README

此存储库正在开发中。

内容

• 要求
• 安装 & 设置
• Neon 配置
• 示例用法
• 简单的 CRUD 资源
• 访问输入数据
• 输入数据验证
• 错误展示器
• 安全 & 认证
• 使用 OAuth2 保护您的资源
• JSONP 支持
• 使生活更美好的实用工具

要求

Drahak/Restful 需要 PHP 版本 5.3.0 或更高版本。唯一的生产依赖项是 Nette 框架 2.0.x。Restful 也与我的 Drahak\OAuth2 提供程序配合良好（请参阅 使用 OAuth2 保护您的资源）

安装 & 设置

最简单的方法是使用 Composer

$ composer require drahak/restful:@dev

然后在 bootstrap.php 中注册扩展，将此代码添加到其中（在创建容器之前）

Drahak\Restful\DI\RestfulExtension::install($configurator);

或在其 config.neon 中注册

extensions:
  restful: Drahak\Restful\DI\RestfulExtension

Neon 配置

您可以在 config.neon 中的 restful 部分配置 Drahak\Restful 库

restful:
	convention: 'snake_case'
	cacheDir: '%tempDir%/cache'
	jsonpKey: 'jsonp'
	prettyPrintKey: 'pretty'
	routes:
		generateAtStart: FALSE
		prefix: resources
		module: 'RestApi'
		autoGenerated: TRUE
		panel: TRUE
	mappers:
		myMapper:
			contentType: 'multipart/form-data'
			class:  \App\MyMapper
	security:
		privateKey: 'my-secret-api-key'
		requestTimeKey: 'timestamp'
		requestTimeout: 300

• cacheDir：没有太多可说的，只是存储缓存的目录
• jsonpKey：设置查询参数名称，启用 JSONP 封装模式。如果希望禁用它，则设置为 FALSE。
• prettyPrintKey：API 默认以漂亮打印的方式打印每个资源。您可以使用此查询参数来禁用它
• convention：资源数组键约定。当前支持 3 个值：snake_case、camelCase & PascalCase，这些会自动转换资源数组键。您可以编写自己的转换器。只需实现 Drahak\Restful\Resource\IConverter 接口，并用 restful.converter 标记您的服务。
• routes.generateAtStart：在 Router 开始时生成路由（仅适用于自动生成的路由和如果通过 config.neon 设置了 Router）
• routes.prefix：掩码前缀到资源路由（仅适用于自动生成的路由）
• routes.module：资源路由的默认模块（仅适用于自动生成的路由）
• routes.autoGenerated：如果为 TRUE，则库会自动从 Presenter 动作方法注解生成资源路由（请参阅以下内容）
• routes.panel：如果为 TRUE，则资源路由面板将出现在您的 nette 调试栏中
• mappers：替换现有的映射器或为不同的内容类型添加新的映射器
• security.privateKey：用于散列受保护请求的私钥
• security.requestTimeKey：请求体中的键，其中可以找到请求时间戳（请参阅以下内容 - 安全 & 认证）
• security.requestTimeout：最大请求时间戳年龄

提示：为您的资源使用 gzip 压缩。您可以在 neon 中简单地启用它

php:
    zlib.output_compression: yes

资源路由面板

默认情况下已启用，但您可以通过将 restful.routes.panel 设置为 FALSE 来禁用它。此面板显示所有 REST API 资源路由（即默认路由列表中实现 IResourceRouter 接口的所有路由）。这对于例如开发客户端应用程序的开发者来说很有用，因为他们可以将所有 API 资源路由放在一个地方。

示例用法

<?php
namespace ResourcesModule;

use Drahak\Restful\IResource;
use Drahak\Restful\Application\UI\ResourcePresenter;

/**
 * SamplePresenter resource
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class SamplePresenter extends ResourcePresenter
{

   protected $typeMap = array(
       'json' => IResource::JSON,
       'xml' => IResource::XML
   );

