搜索rnd-cosoft / api-tools-mvc-auth
Laminas 模块,提供身份验证和授权事件及基础设施
Requires
- php: ~8.1.0 || ~8.2.0 || ~8.3.0
- laminas/laminas-authentication: ^2.9.0
- laminas/laminas-eventmanager: ^3.4
- laminas/laminas-http: ^2.15.1
- laminas/laminas-mvc: ^2.7.9 || ^3.3.0
- laminas/laminas-permissions-acl: ^2.9
- laminas/laminas-permissions-rbac: ^2.6.0 || ^3.2
- laminas/laminas-servicemanager: ^3.11.1
- laminas/laminas-stdlib: ^2.7.8 || ^3.6.1
- laminas/laminas-zendframework-bridge: ^1.1
- rnd-cosoft/api-tools-api-problem: ^1.5.0
- rnd-cosoft/api-tools-content-negotiation: ^1.8.0
- rnd-cosoft/api-tools-oauth2: ^1.9
Requires (Dev)
- laminas/laminas-coding-standard: ~2.3.0
- laminas/laminas-session: ^2.12.0
- phpspec/prophecy-phpunit: ^2.0.1
- phpunit/phpunit: ^9.5.10
- psalm/plugin-phpunit: ^0.16.0
- vimeo/psalm: ^4.7
Replaces
This package is not auto-updated.
Last update: 2024-09-13 11:42:32 UTC
README
🇷🇺 俄罗斯公民
我们是 Laminas 的参与者,来自不同的国家。我们中许多人有俄罗斯和乌克兰的朋友、亲戚和同事。我们中的一些人生于俄罗斯。我们中的一些人现在住在俄罗斯。我们中的一些人的祖父母在二战中与法西斯战斗过。这里没有人支持法西斯主义。
我们中的一位成员有一位乌克兰亲戚,她和她儿子一起逃离了家园。火车因前方道路上的轰炸而延误。我们有朋友在防空洞里躲藏。我们在空袭后焦急地关注他们的消息,空袭不分青红皂白地轰炸医院、学校、幼儿园和住宅。我们不从任何媒体上了解这些,我们亲眼目睹了这一切。
您足够信任我们,使用我们的程序,我们请求您再次信任我们。我们需要您的帮助。走出家门,抗议这场毫无意义的战争。停止杀戮。说“不,战争!”
🇺🇸 致俄罗斯公民
Laminas 的我们来自世界各地。我们中许多人有俄罗斯和乌克兰的朋友、家人和同事。我们中的一些人生于俄罗斯。我们中的一些人现在住在俄罗斯。我们中的一些人的祖父母在二战中与纳粹战斗过。这里没有人支持法西斯主义。
我们团队的一位成员有一位乌克兰亲戚,她和她儿子一起逃离了家园。火车因前方道路上的轰炸而延误。我们有朋友在防空洞里躲藏。我们在空袭后焦急地关注他们的消息,空袭不分青红皂白地轰炸医院、学校、幼儿园和住宅。我们不从任何媒体上了解这些,这些是我们亲身经历的事情。
您足够信任我们,使用我们的软件。我们请求您信任我们说出真相。我们需要您的帮助。走出家门,抗议这场不必要的战争。停止杀戮。说“停止战争!”
