README

此存储库正在开发中。

内容

• 要求
• 安装与设置
• Neon 配置
• 示例用法
• 简单的 CRUD 资源
• 访问输入数据
• 输入数据验证
• 错误展示器
• 安全与认证
• 使用 OAuth2 保护您的资源
• JSONP 支持
• 让生活更美好的工具

要求

Drahak/Restful 需要 PHP 版本 5.3.0 或更高版本。唯一的依赖是 Nette 框架 2.0.x。Restful 还与我的 Drahak\OAuth2 提供程序配合良好（参见 使用 OAuth2 保护您的资源）

安装与设置

最简单的方法是使用 Composer

$ composer require drahak/restful:@dev

然后在 bootstrap.php 中注册扩展（在创建容器之前）添加此代码

Drahak\Restful\DI\RestfulExtension::install($configurator);

或在 config.neon 中注册它

extensions:
  restful: Drahak\Restful\DI\RestfulExtension

Neon 配置

您可以在 config.neon 的 restful 节中配置 Drahak\Restful 库

restful:
	convention: 'snake_case'
	cacheDir: '%tempDir%/cache'
	jsonpKey: 'jsonp'
	prettyPrintKey: 'pretty'
	routes:
		generateAtStart: FALSE
		prefix: resources
		module: 'RestApi'
		autoGenerated: TRUE
		panel: TRUE
	mappers:
		myMapper:
			contentType: 'multipart/form-data'
			class:  \App\MyMapper
	security:
		privateKey: 'my-secret-api-key'
		requestTimeKey: 'timestamp'
		requestTimeout: 300

• cacheDir：不多说，只是存储缓存的目录
• jsonpKey：设置查询参数名称，启用 JSONP 封装模式。如果您希望禁用它，请设置为 FALSE。
• prettyPrintKey：API 默认以美观打印打印每个资源。您可以使用此查询参数来禁用它
• convention：资源数组键约定。目前支持 3 个值：snake_case、camelCase & PascalCase，它们自动转换资源数组键。您可以编写自己的转换器。只需实现 Drahak\Restful\Resource\IConverter 接口并使用 restful.converter 标签您的服务。
• routes.generateAtStart：在 Router 的开始时生成路由（仅适用于自动生成的路由，并且如果通过 config.neon 设置了 Router）
• routes.prefix：资源路由的前缀掩码（仅适用于自动生成的路由）
• routes.module：资源路由的默认模块（仅适用于自动生成的路由）
• routes.autoGenerated：如果为 TRUE，则库会从表示器操作方法注释自动生成资源路由（参见以下内容）
• routes.panel：如果为 TRUE，则资源路由面板将出现在您的 nette 调试栏中
• mappers：替换现有映射器或为不同的内容类型添加新映射器
• security.privateKey：用于散列受保护请求的私钥
• security.requestTimeKey：请求体中的密钥，其中可以找到请求时间戳（参见以下内容 - 安全与认证）
• security.requestTimeout：请求时间戳的最大年龄

提示：为您的资源使用 gzip 压缩。您可以在 neon 中简单地启用它

php:
    zlib.output_compression: yes

资源路由面板

默认情况下它是启用的，但你可以通过设置restful.routes.panel为FALSE来禁用它。此面板显示所有REST API资源路由（即默认路由列表中实现IResourceRouter接口的所有路由）。这对于开发客户端应用程序的开发者来说很有用，因为他们可以在一个地方看到所有的API资源路由。

示例用法

<?php
namespace ResourcesModule;

use Drahak\Restful\IResource;
use Drahak\Restful\Application\UI\ResourcePresenter;

/**
 * SamplePresenter resource
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class SamplePresenter extends ResourcePresenter
{

   protected $typeMap = array(
       'json' => IResource::JSON,
       'xml' => IResource::XML
   );

   /**
    * @GET sample[.<type xml|json>]
    */
   public function actionContent($type = 'json')
   {
       $this->resource->title = 'REST API';
       $this->resource->subtitle = '';
       $this->sendResource($this->typeMap[$type]);
   }