   /**
    * @GET sample[.<type xml|json>]
    */
   public function actionContent($type = 'json')
   {
       $this->resource->title = 'REST API';
       $this->resource->subtitle = '';
       $this->sendResource($this->typeMap[$type]);
   }

   /**
    * @GET sample/detail
    */
   public function actionDetail()
   {
       $this->resource->message = 'Hello world';
   }

}

资源输出由Accept头部决定。库会检查头部中是否存在application/xml、application/json、application/x-data-url和application/www-form-urlencoded，并按照Accept头部的顺序保持。

注意：如果您在调用$presenter->sendResource()方法时，第一个参数为MIME类型，则API将只接受这个类型。

另外注意：有可用的注解@GET、@POST、@PUT、@HEAD、@DELETE。这允许Drahak\Restful库为您生成API路由，您无需手动生成。但这并非必要！您可以使用IResourceRoute或其默认实现（如）来定义自己的路由。

<?php
use Drahak\Restful\Application\Routes\ResourceRoute;

$anyRouteList[] = new ResourceRoute('sample[.<type xml|json>]', 'Resources:Sample:content', ResourceRoute::GET);

与Nette默认路由不同，这里只有一个参数，即请求方法。这允许您为例如GET和POST方法生成相同的URL。您可以将此参数作为标志传递给路由，以便在同一个路由上监听GET和POST请求方法，例如ResourceRoute::GET | ResourceRoute::POST。

您还可以为每个请求方法定义操作名称字典

<?php
new ResourceRoute('myResourceName', array(
    'presenter' => 'MyResourcePresenter',
    'action' => array(
        ResourceRoute::GET => 'content',
        ResourceRoute::DELETE => 'delete'
    )
), ResourceRoute::GET | ResourceRoute::DELETE);

简单的 CRUD 资源

这很好，但在许多情况下，我只定义CRUD操作，如何更直观地进行？使用CrudRoute！这是ResourceRoute的子类，预先为您定义了基本的CRUD操作。具体来说，对于POST方法，是Presenter:create，对于GET是Presenter:read，对于PUT是Presenter:update，对于DELETE是Presenter:delete。然后您的路由将如下所示

<?php
new CrudRoute('<module>/crud', 'MyResourcePresenter');

注意第二个参数，元数据。您只需定义Presenter而不是操作名称。这是因为操作名称将由actionDictionary中的值替换（[CrudRoute::POST => 'create', CrudRoute::GET => 'read', CrudRoute::PUT => 'update', CrudRoute::DELETE => 'delete']），这是ResourceRoute的属性，因此即使是CrudRoute（它是其子类）。另外请注意，我们不需要设置标志。默认标志设置为CrudRoute::CRUD，因此路由将匹配所有请求方法。

然后您可以简单地定义您的CRUD资源表示器

<?php
namespace ResourcesModule;

/**
 * CRUD resource presenter
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class CrudPresenter extends BasePresenter
{

    public function actionCreate()
    {
        $this->resource->action = 'Create';
    }

    public function actionRead()
    {
        $this->resource->action = 'Read';
    }

    public function actionUpdate()
    {
        $this->resource->action = 'Update';
    }

    public function actionDelete()
    {
        $this->resource->action = 'Delete';
    }

}

注意：每个请求方法都可以被覆盖，如果请求中指定了X-HTTP-Method-Override头部或通过在URL中添加查询参数__method。

存在关系

关系在RESTful服务中很常见，但在URL中如何处理它？我们的目标是这样的GET /articles/94/comments[/5]，其中括号中的ID可能是可选的。路由如下所示

$router[] = new ResourceRoute('api/v1/articles/<id>/comments[/<commentId>]', array(
    'presenter' => 'Articles',
    'action' => array(
        IResourceRouter::GET => 'readComment',
        IResourceRouter::DELETE => 'deleteComment'
    )
), IResourceRouter::GET | IResourceRouter::DELETE);

请求参数在操作名称中

这相当长。因此，有一个选项可以通用化。现在它看起来像这样

$router[] = new ResourceRoute('api/v1/<presenter>/<id>/<relation>[/<relationId>]', array(
    'presenter' => 'Articles',
    'action' => array(
        IResourceRouter::GET => 'read<Relation>',
        IResourceRouter::DELETE => 'delete<Relation>'
    )
), IResourceRouter::GET | IResourceRouter::DELETE);