介绍
api-tools-mvc-auth 是一个 Laminas 模块,它添加了服务、事件和配置,扩展了基于 Laminas MVC 生命周期的基本功能,用于处理身份验证和授权。
对于身份验证,默认支持 3 种主要方法:HTTP Basic 身份验证、HTTP Digest 身份验证和 OAuth2(这需要 Brent Shaffer 的 OAuth2 Server)。
对于授权,此特定模块提供了一个预派发监听器,可以识别给定的路由是否匹配,以及 HTTP 方法是否有权派发。
要求
请参阅 composer.json 文件。
安装
运行以下 composer 命令
$ composer require "laminas-api-tools/api-tools-mvc-auth"
或者,手动将以下内容添加到您的 composer.json 文件的 require 部分
"require": { "laminas-api-tools/api-tools-mvc-auth": "^1.4" }
然后运行 composer update 以确保安装了模块。
最后,将模块名称添加到项目 config/application.config.php 文件中的 modules 键下
return [ /* ... */ 'modules' => [ /* ... */ 'Laminas\ApiTools\MvcAuth', ], /* ... */ ];
配置
用户配置
此模块用户配置的最高级配置键是 api-tools-mvc-auth。在此键下,有两个子键,一个是 authentication,另一个是 authorization。
键:authentication
authentication 键用于与身份验证过程或验证身份的过程相关的任何配置。
子键:http
使用 http 子键来配置基于 HTTP 的身份验证方案。这些方案使用 Laminas 的 Laminas\Authentication\Adapter\Http 适配器,该适配器实现了 HTTP Basic 和 HTTP Digest 身份验证。为此,HTTP 适配器使用基于文件的 "解析器" 来解析包含凭证的文件。这些实现的细节可以在 Laminas 手册的身份验证部分 中找到。
http 子键有几个字段
accept_schemes: 必需;一个配置的方案数组;可以是basic或digest之一。realm: 必需;这是一个通常标识 HTTP 域的字符串;例如,“我的网站”。digest_domains: 必需 用于 HTTP Digest;这是受保护区域的相对 URI,通常是/。nonce_timeout: 必需 用于 HTTP Digest;nonce 过期的时间(秒数),通常是3600。
除了这些配置选项之外,还需要以下解析器配置之一
htpasswd:创建在htpasswd文件格式中的文件的路径htdigest:创建在htdigest文件格式中的文件的路径
以下是一个示例
'http' => [ 'accept_schemes' => ['basic', 'digest'], 'realm' => 'My Web Site', 'digest_domains' => '/', 'nonce_timeout' => 3600, 'htpasswd' => APPLICATION_PATH . '/data/htpasswd', // htpasswd tool generated 'htdigest' => APPLICATION_PATH . '/data/htdigest', // @see http://www.askapache.com/online-tools/htpasswd-generator/ ],
子键:map
- 自 1.1.0 版本以来。
map 子键用于将 API 模块(可选,带有版本命名空间)映射到指定的身份验证类型(通常是 basic、digest 或 oauth2 之一)。这可以用于为不同的 API 或同一 API 的不同版本强制执行不同的身份验证方法。
return [ 'api-tools-mvc-auth' => [ 'authentication' => [ 'map' => [ 'Status\V1' => 'basic', // v1 only! 'Status\V2' => 'oauth2', // v2 only! 'Ping' => 'digest', // all versions! ], ], ], ];
如果没有 map 子键,并且定义了任何身份验证适配器配置,则将使用该配置用于任何 API。
1.0 版本用户迁移说明:在 1.0 系列中,身份验证是 按应用程序,而不是按 API。迁移到 1.1 应该无缝;如果您没有编辑您的身份验证设置,或者未向任何 API 提供身份验证信息,则您的 API 将继续以之前的方式运行。您第一次执行这些操作之一时,管理员 API 将创建一个映射,将每个服务的每个版本映射到配置的身份验证方案,从而确保您的 API 继续以之前配置的方式运行,同时为您提供将来按 API 和版本定义身份验证的灵活性。
子键:types
- 自 1.1.0 版本以来。
从 1.1.0 版本开始,提供了身份验证适配器的概念。适配器“提供”一个或多个身份验证类型;然后这些类型被内部用于确定使用哪个适配器,以及由管理员 API 用于将 API 映射到特定的身份验证类型。
在某些情况下,您可能正在使用监听器或其他用于验证 API 的设施。为了允许将这些(在这种情况下主要是一个文档功能),存在 types 子键。此键是一个字符串身份验证类型的数组
return [ 'api-tools-mvc-auth' => [ 'authentication' => [ 'types' => [ 'token', 'key', ], ], ], ];
此键及其内容必须手动创建。
子键:adapters
- 自 1.1.0 版本以来。
从 1.1.0 版本开始,随着适配器的引入,您还可以配置命名的 HTTP 和 OAuth2 适配器。提供的名称将用作将 API 映射到身份验证适配器的身份验证类型。