   /**
    * @GET sample/detail
    */
   public function actionDetail()
   {
       $this->resource->message = 'Hello world';
   }

}

资源输出由Accept头部决定。库会检查头部是否有application/xml、application/json、application/x-data-url和application/www-form-urlencoded，并按照Accept头部的顺序来保留。

注意：如果你使用带有MIME类型的第一参数调用$presenter->sendResource()方法，API将只接受这一个。

另外注意：有可用的注解@GET、@POST、@PUT、@HEAD、@DELETE。这允许Drahak\Restful库为你生成API路由，因此你不需要手动操作。但不是必须的！你可以使用IResourceRoute或其默认实现，如

<?php
use Drahak\Restful\Application\Routes\ResourceRoute;

$anyRouteList[] = new ResourceRoute('sample[.<type xml|json>]', 'Resources:Sample:content', ResourceRoute::GET);

与Nette默认路由不同，只有一个额外的参数，即请求方法。这允许你为GET和POST方法生成相同的URL。你可以将此参数作为标志传递给路由，以便可以组合更多的请求方法，例如ResourceRoute::GET | ResourceRoute::POST来监听同一路由中的GET和POST请求方法。

你也可以为每个请求方法定义动作名称字典

<?php
new ResourceRoute('myResourceName', array(
    'presenter' => 'MyResourcePresenter',
    'action' => array(
        ResourceRoute::GET => 'content',
        ResourceRoute::DELETE => 'delete'
    )
), ResourceRoute::GET | ResourceRoute::DELETE);

简单的 CRUD 资源

这很好，但在许多情况下我只定义CRUD操作，那么如何更直观地定义呢？使用CrudRoute！这是ResourceRoute的子类，为你预先定义了基本的CRUD操作。具体来说，对于POST方法，是Presenter:create，对于GET是Presenter:read，对于PUT是Presenter:update，对于DELETE是Presenter:delete。然后你的路由将看起来像这样

<?php
new CrudRoute('<module>/crud', 'MyResourcePresenter');

注意：第二个参数是元数据。你可以只定义Presenter而不定义动作名称。这是因为动作名称将被来自动作字典（[CrudRoute::POST => 'create', CrudRoute::GET => 'read', CrudRoute::PUT => 'update', CrudRoute::DELETE => 'delete']）的值替换，该值是ResourceRoute的属性，因此即使是CrudRoute，因为它是其子类。另外注意，我们不需要设置标志。默认标志设置为CrudRoute::CRUD，因此该路由将匹配所有请求方法。

然后你可以简单地定义你的CRUD资源展示者

<?php
namespace ResourcesModule;

/**
 * CRUD resource presenter
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class CrudPresenter extends BasePresenter
{

    public function actionCreate()
    {
        $this->resource->action = 'Create';
    }

    public function actionRead()
    {
        $this->resource->action = 'Read';
    }

    public function actionUpdate()
    {
        $this->resource->action = 'Update';
    }

    public function actionDelete()
    {
        $this->resource->action = 'Delete';
    }

}

注意：每个请求方法都可以通过在请求中指定X-HTTP-Method-Override头部或在URL中添加查询参数__method来覆盖。

存在关系

在RESTful服务中，关系相当常见，但在URL中如何处理它们？我们的目标是像这样GET /articles/94/comments[/5]，而括号中的ID可能是可选的。路由将如下所示

$router[] = new ResourceRoute('api/v1/articles/<id>/comments[/<commentId>]', array(
    'presenter' => 'Articles',
    'action' => array(
        IResourceRouter::GET => 'readComment',
        IResourceRouter::DELETE => 'deleteComment'
    )
), IResourceRouter::GET | IResourceRouter::DELETE);

请求参数在动作名称中

这相当长。因此，有一个选项可以将其通用化。现在它看起来像这样

$router[] = new ResourceRoute('api/v1/<presenter>/<id>/<relation>[/<relationId>]', array(
    'presenter' => 'Articles',
    'action' => array(
        IResourceRouter::GET => 'read<Relation>',
        IResourceRouter::DELETE => 'delete<Relation>'
    )
), IResourceRouter::GET | IResourceRouter::DELETE);