更好，但仍然相当长。让我们再次使用CrudRoute

$router[] = new CrudRoute('api/v1/<presenter>/<id>/[<relation>[/<relationId>]]', 'Articles');

这是最短的方法。它之所以有效，是因为CrudRoute中的动作字典基本上如下。

array(
    IResourceRouter::POST => 'create<Relation>',
    IResourceRouter::GET => 'read<Relation>',
    IResourceRouter::PUT => 'update<Relation>',
    IResourceRouter::DELETE => 'delete<Relation>'
)

也可以查看此单个路由的几个示例

    GET api/v1/articles/94                  => Articles:read
    DELETE api/v1/articles/94               => Articles:delete
    GET api/v1/articles/94/comments         => Articles:readComments
    GET api/v1/articles/94/comments/5       => Articles:readComments
    DELETE api/v1/articles/94/comments/5    => Articles:deleteComments
    POST api/v1/articles/94/comments        => Articles:createComments
    ...

当然，您可以在动作名称中添加多个参数，使关系更长。

注意：如果关系或操作名称中的任何其他参数不存在，则将忽略它，并使用不带参数的名称。

另外注意：动作名称中的参数不区分大小写

访问输入数据

如果您想构建REST API，您可能还希望访问所有请求方法（GET、POST、PUT、DELETE和HEAD）的查询输入数据。因此，库定义了一个输入解析器，它读取数据并将其解析为数组。数据从查询字符串或请求体中获取，并通过IMapper解析。首先，库会查找请求体。如果它不为空，它会检查Content-Type头部并确定正确的映射器（例如，对于application/json -> JsonMapper等）。然后，如果请求体为空，它会尝试获取POST数据，最后甚至获取URL查询数据。

<?php
namespace ResourcesModule;

/**
 * Sample resource
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class SamplePresenter extends BasePresenter
{

	/**
	 * @PUT <module>/sample
	 */
	public function actionUpdate()
	{
		$this->resource->message = isset($this->input->message) ? $this->input->message : 'no message';
	}

}

它的好处是您不必关心请求方法。Nette Drahak REST API 库会为您选择正确的输入解析器，但如何处理它还是取决于您。有可用的 InputIterator，您可以在演示者中遍历输入，或者在自己的输入解析器中使用它作为迭代器。

输入数据验证

访问输入数据的第一个规则：永远不要相信客户端！这非常重要，因为这是安全性的关键特性。那么如何正确地做呢？您可能已经知道 Nette Forms 和它的验证。让我们在 Restful 中做同样的事情！您可以定义每个输入数据字段的验证规则。要获取字段（即 Drahak\Restful\Validation\IField），只需在 Input（在演示者中：$this->input）上调用带有字段名称参数的 field 方法。然后定义规则（几乎）像在 Nette 中一样。

/**
 * SamplePresenter resource
 * @package Restful\Api
 * @author Drahomír Hanák
 */
class SamplePresenter extends BasePresenter
{

	public function validateCreate()
	{
    	$this->input->field('password')
    		->addRule(IValidator::MIN_LENGTH, NULL, 3)
    		->addRule(IValidator::PATTERN, 'Please add at least one number to password', '/.*[0-9].*/');
	}

    public function actionCreate()
    {
    	// some save data insertion
	}

}

就是这样！它并不完全像 Nette 中的那样，但非常相似。至少是基本公共接口。

注意：验证方法 validateCreate。这个新的生命周期方法 validate<Action>() 会在每个操作之前处理，在操作方法 action<Action>() 之前。这不是必需的，但用于定义一些验证规则或验证数据是很好的。如果验证失败，则抛出带有代码 HTT/1.1 422（UnproccessableEntity）的 BadRequestException，该异常可以由错误演示者处理。