adapters 键的格式是键/值对,其中键用作类型,值用作提供 Laminas\ApiTools\MvcAuth\Authentication\HttpAdapter 或 Laminas\ApiTools\MvcAuth\Authentication\OAuth2Adapter 实例的配置,如下所示
return [ 'api-tools-mvc-auth' => [ 'authentication' => [ 'adapters' => [ 'api' => [ // This defines an HTTP adapter that can satisfy both // basic and digest. 'adapter' => 'Laminas\ApiTools\MvcAuth\Authentication\HttpAdapter', 'options' => [ 'accept_schemes' => ['basic', 'digest'], 'realm' => 'api', 'digest_domains' => 'https://example.com', 'nonce_timeout' => 3600, 'htpasswd' => 'data/htpasswd', 'htdigest' => 'data/htdigest', ], ], 'user' => [ // This defines an OAuth2 adapter backed by PDO. 'adapter' => 'Laminas\ApiTools\MvcAuth\Authentication\OAuth2Adapter', 'storage' => [ 'adapter' => 'pdo', 'dsn' => 'mysql:host=localhost;dbname=oauth2', 'username' => 'username', 'password' => 'password', 'options' => [ 1002 => 'SET NAMES utf8', // PDO::MYSQL_ATTR_INIT_COMMAND ], ], ], 'client' => [ // This defines an OAuth2 adapter backed by Mongo. 'adapter' => 'Laminas\ApiTools\MvcAuth\Authentication\OAuth2Adapter', 'storage' => [ 'adapter' => 'mongo', 'locator_name' => 'SomeServiceName', // If provided, pulls the given service 'dsn' => 'mongodb://localhost', 'database' => 'oauth2', 'options' => [ 'username' => 'username', 'password' => 'password', 'connectTimeoutMS' => 500, ], ], ], ], ], ], ];
键:authorization
子键:deny_by_default
deny_by_default 开关用于切换 Laminas\Permissions\Acl 实现的默认行为。默认值是 false,这意味着如果没有认证用户,并且当前资源没有适用权限规则,则允许访问。将此设置更改为 true 以默认要求认证身份。
示例
'deny_by_default' => false,
与 api-tools-oauth2 一起使用 deny_by_default
当使用
deny_by_default => true与 api-tools-oauth2 时,您需要显式允许 OAuth2 控制器的 POST,以便进行身份验证请求。例如
'authorization' => [ 'deny_by_default' => true, 'Laminas\\ApiTools\\OAuth2\\Controller\\Auth' => [ 'actions' => [ 'token' => [ 'GET' => false, 'POST' => true, // <----- 'PATCH' => false, 'PUT' => false, 'DELETE' => false, ], ], ], ],
在 apache2 上启用 deny_by_default
如果您在 Apache 2 上部署项目并启用了 deny_by_default,您可能会从 API 收到 "403 禁止" 响应。这是由于 api-tools-mvc-auth 依赖的上游库的 问题 bshaffer/oauth2-server-php#503。解决方案是将以下行添加到您的 .htaccess 文件或 Apache 配置中
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
如果您在 nginx 上部署项目或在您的 Apache 2 实例后面有反向代理,则不会受到影响。
子键:控制器服务名称
在 authorization 键下是一个键控的授权配置设置数组。这些数组的结构取决于您尝试授予或限制访问的控制器服务的类型。
对于典型的基于 Laminas 的动作控制器,此数组以 actions 为键。在此键下,每个控制器服务的动作名称都与一个 权限数组 关联。
对于基于 api-tools-rest 的控制器,使用顶级键 collection 或 entity。在这些键下将会有相应的 权限数组。
权限数组 由键控数组组成,这些数组是 default 或 HTTP 方法。每个这些值将是一个布尔值,其中 true 表示 需要认证用户,而 false 表示 不需要认证用户。如果一个动作或 HTTP 方法没有标识,将假定 default 值。如果没有默认值,将假定上述 deny_by_default 键的行为。
下面是一个示例
'authorization' => [ 'Controller\Service\Name' => [ 'actions' => [ 'action' => [ 'default' => boolean, 'GET' => boolean, 'POST' => boolean, // etc. ], ], 'collection' => [ 'default' => boolean, 'GET' => boolean, 'POST' => boolean, // etc. ], 'entity' => [ 'default' => boolean, 'GET' => boolean, 'POST' => boolean, // etc. ], ], ],
