README

此仓库正在开发中。

内容

要求
安装与设置
Neon 配置
示例用法
简单的 CRUD 资源
访问输入数据
输入数据验证
错误展示器
安全与认证
使用 OAuth2 保护您的资源
JSONP 支持
让生活更美好的实用工具

要求

Drahak/Restful 需要 PHP 版本 5.3.0 或更高版本。唯一的依赖项是 Nette 框架 2.0.x。Restful 还与我的 Drahak\OAuth2 提供程序配合良好（见使用 OAuth2 保护您的资源）

安装与设置

最简单的方法是使用 Composer

$ composer require drahak/restful:@dev

然后通过将以下代码添加到 bootstrap.php 中注册扩展（在创建容器之前）

Drahak\Restful\DI\RestfulExtension::install($configurator);

或在 config.neon 中注册它

extensions:
  restful: Drahak\Restful\DI\RestfulExtension

Neon 配置

您可以在 config.neon 中的 restful 部分配置 Drahak\Restful 库

restful:
	convention: 'snake_case'
	cacheDir: '%tempDir%/cache'
	jsonpKey: 'jsonp'
	prettyPrintKey: 'pretty'
	routes:
		generateAtStart: FALSE
		prefix: resources
		module: 'RestApi'
		autoGenerated: TRUE
		panel: TRUE
	mappers:
		myMapper:
			contentType: 'multipart/form-data'
			class:  \App\MyMapper
	security:
		privateKey: 'my-secret-api-key'
		requestTimeKey: 'timestamp'
		requestTimeout: 300

cacheDir：没有太多可说的，就是存储缓存的位置
jsonpKey：设置查询参数名称，启用 JSONP 封装模式。如果您想禁用它，请将其设置为 FALSE。
prettyPrintKey：API 默认以格式化的方式打印每个资源。您可以使用此查询参数来禁用它
convention：资源数组键约定。目前支持 3 个值：snake_case、camelCase & PascalCase，这些值会自动转换资源数组键。您可以编写自己的转换器。只需实现 Drahak\Restful\Resource\IConverter 接口，并使用 restful.converter 标签您的服务。
routes.generateAtStart：在 Router 开始时生成路由（仅适用于自动生成的路由，如果通过 config.neon 设置了 Router）
routes.prefix：掩码前缀到资源路由（仅适用于自动生成的路由）
routes.module：默认模块到资源路由（仅适用于自动生成的路由）
routes.autoGenerated：如果为 TRUE，则库将自动从 Presenter 动作方法注解生成资源路由（见下文）
routes.panel：如果为 TRUE，则资源路由面板将出现在您的 nette 调试栏中
mappers：替换现有的映射器或为不同的内容类型添加新的映射器
security.privateKey：用于散列受保护请求的私钥
security.requestTimeKey：请求体中的密钥，其中可以找到请求时间戳（见下文 - 安全与认证）
security.requestTimeout：请求时间戳的最大年龄

提示：为您的资源使用 gzip 压缩。您可以在 neon 中简单启用它

php:
    zlib.output_compression: yes

资源路由面板

默认情况下已启用，但您可以通过将 restful.routes.panel 设置为 FALSE 来禁用它。此面板显示所有 REST API 资源路由（即默认路由列表中实现 IResourceRouter 接口的所有路由）。这对于开发客户端应用程序的开发人员很有用，因为他们可以将所有 API 资源路由放在一个地方。

示例用法

<?php
namespace ResourcesModule;

use Drahak\Restful\IResource;
use Drahak\Restful\Application\UI\ResourcePresenter;

/**
 * SamplePresenter resource
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class SamplePresenter extends ResourcePresenter
{

   protected $typeMap = array(
       'json' => IResource::JSON,
       'xml' => IResource::XML
   );

   /**
    * @GET sample[.<type xml|json>]
    */
   public function actionContent($type = 'json')
   {
       $this->resource->title = 'REST API';
       $this->resource->subtitle = '';
       $this->sendResource($this->typeMap[$type]);
   }