更好，但仍然相当长。让我们再次使用CrudRoute

$router[] = new CrudRoute('api/v1/<presenter>/<id>/[<relation>[/<relationId>]]', 'Articles');

这是最短的方法。它之所以有效，是因为CrudRoute中的动作字典基本上如下。

array(
    IResourceRouter::POST => 'create<Relation>',
    IResourceRouter::GET => 'read<Relation>',
    IResourceRouter::PUT => 'update<Relation>',
    IResourceRouter::DELETE => 'delete<Relation>'
)

也请查看此单个路由的几个示例

    GET api/v1/articles/94                  => Articles:read
    DELETE api/v1/articles/94               => Articles:delete
    GET api/v1/articles/94/comments         => Articles:readComments
    GET api/v1/articles/94/comments/5       => Articles:readComments
    DELETE api/v1/articles/94/comments/5    => Articles:deleteComments
    POST api/v1/articles/94/comments        => Articles:createComments
    ...

当然，你可以向动作名称添加更多参数，使关系更长。

注意：如果动作名称中的关系或任何其他参数不存在，它将被忽略，并使用不带参数的名称。

另外注意：动作名称中的参数不区分大小写

访问输入数据

如果您想构建REST API，可能还需要访问所有请求方法（GET、POST、PUT、DELETE和HEAD）的查询输入数据。因此，库定义了输入解析器，该解析器读取数据并将其解析为数组。数据可以从查询字符串或请求体中获取，并通过IMapper进行解析。首先，库查找请求体。如果它不为空，它将检查Content-Type头并确定正确的映射器（例如，对于application/json -> JsonMapper等）。然后，如果请求体为空，尝试获取POST数据，最后甚至获取URL查询数据。

<?php
namespace ResourcesModule;

/**
 * Sample resource
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class SamplePresenter extends BasePresenter
{

	/**
	 * @PUT <module>/sample
	 */
	public function actionUpdate()
	{
		$this->resource->message = isset($this->input->message) ? $this->input->message : 'no message';
	}

}

它的好处是您不必关心请求方法。Nette Drahak REST API库会为您选择正确的输入解析器，但如何处理它仍然取决于您。有InputIterator可用，因此您可以在视图层中迭代输入或在您自己的输入解析器中使用它作为迭代器。

输入数据验证

访问输入数据的第一条规则：永远不要相信客户端！这确实非常重要，因为它是安全性的关键特征。那么如何正确地做呢？您可能已经了解Nette Forms及其验证。让我们在Restful中做同样的事情！您可以定义每个输入数据字段的验证规则。要获取字段（确切地说是Drahak\Restful\Validation\IField），只需在Input上调用带有字段名称参数的field方法（在视图层：$this->input）。然后定义规则（几乎）就像在Nette中一样。

/**
 * SamplePresenter resource
 * @package Restful\Api
 * @author Drahomír Hanák
 */
class SamplePresenter extends BasePresenter
{

	public function validateCreate()
	{
    	$this->input->field('password')
    		->addRule(IValidator::MIN_LENGTH, NULL, 3)
    		->addRule(IValidator::PATTERN, 'Please add at least one number to password', '/.*[0-9].*/');
	}

    public function actionCreate()
    {
    	// some save data insertion
	}

}

就是这样！它并不完全像Nette那样，但非常相似。至少是基础公共接口。

注意：验证方法validateCreate。这个新的生命周期方法validate<Action>()将在每个操作之前处理，然后在操作方法action<Action>()之前。这不是必需的，但用于定义一些验证规则或验证数据很好。如果验证失败，将抛出带有代码HTT/1.1 422（UnproccessableEntity）的BadRequestException异常，该异常可以由错误视图层处理。

错误展示器

为客户端提供可读错误响应的最简单但功能强大的方法是使用$presenter->sendErrorResponse(Exception $e)方法。最简单的错误视图层可能如下所示