系统配置
以下配置在 config/module.config.php 中提供,以启用模块功能
'service_manager' => [ 'aliases' => [ 'authentication' => 'Laminas\ApiTools\MvcAuth\Authentication', 'authorization' => 'Laminas\ApiTools\MvcAuth\Authorization\AuthorizationInterface', 'Laminas\ApiTools\MvcAuth\Authorization\AuthorizationInterface' => 'Laminas\ApiTools\MvcAuth\Authorization\AclAuthorization', ], 'factories' => [ 'Laminas\ApiTools\MvcAuth\Authentication' => 'Laminas\ApiTools\MvcAuth\Factory\AuthenticationServiceFactory', 'Laminas\ApiTools\MvcAuth\ApacheResolver' => 'Laminas\ApiTools\MvcAuth\Factory\ApacheResolverFactory', 'Laminas\ApiTools\MvcAuth\FileResolver' => 'Laminas\ApiTools\MvcAuth\Factory\FileResolverFactory', 'Laminas\ApiTools\MvcAuth\Authentication\DefaultAuthenticationListener' => 'Laminas\ApiTools\MvcAuth\Factory\DefaultAuthenticationListenerFactory', 'Laminas\ApiTools\MvcAuth\Authentication\AuthHttpAdapter' => 'Laminas\ApiTools\MvcAuth\Factory\DefaultAuthHttpAdapterFactory', 'Laminas\ApiTools\MvcAuth\Authorization\AclAuthorization' => 'Laminas\ApiTools\MvcAuth\Factory\AclAuthorizationFactory', 'Laminas\ApiTools\MvcAuth\Authorization\DefaultAuthorizationListener' => 'Laminas\ApiTools\MvcAuth\Factory\DefaultAuthorizationListenerFactory', 'Laminas\ApiTools\MvcAuth\Authorization\DefaultResourceResolverListener' => 'Laminas\ApiTools\MvcAuth\Factory\DefaultResourceResolverListenerFactory', ], 'invokables' => [ 'Laminas\ApiTools\MvcAuth\Authentication\DefaultAuthenticationPostListener' => 'Laminas\ApiTools\MvcAuth\Authentication\DefaultAuthenticationPostListener', 'Laminas\ApiTools\MvcAuth\Authorization\DefaultAuthorizationPostListener' => 'Laminas\ApiTools\MvcAuth\Authorization\DefaultAuthorizationPostListener', ], ],
这些服务将在事件和服务的部分进行描述。
Laminas 事件
事件
Laminas\ApiTools\MvcAuth\MvcAuthEvent::EVENT_AUTHENTICATION (即 "authentication")
此事件在 MvcEvent::EVENT_ROUTE 相关的 500 优先级处触发。它通过 Laminas\ApiTools\MvcAuth\MvcRouteListener 事件监听器聚合器注册。
Laminas\ApiTools\MvcAuth\MvcAuthEvent::EVENT_AUTHENTICATION_POST (即 "authentication.post")
此事件在 MvcEvent::EVENT_ROUTE 相关的 499 优先级处触发。它通过 Laminas\ApiTools\MvcAuth\MvcRouteListener 事件监听器聚合器注册。
Laminas\ApiTools\MvcAuth\MvcAuthEvent::EVENT_AUTHORIZATION (即 "authorization")
此事件在 MvcEvent::EVENT_ROUTE 相关的 -600 优先级处触发。它通过 Laminas\ApiTools\MvcAuth\MvcRouteListener 事件监听器聚合器注册。
Laminas\ApiTools\MvcAuth\MvcAuthEvent::EVENT_AUTHORIZATION_POST (即 "authorization.post")
此事件在 MvcEvent::EVENT_ROUTE 相关的 -601 优先级处触发。它通过 Laminas\ApiTools\MvcAuth\MvcRouteListener 事件监听器聚合器注册。
Laminas\ApiTools\MvcAuth\MvcAuthEvent 对象
MvcAuthEvent 对象在触发任何身份验证或授权事件时提供上下文信息。它持久化以下内容