   /**
    * @GET sample/detail
    */
   public function actionDetail()
   {
       $this->resource->message = 'Hello world';
   }

}

资源输出由Accept头部决定。库会检查头部是否包含application/xml、application/json、application/x-data-url和application/www-form-urlencoded，并按照Accept头部的顺序进行排列。

注意：如果您在调用$presenter->sendResource()方法时，在第一个参数中指定了MIME类型，则API将只接受这个类型。

另外注意：有可用的注解@GET、@POST、@PUT、@HEAD、@DELETE。这允许Drahak\Restful库为您生成API路由，因此您不需要手动进行。但这并非必要！您可以使用IResourceRoute或其默认实现来定义您的路由，例如

<?php
use Drahak\Restful\Application\Routes\ResourceRoute;

$anyRouteList[] = new ResourceRoute('sample[.<type xml|json>]', 'Resources:Sample:content', ResourceRoute::GET);

与Nette默认路由不同，这里只有一个参数，即请求方法。这使得您可以生成用于例如GET和POST方法的相同URL。您可以将此参数作为标志传递给路由，以便可以组合多个请求方法，如ResourceRoute::GET | ResourceRoute::POST，在同一个路由上监听GET和POST请求方法。

您还可以为每个请求方法定义动作名称字典

<?php
new ResourceRoute('myResourceName', array(
    'presenter' => 'MyResourcePresenter',
    'action' => array(
        ResourceRoute::GET => 'content',
        ResourceRoute::DELETE => 'delete'
    )
), ResourceRoute::GET | ResourceRoute::DELETE);

简单的 CRUD 资源

虽然这样很好，但在许多情况下，我只定义CRUD操作，那么如何更直观地进行呢？使用CrudRoute！这是ResourceRoute的子类，为您预先定义了基本的CRUD操作。具体来说，对于POST方法，是Presenter:create，对于GET是Presenter:read，对于PUT是Presenter:update，对于DELETE是Presenter:delete。然后您的路由器将看起来像这样

<?php
new CrudRoute('<module>/crud', 'MyResourcePresenter');

注意：第二个参数是元数据。您只需定义Presenter而不是动作名称。这是因为动作名称将由来自动作字典（[CrudRoute::POST => 'create', CrudRoute::GET => 'read', CrudRoute::PUT => 'update', CrudRoute::DELETE => 'delete']）的值替换，该值是ResourceRoute的属性，因此即使是CrudRoute，因为它是其子类。另外请注意，我们不需要设置标志。默认标志设置为CrudRoute::CRUD，因此该路由将匹配所有请求方法。

然后您可以简单地定义您的CRUD资源表示器

<?php
namespace ResourcesModule;

/**
 * CRUD resource presenter
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class CrudPresenter extends BasePresenter
{

    public function actionCreate()
    {
        $this->resource->action = 'Create';
    }

    public function actionRead()
    {
        $this->resource->action = 'Read';
    }

    public function actionUpdate()
    {
        $this->resource->action = 'Update';
    }

    public function actionDelete()
    {
        $this->resource->action = 'Delete';
    }

}

注意：如果请求中指定了X-HTTP-Method-Override头部，或者将查询参数__method添加到URL中，则可以覆盖每个请求方法。

存在关系

在RESTful服务中，关系相当常见，但在URL中如何处理它？我们的目标是这样的GET /articles/94/comments[/5]，而方括号中的ID可能是可选的。路由将如下所示

$router[] = new ResourceRoute('api/v1/articles/<id>/comments[/<commentId>]', array(
    'presenter' => 'Articles',
    'action' => array(
        IResourceRouter::GET => 'readComment',
        IResourceRouter::DELETE => 'deleteComment'
    )
), IResourceRouter::GET | IResourceRouter::DELETE);

动作名称中的请求参数

相当长。因此，有一种方法可以将其泛化。现在它看起来像这样

$router[] = new ResourceRoute('api/v1/<presenter>/<id>/<relation>[/<relationId>]', array(
    'presenter' => 'Articles',
    'action' => array(
        IResourceRouter::GET => 'read<Relation>',
        IResourceRouter::DELETE => 'delete<Relation>'
    )
), IResourceRouter::GET | IResourceRouter::DELETE);

