuthProcess($this->securedAuthentication); } // your secured resource action }
切勿发送私钥!
使用 OAuth2 保护您的资源
如果您想使用OAuth2来保护您的API资源,您将需要一个OAuth2提供者。我已经为Nette框架实现了OAuth2提供者包,因此您可以使用它与Restful一起使用。要做到这一点,只需将依赖项"drahak/oauth2": "dev-master"添加到您的composer中,然后使用OAuth2Authentication,这是AuthenticationProcess。如果您希望使用任何其他OAuth2提供者,您可以编写自己的AuthenticationProcess。
<?php namespace Restful\Api; use Drahak\Restful\IResource; use Drahak\Restful\Security\Process\AuthenticationProcess; use Drahak\Restful\Security\Process\OAuth2Authentication; /** * CRUD resource presenter * @package Restful\Api * @author Drahomír Hanák */ class CrudPresenter extends BasePresenter { /** @var AuthenticationProcess */ private $authenticationProcess; /** * Inject authentication process * @param OAuth2Authentication $auth */ public function injectSecuredAuthentication(OAuth2Authentication $auth) { $this->authenticationProcess = $auth; } /** * Check presenter requirements * @param $element */ public function checkRequirements($element) { parent::checkRequirements($element); $this->authentication->setAuthProcess($this->authenticationProcess); } // ... }
注意:这是一个仅资源服务器,因此它处理访问令牌授权。要生成访问令牌,您需要创建OAuth2演示者(资源所有者和授权服务器 - 请参阅Drahak\OAuth2文档)。
JSONP 支持
如果您想在远程主机上通过JavaScript访问API资源,您不能在API上发出正常的AJAX请求。因此,JSONP是替代方案。在JSONP请求中,您将API资源作为JavaScript通过HTML中的标准script标签加载。API将JSON字符串包装到回调函数参数中。这实际上很简单,但需要特别注意。例如,您无法访问响应头或状态码。您可以将这些头和状态码包装到所有资源中,但这对于需要访问头信息的正常API客户端来说并不好。该库允许您添加特殊的查询参数jsonp(名称取决于您的配置,这是默认值)。如果您通过?jsonp=callback访问资源,API将自动确定JSONP模式并将所有资源包装到以下JavaScript中
callback({ "response": { "yourResourceData": "here" }, "status": 200, "headers": { "X-Powered-By": "Nette framework", ... } })
注意:函数名称。这是来自jsonp查询参数的名称。此字符串通过Nette\Utils\Strings::webalize(jsonp, NULL, FALSE)进行“webalize”。如果您在配置中将jsonpKey设置为FALSE或NULL,则完全禁用所有API资源的JSONP模式。然后您可以手动触发它。只需将IResource的$contentType属性设置为IResource::JSONP。
还请注意:如果此选项已启用且客户端将jsonp参数添加到查询字符串中,无论您将什么设置到$presenter->resource->contentType,它都会生成JsonpResponse。
让生活更美好的实用工具
过滤API请求是常见的。这就是为什么再次执行它很无聊。Restful提供了一个RequestFilter,它会为您解析最常见的东西。在ResourcePresenter中,您可以在$requestFilter属性中找到RequestFilter。
分页器
通过将offset和limit参数添加到查询字符串中,您可以创建标准的NettePaginator。您的API资源随后以Link头部响应(其中“最后一页”部分以及Link和X-Total-Count头部只有在您将总项目计数设置到分页器时才会提供)。
Link: <URL_to_next_page>; rel="next",
<URL_to_last_page>; rel="last"
X-Total-Count: 1000
字段列表
如果您只想加载资源的一部分(例如,加载整个资源数据很昂贵),您应该在查询参数中添加fields参数,并带有所需的字段列表(例如,fields=user_id,name,email)。在RequestFilter中,您可以通过调用getFieldsList()方法获取此列表(array('user_id', 'name', 'email'))。
排序列表
如果您想根据资源提供的数据进行排序,您可能需要根据排序的属性。为了使其尽可能简单,您可以从sort查询参数(例如,sort=name,-created_at)获取它,作为array('name' => 'ASC', 'created_at' => 'DESC'),通过调用RequestFilter方法的getSortList()。
所以就是这样。祝您享受并希望您喜欢它!