- 身份:
setIdentity()和getIdentity() - 身份验证服务:
setAuthentication()和getAuthentication() - 授权服务:
setAuthorization()和getAuthorization() - 授权结果:
setIsAuthorized和isAuthorized() - 原始 MVC 事件:
getMvcEvent()
监听器
Laminas\ApiTools\MvcAuth\Authentication\DefaultAuthenticationListener
此监听器附加到 MvcAuth::EVENT_AUTHENTICATION 事件。其主要责任是执行任何身份验证并确保已验证的身份在 MvcAuthEvent 和 MvcEvent 对象中持久化(后者在事件参数 Laminas\ApiTools\MvcAuth\Identity 下)。
Laminas\ApiTools\MvcAuth\Authentication\DefaultAuthenticationPostListener
此监听器附加到 MvcAuth::EVENT_AUTHENTICATION_POST 事件。其主要责任是确定是否执行了失败的身份验证,在这种情况下,它将在 MvcEvent 的响应对象上尝试设置 401 Unauthorized 状态。
Laminas\ApiTools\MvcAuth\Authorization\DefaultAuthorizationListener
此监听器附加到 MvcAuth::EVENT_AUTHORIZATION 事件。其主要责任是在配置的授权服务上执行 isAuthorized() 方法。
Laminas\ApiTools\MvcAuth\Authorization\DefaultAuthorizationPostListener
此监听器附加到 MvcAuth::EVENT_AUTHORIZATION_POST 事件。其主要责任是确定当前请求是否已授权。在当前请求未授权的情况下,它将在 MvcEvent 的响应对象上尝试设置 403 Forbidden 状态。
Laminas\ApiTools\MvcAuth\Authorization\DefaultResourceResolverListener
此监听器以 -1 的优先级附加到 MvcAuth::EVENT_AUTHENTICATION_POST。其主要责任是在使用 api-tools-rest 模块时为基于 api-tools-rest 的控制器创建和持久化一个特殊名称。
Laminas 服务
控制器插件
此模块公开了控制器插件 getIdentity(),映射到 Laminas\ApiTools\MvcAuth\Identity\IdentityPlugin。此插件将返回身份验证过程中发现的身份,并将其注入到 Laminas\Mvc\MvcEvent 的 Laminas\ApiTools\MvcAuth\Identity 参数中。如果 MvcEvent 中不存在身份,或存在身份但不是 Laminas\ApiTools\MvcAuth\Identity\IdentityInterface 的实例,则返回 Laminas\ApiTools\MvcAuth\Identity\GuestIdentity 实例。
事件监听器服务
以下服务提供并作为事件监听器
Laminas\ApiTools\MvcAuth\Authentication\DefaultAuthenticationListenerLaminas\ApiTools\MvcAuth\Authentication\DefaultAuthenticationPostListenerLaminas\ApiTools\MvcAuth\Authorization\DefaultAuthorizationListenerLaminas\ApiTools\MvcAuth\Authorization\DefaultAuthorizationPostListenerLaminas\ApiTools\MvcAuth\Authorization\DefaultResourceResolverListener
Laminas\ApiTools\MvcAuth\Authentication(即 "authentication")
这是 Laminas\Authentication\AuthenticationService 的一个实例。
Laminas\ApiTools\MvcAuth\Authentication\AuthHttpAdapter
这是 Laminas\Authentication\Adapter\Http 的一个实例。
Laminas\ApiTools\MvcAuth\Authorization\AclAuthorization(即 "authorization","Laminas\ApiTools\MvcAuth\Authorization\AuthorizationInterface")
这是 Laminas\ApiTools\MvcAuth\Authorization\AclAuthorization 的一个实例,它又是 Laminas\Permissions\Acl\Acl 的扩展。
Laminas\ApiTools\MvcAuth\ApacheResolver
这是 Laminas\Authentication\Adapter\Http\ApacheResolver 的一个实例。您可以通过提供自定义工厂来覆盖 ApacheResolver。
Laminas\ApiTools\MvcAuth\FileResolver
这是 Laminas\Authentication\Adapter\Http\FileResolver 的一个实例。您可以通过提供自定义工厂来覆盖 FileResolver。
身份验证适配器
- 自 1.1.0 版本起
身份验证适配器为向您的 API 添加自定义身份验证功能提供了最直接的方法。适配器实现 Laminas\ApiTools\MvcAuth\Authentication\AdapterInterface