更好，但仍然相当长。让我们再次使用CrudRoute

$router[] = new CrudRoute('api/v1/<presenter>/<id>/[<relation>[/<relationId>]]', 'Articles');

这是最短的方法。这是因为CrudRoute中的动作字典基本上如下。

array(
    IResourceRouter::POST => 'create<Relation>',
    IResourceRouter::GET => 'read<Relation>',
    IResourceRouter::PUT => 'update<Relation>',
    IResourceRouter::DELETE => 'delete<Relation>'
)

也可以看看这个单一路由的一些示例

    GET api/v1/articles/94                  => Articles:read
    DELETE api/v1/articles/94               => Articles:delete
    GET api/v1/articles/94/comments         => Articles:readComments
    GET api/v1/articles/94/comments/5       => Articles:readComments
    DELETE api/v1/articles/94/comments/5    => Articles:deleteComments
    POST api/v1/articles/94/comments        => Articles:createComments
    ...

当然，您可以将多个参数添加到动作名称中，并创建更长的关系。

注意：如果关系或动作名称中的任何其他参数不存在，则将忽略它，并使用不带参数的名称。

另外注意：动作名称中的参数是不区分大小写的。

访问输入数据

如果您想构建REST API，您可能还想访问所有请求方法（GET、POST、PUT、DELETE和HEAD）的查询输入数据。因此，库定义了一个输入解析器，它读取数据并将其解析为数组。数据是从查询字符串或请求体中获取的，并通过IMapper进行解析。首先，库会查找请求体。如果它不为空，它会检查Content-Type头部，并确定正确的映射器（例如，对于application/json -> JsonMapper等）。然后，如果请求体为空，尝试获取POST数据，最后甚至获取URL查询数据。

<?php
namespace ResourcesModule;

/**
 * Sample resource
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class SamplePresenter extends BasePresenter
{

	/**
	 * @PUT <module>/sample
	 */
	public function actionUpdate()
	{
		$this->resource->message = isset($this->input->message) ? $this->input->message : 'no message';
	}

}

它的好处在于你不必关心请求方法。Nette Drahak REST API 库会为你选择正确的输入解析器，但处理方式还是取决于你。有可用的 InputIterator，因此你可以在展示者中遍历输入或在自定义输入解析器中使用它作为迭代器。

输入数据验证

访问输入数据的第一个规则：永远不要相信客户端！这非常重要，因为它是安全性的关键特性。那么如何正确地做呢？你可能已经了解 Nette Forms 和它的验证。让我们在 Restful 中做同样的事情！你可以为每个输入数据字段定义验证规则。要获取字段（正好是 Drahak\Restful\Validation\IField），只需在 Input（在展示者中：$this->input）上调用带有字段名称的 field 方法。然后定义规则（几乎）像在 Nette 中一样。

/**
 * SamplePresenter resource
 * @package Restful\Api
 * @author Drahomír Hanák
 */
class SamplePresenter extends BasePresenter
{

	public function validateCreate()
	{
    	$this->input->field('password')
    		->addRule(IValidator::MIN_LENGTH, NULL, 3)
    		->addRule(IValidator::PATTERN, 'Please add at least one number to password', '/.*[0-9].*/');
	}

    public function actionCreate()
    {
    	// some save data insertion
	}

}

就这些！它并不完全像 Nette，但非常相似。至少是基本的公共接口。

注意：验证方法 validateCreate。这个新的生命周期方法 validate<Action>() 会在每个动作方法 action<Action>() 之前处理。这不是必须的，但用于定义一些验证规则或验证数据时很有用。如果验证失败，会抛出带有代码 HTT/1.1 422（UnproccessableEntity）的 BadRequestException 异常，该异常可以被错误展示者处理。

错误展示器

为客户端提供可读错误响应的最简单但功能强大的方法是使用 $presenter->sendErrorResponse(Exception $e) 方法。最简单的错误展示者可能如下所示