错误展示器

为客户端提供可读的错误响应的简单但强大方式是使用 $presenter->sendErrorResponse(Exception $e) 方法。最简单的错误演示者可能如下所示

<?php
namespace Restful\Api;

use Drahak\Restful\Application\UI\ResourcePresenter;

/**
 * Base API ErrorPresenter
 * @package Restful\Api
 * @author Drahomír Hanák
 */
class ErrorPresenter extends ResourcePresenter
{

	/**
	 * Provide error to client
	 * @param \Exception $exception
	 */
	public function actionDefault($exception)
	{
		$this->sendErrorResource($exception);
	}

}

客户端可以像在正常的 API 资源中一样确定首选格式。实际上，它只是将异常数据添加到资源中，并将其发送到输出。

安全 & 认证

Restful 提供了一些确保资源安全的方法

BasicAuthentication

这是一个完全基本但功能强大的方法来确保您资源的安全。它基于标准的 Nette 用户身份验证（如果用户未登录，则抛出安全异常，该异常提供给客户端），因此它适用于受信任的客户端（例如自己的客户端应用程序等）。由于这是常见的 Restful，它包含 SecuredResourcePresenter 作为 ResourcePresenter 的子类，它已经为您处理了 BasicAuthentication。请参见示例

use Drahak\Restful\Application\UI\SecuredResourcePresenter

/**
 * My secured resource presenter
 * @author Drahomír Hanák
 */
class ArticlesPresenter extends SecuredResourcePresenter
{

    // all my resources are protected and reachable only for logged user's
    // you can also add some Authorizator to check user rights

}

提示：小心使用此身份验证（以及标准事物，如用户身份）。记住保持 REST API 无状态。从实用主义的角度来看，这不是一个好的方法，但这是最简单的方法。

SecuredAuthentication

当第三方客户端连接时，您必须找到另一种方式来验证这些请求。SecuredAuthentication 是或多或少的一个答案。它基于发送带有私有密钥的哈希数据。由于数据已经加密，因此它不依赖于 SSL。身份验证过程如下

理解身份验证过程

• 客户端：将请求时间戳附加到请求体中。
• 客户端：使用 hash_hmac（sha256 算法）和私有密钥对所有数据进行哈希处理。然后将生成的哈希附加到请求中作为 X-HTTP-AUTH-TOKEN 标头（默认情况下）。
• 客户端：向服务器发送请求。
• 服务器：接受客户端的请求，并像客户端一样计算哈希（使用抽象模板类 AuthenticationProcess）。
• 服务器：将客户端的哈希与其之前步骤中生成的哈希进行比较。
• 服务器：还检查请求时间戳并计算差异。如果它大于 300（5 分钟），则抛出异常。（这避免称为 重放攻击 的事情）
• 服务器：捕获 AuthenticationProcess 抛出的任何 SecurityException 并提供错误响应。

默认的 AuthenticationProcess 是 NullAuthentication，因此所有请求都是未加密的。您可以使用 SecuredAuthentication 来确保您的资源的安全。要做到这一点，只需将此身份验证过程设置在 restful.authentication 或 $presenter->authentication 中的 AuthenticationContext。

<?php
namespace ResourcesModule;

use Drahak\Restful\Security\Process\SecuredAuthentication;

/**
 * CRUD resource presenter
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class CrudPresenter extends BasePresenter
{

	/** @var SecuredAuthentication */
	private $securedAuthentication;

	/**
	 * Inject secured authentication process
	 * @param SecuredAuthentication $auth
	 */
	public function injectSecuredAuthentication(SecuredAuthentication $auth)
	{
		$this->securedAuthentication = $auth;
	}

	protected function startup()
	{
		parent::startup();
		$this->authentication->setAuthProcess($this->securedAuthentication);
	}

	// your secured resource action
}

永远不要发送私有密钥！

使用 OAuth2 保护您的资源

如果您想使用OAuth2来保护您的API资源，您需要一些OAuth2提供商。我已经为Nette框架实现了一个OAuth2提供商包，因此您可以与Restful一起使用它。要这样做，只需将依赖项"drahak/oauth2": "dev-master"添加到您的composer中，然后使用OAuth2Authentication，它是AuthenticationProcess。如果您想使用任何其他OAuth2提供商，您可以编写自己的AuthenticationProcess。