namespace Laminas\ApiTools\MvcAuth\Authentication; use Laminas\Http\Request; use Laminas\Http\Response; use Laminas\ApiTools\MvcAuth\Identity\IdentityInterface; use Laminas\ApiTools\MvcAuth\MvcAuthEvent; interface AdapterInterface { /** * @return array Array of types this adapter can handle. */ public function provides(); /** * Attempt to match a requested authentication type * against what the adapter provides. * * @param string $type * @return bool */ public function matches($type); /** * Attempt to retrieve the authentication type based on the request. * * Allows an adapter to have custom logic for detecting if a request * might be providing credentials it's interested in. * * @param Request $request * @return false|string */ public function getTypeFromRequest(Request $request); /** * Perform pre-flight authentication operations. * * Use case would be for providing authentication challenge headers. * * @param Request $request * @param Response $response * @return void|Response */ public function preAuth(Request $request, Response $response); /** * Attempt to authenticate the current request. * * @param Request $request * @param Response $response * @param MvcAuthEvent $mvcAuthEvent * @return false|IdentityInterface False on failure, IdentityInterface * otherwise */ public function authenticate(Request $request, Response $response, MvcAuthEvent $mvcAuthEvent); }
provides() 方法应返回一个字符串数组,每个字符串都是一个此适配器提供的身份验证 "类型";例如,提供的 Laminas\ApiTools\MvcAuth\Authentication\HttpAdapter 可以提供 basic 和/或 digest。
matches($type) 应测试给定的 $type 是否与适配器提供的类型相匹配,以确定它是否可以处理身份验证请求。通常,这可以通过 return in_array($type, $this->provides(), true); 完成
getTypeFromRequest() 方法可用于将传入的请求与它解决的身份验证类型匹配,如果有的话。示例可能包括解析 Authorization 标头或自定义头,例如 X-Api-Token。
preAuth() 方法可以用来提供客户端挑战;通常情况下,这只会被包含的 HttpAdapter 使用。
最后,使用 authenticate() 方法尝试对传入的请求进行身份验证。应该返回一个布尔值 false,表示身份验证失败,或者返回一个 Laminas\ApiTools\MvcAuth\Identity\IdentityInterface 实例;如果返回后者,则该身份将在请求持续期间使用。
适配器附加到 DefaultAuthenticationListener。要附加自定义适配器,您需要执行以下操作之一
- 通过配置定义命名的HTTP和/或OAuth2适配器。
- 在事件监听器期间,获取您的适配器和
DefaultAuthenticationListener服务,并将您的适配器附加到后者。 - 为
DefaultAuthenticationListener创建一个DelegatorFactory,在返回监听器之前附加您的自定义适配器。
定义命名的HTTP和/或OAuth2适配器
由于HTTP和OAuth2支持是内置的,api-tools-mvc-auth 提供了一种配置驱动的创建这些类型命名的适配器的方法。每个类型都需要在 api-tools-mvc-auth.authentication.adapters 配置下的一个唯一键,每种类型都有自己的格式。
return [ /* ... */ 'api-tools-mvc-auth' => [ 'authentication' => [ 'adapters' => [ 'api' => [ // This defines an HTTP adapter that can satisfy both // basic and digest. 'adapter' => 'Laminas\ApiTools\MvcAuth\Authentication\HttpAdapter', 'options' => [ 'accept_schemes' => ['basic', 'digest'], 'realm' => 'api', 'digest_domains' => 'https://example.com', 'nonce_timeout' => 3600, 'htpasswd' => 'data/htpasswd', 'htdigest' => 'data/htdigest', ], ], 'user' => [ // This defines an OAuth2 adapter backed by PDO. 