<?php
namespace Restful\Api;

use Drahak\Restful\Application\UI\ResourcePresenter;

/**
 * Base API ErrorPresenter
 * @package Restful\Api
 * @author Drahomír Hanák
 */
class ErrorPresenter extends ResourcePresenter
{

	/**
	 * Provide error to client
	 * @param \Exception $exception
	 */
	public function actionDefault($exception)
	{
		$this->sendErrorResource($exception);
	}

}

客户端可以像在正常的 API 资源中一样确定首选格式。实际上，它只是将异常数据添加到资源中，并将其发送到输出。

安全与认证

Restful 提供了一些方法来保护你的资源

基本身份验证

这是一个完全基本但功能强大的保护资源的手段。它基于标准的 Nette 用户身份验证（如果用户未登录，则抛出安全异常，该异常被提供给客户端），因此它适用于受信任的客户端（例如自己的客户端应用程序等）。由于这是常见的 Restful，它包含 SecuredResourcePresenter 作为 ResourcePresenter 的子类，它已经为你处理了 BasicAuthentication。请参见以下示例

use Drahak\Restful\Application\UI\SecuredResourcePresenter

/**
 * My secured resource presenter
 * @author Drahomír Hanák
 */
class ArticlesPresenter extends SecuredResourcePresenter
{

    // all my resources are protected and reachable only for logged user's
    // you can also add some Authorizator to check user rights

}

提示：小心使用这种身份验证（以及标准的东西，如用户身份）。记住保持 REST API 无状态。从实用主义的角度来看，这不是一个好的方法，但它是最简单的方法。

安全身份验证

当第三方客户端连接时，你必须找到另一种方式来验证这些请求。SecuredAuthentication 大概是答案。它基于发送带有私有密钥的哈希数据。由于数据已经加密，因此它不依赖于 SSL。身份验证过程如下

理解身份验证过程

客户端：将请求时间戳追加到请求体中。
客户端：使用 hash_hmac（sha256 算法）和私有密钥对所有数据进行哈希处理。然后将生成的哈希追加到请求中作为 X-HTTP-AUTH-TOKEN 标头（默认）。
客户端：将请求发送到服务器。
服务器：接受客户端的请求并以相同的方式计算哈希（使用抽象模板类 AuthenticationProcess）。
服务器：将客户端的哈希与之前步骤中生成的哈希进行比较。
服务器：还检查请求时间戳并计算差异。如果它大于 300（5 分钟），则抛出异常。（这可以避免所谓的重放攻击）
服务器：捕获 AuthenticationProcess 抛出的任何 SecurityException 并提供错误响应。

默认的 AuthenticationProcess 是 NullAuthentication，因此所有请求都是未受保护的。您可以使用 SecuredAuthentication 来保护您的资源。为此，只需将此身份验证过程设置到 restful.authentication 或 $presenter->authentication 中的 AuthenticationContext。

<?php
namespace ResourcesModule;

use Drahak\Restful\Security\Process\SecuredAuthentication;

/**
 * CRUD resource presenter
 * @package ResourcesModule
 * @author Drahomír Hanák
 */
class CrudPresenter extends BasePresenter
{

	/** @var SecuredAuthentication */
	private $securedAuthentication;

	/**
	 * Inject secured authentication process
	 * @param SecuredAuthentication $auth
	 */
	public function injectSecuredAuthentication(SecuredAuthentication $auth)
	{
		$this->securedAuthentication = $auth;
	}

	protected function startup()
	{
		parent::startup();
		$this->authentication->setAuthProcess($this->securedAuthentication);
	}

	// your secured resource action
}

永远不要发送私有密钥！

使用 OAuth2 保护您的资源

如果您想使用OAuth2来保护您的API资源，您需要一个OAuth2提供者。我为Nette框架实现了一个OAuth2提供者包，这样您就可以在Restful中使用了。为此，只需将依赖项"drahak/oauth2": "dev-master"添加到您的composer中，然后使用OAuth2Authentication，它是AuthenticationProcess。如果您想使用其他任何OAuth2提供者，您可以编写自己的AuthenticationProcess。