<?php
namespace Restful\Api;

use Drahak\Restful\IResource;
use Drahak\Restful\Security\Process\AuthenticationProcess;
use Drahak\Restful\Security\Process\OAuth2Authentication;

/**
 * CRUD resource presenter
 * @package Restful\Api
 * @author Drahomír Hanák
 */
class CrudPresenter extends BasePresenter
{

	/** @var AuthenticationProcess */
	private $authenticationProcess;

	/**
	 * Inject authentication process
	 * @param OAuth2Authentication $auth
	 */
	public function injectSecuredAuthentication(OAuth2Authentication $auth)
	{
		$this->authenticationProcess = $auth;
	}

	/**
	 * Check presenter requirements
	 * @param $element
	 */
	public function checkRequirements($element)
	{
		parent::checkRequirements($element);
		$this->authentication->setAuthProcess($this->authenticationProcess);
	}

	// ...

}

注意：这只是一个资源服务器，它处理访问令牌授权。要生成访问令牌，您需要创建OAuth2表示器（资源所有者和授权服务器 - 请参阅Drahak\OAuth2文档）。

JSONP 支持

如果您想通过远程主机上的JavaScript访问API资源，您不能在API上发出正常的AJAX请求。因此，JSONP是完成此操作的替代方法。在JSONP请求中，您通过HTML中的标准script标签将API资源作为JavaScript加载。API将JSON字符串包装到回调函数参数中。这实际上非常简单，但需要特别注意。例如，您无法访问响应头或状态码。您可以将这些头和状态码包装到所有资源中，但这不适合正常的API客户端，它们可以访问头部信息。该库允许您添加特殊的查询参数jsonp（名称取决于您的配置，这是默认值）。如果您使用?jsonp=callback访问资源，API将自动确定JSONP模式，并将所有资源包装到以下JavaScript中

callback({
	"response": {
		"yourResourceData": "here"
	},
	"status": 200,
	"headers": {
		"X-Powered-By": "Nette framework",
		...
	}
})

注意：函数名称。这是来自jsonp查询参数的名称。此字符串通过Nette\Utils\Strings::webalize(jsonp, NULL, FALSE)“网络化”。如果您在配置中将jsonpKey设置为FALSE或NULL，则完全禁用所有API资源的JSONP模式。然后您可以手动触发它。只需将IResource的$contentType属性设置为IResource::JSONP。

另外注意：如果启用此选项，并且客户端将jsonp参数添加到查询字符串中，无论您将什么设置到$presenter->resource->contentType，它都将生成JsonpResponse。

使生活更美好的实用工具

过滤API请求是惯例。这就是为什么再次执行它很无聊。Restful提供了RequestFilter，它为您解析最常见的事情。在ResourcePresenter中，您可以在$requestFilter属性中找到RequestFilter。

分页器

通过将offset和limit参数添加到查询字符串中，您可以创建标准的Nette Paginator。然后，您的API资源将以Link头（其中“最后一页”部分和X-Total-Count头仅提供，如果您将总项数设置为分页器）响应。

Link: <URL_to_next_page>; rel="next",
      <URL_to_last_page>; rel="last"
X-Total-Count: 1000

字段列表

如果您只想加载资源的一部分（例如，加载整个资源数据很昂贵），您应该在查询参数中添加fields参数，并列出所需的字段（例如，fields=user_id,name,email）。在RequestFilter中，您可以通过调用getFieldsList()方法获取此列表（array('user_id', 'name', 'email')）。

排序列表

如果您想按资源提供的数据排序，您可能需要根据排序的属性。为了尽可能简单，您可以从sort查询参数（例如，sort=name,-created_at）中获取它，作为array('name' => 'ASC', 'created_at' => 'DESC')，通过调用RequestFilter方法getSortList()

所以这就结束了。享受并希望您喜欢它！