'adapter' => 'Laminas\ApiTools\MvcAuth\Authentication\OAuth2Adapter', 'storage' => [ 'adapter' => 'pdo', 'dsn' => 'mysql:host=localhost;dbname=oauth2', 'username' => 'username', 'password' => 'password', 'options' => [ 1002 => 'SET NAMES utf8', // PDO::MYSQL_ATTR_INIT_COMMAND ], ], ], 'client' => [ // This defines an OAuth2 adapter backed by Mongo. 'adapter' => 'Laminas\ApiTools\MvcAuth\Authentication\OAuth2Adapter', 'storage' => [ 'adapter' => 'mongo', 'locator_name' => 'SomeServiceName', // If provided, pulls the given service 'dsn' => 'mongodb://localhost', 'database' => 'oauth2', 'options' => [ 'username' => 'username', 'password' => 'password', 'connectTimeoutMS' => 500, ], ], ], ], /* ... */ ], /* ... */ ], /* ... */ ];
上述配置将为您的应用程序提供身份验证类型 ['api-basic', 'api-digest', 'user', 'client'],它们可以与身份验证类型映射相关联。
如果您使用 api-tools-admin 的 Admin API 和/或 Laminas API Tools UI 来配置身份验证适配器,则将为您创建上述配置。
在事件监听器期间附加适配器
在这种情况下,最好的事件是“身份验证”事件。这样做时,您希望将优先级设置为 > 1,以确保在 DefaultAuthenticationListener 之前执行。
在以下示例中,我们假设您已定义一个名为 MyCustomAuthenticationAdapter 的服务,该服务返回一个 AdapterInterface 实现的实例,并且该类是您的 API 的 Module 类或您的应用程序中的模块。
class Module { public function onBootstrap($e) { $app = $e->getApplication(); $events = $app->getEventManager(); $services = $app->getServiceManager(); $events->attach( 'authentication', function ($e) use ($services) { $listener = $services->get('Laminas\ApiTools\MvcAuth\Authentication\DefaultAuthenticationListener') $adapter = $services->get('MyCustomAuthenticationAdapter'); $listener->attach($adapter); }, 1000 ); } }
通过返回空值,DefaultAuthenticationListener 将继续执行,但现在也将附加新的适配器。
使用委托工厂
委托工厂是一种“装饰”Laminas框架 ServiceManager 返回的实例的方法,以提供预条件或更改通常返回的实例。在我们的情况下,我们希望在实例创建后但在返回之前附加适配器。
在以下示例中,我们假设您已定义一个名为 MyCustomAuthenticationAdapter 的服务,该服务返回一个 AdapterInterface 实现的实例。以下是 DefaultAuthenticationListener 的委托工厂,它将注入我们的适配器。
use Laminas\ServiceManager\DelegatorFactoryInterface; use Laminas\ServiceManager\ServiceLocatorInterface; class CustomAuthenticationDelegatorFactory implements DelegatorFactoryInterface { public function createDelegatorWithName( ServiceLocatorInterface $services, $name, $requestedName, $callback ) { $listener = $callback(); $listener->attach($services->get('MyCustomAuthenticationAdapter'); return $listener; } }
然后我们需要将委托工厂告诉 ServiceManager;我们在模块的 config/module.config.php 中这样做,或者在一个 config/autoload/ 配置文件中。
return [ /* ... */ 'service_manager' => [ /* ... */ 'delegators' => [ 'Laminas\ApiTools\MvcAuth\Authentication\DefaultAuthenticationListener' => [ 'CustomAuthenticationDelegatorFactory', ], ], ], /* ... */ ];
一旦配置完成,我们的适配器将附加到检索到的每个 DefaultAuthenticationListener 实例。