<?php
namespace Restful\Api;

use Drahak\Restful\IResource;
use Drahak\Restful\Security\Process\AuthenticationProcess;
use Drahak\Restful\Security\Process\OAuth2Authentication;

/**
 * CRUD resource presenter
 * @package Restful\Api
 * @author Drahomír Hanák
 */
class CrudPresenter extends BasePresenter
{

	/** @var AuthenticationProcess */
	private $authenticationProcess;

	/**
	 * Inject authentication process
	 * @param OAuth2Authentication $auth
	 */
	public function injectSecuredAuthentication(OAuth2Authentication $auth)
	{
		$this->authenticationProcess = $auth;
	}

	/**
	 * Check presenter requirements
	 * @param $element
	 */
	public function checkRequirements($element)
	{
		parent::checkRequirements($element);
		$this->authentication->setAuthProcess($this->authenticationProcess);
	}

	// ...

}

注意：这是一个资源服务器，因此它处理访问令牌授权。要生成访问令牌，您需要创建OAuth2演示者（资源所有者和授权服务器 - 请参阅Drahak\OAuth2文档）。

JSONP 支持

如果您想通过远程主机上的JavaScript访问您的API资源，您不能在API上执行正常的AJAX请求。因此，JSONP是另一种方法。在JSONP请求中，您将API资源作为JavaScript加载到HTML中的标准script标签中。API将JSON字符串包裹到回调函数参数中。这实际上很简单，但需要特别注意。例如，您无法访问响应头或状态码。您可以将这些头和状态码包裹到所有资源中，但这对于普通API客户端来说不是很好，因为它们可以访问头部信息。该库允许您添加特殊的查询参数jsonp（名称取决于您的配置，这是默认值）。如果您使用?jsonp=callback访问资源，API将自动确定JSONP模式，并将所有资源包裹到以下JavaScript中：

callback({
	"response": {
		"yourResourceData": "here"
	},
	"status": 200,
	"headers": {
		"X-Powered-By": "Nette framework",
		...
	}
})

注意：函数名称。这是来自jsonp查询参数的名称。这个字符串通过Nette\Utils\Strings::webalize(jsonp, NULL, FALSE)进行“web化”。如果您在配置中将jsonpKey设置为FALSE或NULL，您将完全禁用所有API资源的JSONP模式。然后您可以手动触发它。只需将IResource $contentType属性设置为IResource::JSONP。

还要注意：如果此选项已启用且客户端将jsonp参数添加到查询字符串中，无论您将什么设置到$presenter->resource->contentType，它都会生成JsonpResponse。

让生活更美好的实用工具

API请求过滤是常规操作。这就是为什么再次做它很无聊。Restful提供了RequestFilter，它会为您解析最常见的事情。在ResourcePresenter中，您可以在$requestFilter属性中找到RequestFilter。

分页器

通过将offset和limit参数添加到查询字符串中，您可以创建标准的Nette Paginator。然后，您的API资源将以Link头（其中“最后一页”部分和X-Total-Count头仅提供，如果您设置了分页器的总项目计数）响应。

Link: <URL_to_next_page>; rel="next",
      <URL_to_last_page>; rel="last"
X-Total-Count: 1000

字段列表

如果您只想加载资源的一部分（例如，加载整个资源数据很昂贵），您应该在查询参数中添加fields参数，其中包含所需字段的列表（例如，fields=user_id,name,email）。在RequestFilter中，您可以通过调用getFieldsList()方法来获取此列表（array('user_id', 'name', 'email')）。

排序列表

如果您想对资源提供的数据进行排序，您可能需要根据您排序的属性。为了使其尽可能简单，您可以从sort查询参数（如sort=name,-created_at）中获取它，作为array('name' => 'ASC', 'created_at' => 'DESC')，通过调用RequestFilter方法getSortList()。

所以就是这样。祝您玩得开心，希望您喜欢它！

oxit / restful

维护者

详细信息