<?php
namespace Restful\Api;

use Drahak\Restful\Application\UI\ResourcePresenter;

/**
 * Base API ErrorPresenter
 * @package Restful\Api
 * @author Drahomír Hanák
 */
class ErrorPresenter extends ResourcePresenter
{

	/**
	 * Provide error to client
	 * @param \Exception $exception
	 */
	public function actionDefault($exception)
	{
		$this->sendErrorResource($exception);
	}

}

客户端可以像在正常API资源中一样确定首选格式。实际上，它只是将异常数据添加到资源中，并将其发送到输出。

安全与认证

Restful提供了一些方法来保护您的资源

基本认证

这是一个完全基本但功能强大的资源保护方法。它基于标准的Nette用户认证（如果用户未登录，则抛出安全异常，该异常提供给客户端），因此它适用于受信任的客户端（例如，自己的客户端应用程序等）。由于这是常见的Restful，它包含SecuredResourcePresenter作为ResourcePresenter的子类，它已经为您处理了BasicAuthentication。请看示例

use Drahak\Restful\Application\UI\SecuredResourcePresenter

/**
 * My secured resource presenter
 * @author Drahomír Hanák
 */
class ArticlesPresenter extends SecuredResourcePresenter
{

    // all my resources are protected and reachable only for logged user's
    // you can also add some Authorizator to check user rights

}

提示：小心使用这种认证（以及标准事物，如用户的身份）。记住保持REST API无状态。从实用主义的角度来看，这不是一个好的方法，但这是最简单的方法。

安全认证

当第三方客户端连接时，您必须找到另一种方法来认证这些请求。SecuredAuthentication在很大程度上是答案。它基于发送带有私有密钥的哈希数据。由于数据已经加密，它不依赖于SSL。认证过程如下

理解认证过程

• 客户端：将请求时间戳附加到请求体中。
• 客户端：使用hash_hmac（sha256算法）和私有密钥对所有数据进行哈希处理。然后将生成的哈希附加到请求中作为X-HTTP-AUTH-TOKEN头（默认情况下）。
• 客户端：向服务器发送请求。
• 服务器：接受客户端的请求，并以相同的方式计算哈希（使用抽象模板类AuthenticationProcess）。
• 服务器：比较客户端的哈希与其在先前步骤中生成的哈希。
• 服务器：还检查请求时间戳，并计算差值。如果它大于300（5分钟），则抛出异常。（这避免了一种称为重放攻击的情况）
• 服务器：捕获任何抛出 AuthenticationProcess 的 SecurityException 并提供错误响应。

默认的 AuthenticationProcess 是 NullAuthentication，所以所有请求都是未加密的。您可以使用 SecuredAuthentication 来保护您的资源。要这样做，只需将此认证过程设置为 restful.authentication 中的 AuthenticationContext 或 $presenter->authentication。

<?php
namespace ResourcesModule;

use Drahak\Restful\Security\Process\SecuredAuthentication;

/**
 * CRUD resource presenter
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class CrudPresenter extends BasePresenter
{

	/** @var SecuredAuthentication */
	private $securedAuthentication;

	/**
	 * Inject secured authentication process
	 * @param SecuredAuthentication $auth
	 */
	public function injectSecuredAuthentication(SecuredAuthentication $auth)
	{
		$this->securedAuthentication = $auth;
	}

	protected function startup()
	{
		parent::startup();
		$this->authentication->setAuthProcess($this->securedAuthentication);
	}

	// your secured resource action
}

切勿发送私钥！

使用 OAuth2 保护您的资源

如果您想使用 OAuth2 保护您的 API 资源，您将需要一个 OAuth2 提供商。我已为 Nette 框架实现了 OAuth2 提供商 包，以便您可以使用 Restful。为此，只需在您的 composer 中添加依赖项 "drahak/oauth2": "dev-master"，然后使用 OAuth2Authentication，这是一个 AuthenticationProcess。如果您想使用任何其他 OAuth2 提供商，您可以编写自己的 AuthenticationProcess。

<?php
namespace Restful\Api;

use Drahak\Restful\IResource;
use Drahak\Restful\Security\Process\AuthenticationProcess;
use Drahak\Restful\Security\Process\OAuth2Authentication;

/**
 * CRUD resource presenter
 * @package Restful\Api
 * @author Drahomír Hanák
 */
class CrudPresenter extends BasePresenter
{

	/** @var AuthenticationProcess */
	private $authenticationProcess;

	/**
	 * Inject authentication process
	 * @param OAuth2Authentication $auth
	 */
	public function injectSecuredAuthentication(OAuth2Authentication $auth)
	{
		$this->authenticationProcess = $auth;
	}

	/**
	 * Check presenter requirements
	 * @param $element
	 */
	public function checkRequirements($element)
	{
		parent::checkRequirements($element);
		$this->authentication->setAuthProcess($this->authenticationProcess);
	}

	// ...

}

注意：这是一个资源服务器，它处理访问令牌授权。要生成访问令牌，您需要创建 OAuth2 展示者（资源所有者和授权服务器 - 见 Drahak\OAuth2 文档）。

JSONP 支持

如果您想通过远程主机上的 JavaScript 访问您的 API 资源，您不能在 API 上执行常规的 AJAX 请求。因此，JSONP 是一种替代方法。在 JSONP 请求中，您将 API 资源作为 JavaScript 使用标准的 script 标签加载到 HTML 中。API 将 JSON 字符串包装到回调函数参数中。这实际上很简单，但需要特别注意。例如，您不能访问响应头或状态码。您可以将这些头和状态码包装到所有资源中，但这不适合可以访问头信息的常规 API 客户端。该库允许您添加特殊的查询参数 jsonp（名称取决于您的配置，这是默认值）。如果您通过 ?jsonp=callback 访问资源，API 将自动确定 JSONP 模式并将所有资源包装到以下 JavaScript 中

callback({
	"response": {
		"yourResourceData": "here"
	},
	"status": 200,
	"headers": {
		"X-Powered-By": "Nette framework",
		...
	}
})

注意：函数名称。这是从 jsonp 查询参数中获取的名称。此字符串通过 Nette\Utils\Strings::webalize(jsonp, NULL, FALSE) 进行“网络化”。如果您在配置中将 jsonpKey 设置为 FALSE 或 NULL，则完全禁用所有 API 资源的 JSONP 模式。然后您可以手动触发它。只需将 IResource 的 $contentType 属性设置为 IResource::JSONP。

另外请注意：如果启用此选项，并且客户端将 jsonp 参数添加到查询字符串中，无论您将 $presenter->resource->contentType 设置为什么，它都会生成 JsonpResponse。

让生活更美好的工具

过滤 API 请求是常规操作。这就是为什么再次做这件事很无聊。Restful 提供了一个 RequestFilter，它会为您解析最常见的事情。在 ResourcePresenter 中，您可以在 $requestFilter 属性中找到 RequestFilter。

分页器

通过将 offset 和 limit 参数添加到查询字符串中，您可以创建标准的 Nette Paginator。然后您的 API 资源将响应带有 Link 标头（其中“最后一页”部分和 X-Total-Count 标头仅提供您将项目总数设置到分页器时）。

Link: <URL_to_next_page>; rel="next",
      <URL_to_last_page>; rel="last"
X-Total-Count: 1000

字段列表

如果您只想加载资源的一部分（例如，加载整个资源数据很昂贵），您应该将 fields 参数添加到查询参数中，并列出所需的字段（例如，fields=user_id,name,email）。在 RequestFilter 中，您可以通过调用 getFieldsList() 方法获取此列表（array('user_id', 'name', 'email')）。

排序列表

如果您想对资源提供的数据进行排序，您可能需要根据您排序的属性。要尽可能简单，您可以从中获取它，即从 sort 查询参数（例如，sort=name,-created_at）作为 array('name' => 'ASC', 'created_at' => 'DESC')，通过调用 RequestFilter 方法 getSortList()

就这样了。祝您享受，希望您喜欢！