搜索vymak / restful
Nette REST API 套件
Requires
- php: >= 5.6.0
- nette/application: ~2.4
- nette/bootstrap: ~2.4
- nette/caching: ~2.5
- nette/deprecated: ~2.4
- nette/di: ~2.4
- nette/http: ~2.4
- nette/reflection: ~2.4
- nette/robot-loader: ^2.4 | ^3.0
- nette/security: ~2.4
- nette/utils: ~2.4
- tracy/tracy: ^2.6
Requires (Dev)
- jakub-onderka/php-parallel-lint: ~0.8
- janmarek/mockista: 1.0.0
- nette/tester: ~1.3
- vymak/oauth2: dev-master
This package is not auto-updated.
Last update: 2024-09-12 14:36:55 UTC
README
此仓库正在开发中。
内容
需求
Drahak/Restful 需要 PHP 版本 5.3.0 或更高版本。唯一的依赖项是 Nette 框架 2.0.x。Restful 还与我的 Drahak\OAuth2 提供者兼容(见 使用 OAuth2 保护资源)
安装与设置
最简单的方法是使用 Composer
$ composer require drahak/restful:@dev
然后将扩展注册到 bootstrap.php 中(在创建容器之前)
Drahak\Restful\DI\RestfulExtension::install($configurator);
或注册到 config.neon
extensions: restful: Drahak\Restful\DI\RestfulExtension
Neon 配置
您可以在 config.neon 中的 restful 节配置 Drahak\Restful 库
restful: convention: 'snake_case' cacheDir: '%tempDir%/cache' jsonpKey: 'jsonp' prettyPrintKey: 'pretty' routes: generateAtStart: FALSE prefix: resources module: 'RestApi' autoGenerated: TRUE panel: TRUE mappers: myMapper: contentType: 'multipart/form-data' class: \App\MyMapper security: privateKey: 'my-secret-api-key' requestTimeKey: 'timestamp' requestTimeout: 300
cacheDir: 没什么可说的,就是存储缓存的目录jsonpKey: 设置查询参数名称,启用 JSONP 封装模式。如果您想禁用它,请将其设置为 FALSE。prettyPrintKey: API 默认以 pretty print 的方式打印每个资源。您可以使用此查询参数来禁用它convention: 资源数组键约定。当前支持 3 个值:snake_case、camelCase&PascalCase,它们会自动转换资源数组键。您可以编写自己的转换器。只需实现Drahak\Restful\Resource\IConverter接口,并用restful.converter标记您的服务。routes.generateAtStart: 在 Router 的开始处生成路由(仅适用于自动生成的路由,并且如果 Router 在 config.neon 中设置routes.prefix: 资源路由的掩码前缀(仅适用于自动生成的路由)routes.module: 资源路由的默认模块(仅适用于自动生成的路由)routes.autoGenerated: 如果为TRUE,则库将自动从 Presenter 操作方法注解中生成资源路由(见下文)routes.panel: 如果为TRUE,则资源路由面板将出现在您的 nette 调试栏中mappers: 替换现有的映射器或为不同的内容类型添加新的映射器security.privateKey: 加密受保护请求的私钥security.requestTimeKey: 请求体中的密钥,其中可以找到请求时间戳(见下文 - 安全性与身份验证)security.requestTimeout: 请求时间戳的最大年龄
提示:为您的资源使用 gzip 压缩。您可以在 neon 中简单地启用它
php: zlib.output_compression: yes
资源路由面板
默认情况下已启用,但您可以通过将 restful.routes.panel 设置为 FALSE 来禁用它。此面板显示了所有REST API资源路由(即默认路由列表中实现 IResourceRouter 接口的所有路由)。这对于开发客户端应用程序的开发者来说很有用,因为它们可以在一个地方找到所有API资源路由。
示例用法
<?php namespace ResourcesModule; use Drahak\Restful\IResource; use Drahak\Restful\Application\UI\ResourcePresenter; /** * SamplePresenter resource * @package ResourcesModule * @author Drahomír Hanák */ class SamplePresenter extends ResourcePresenter { protected $typeMap = array( 'json' => IResource::JSON, 'xml' => IResource::XML ); /** * @GET sample[.<type xml|json>] */ public function actionContent($type = 'json') { $this->resource->title = 'REST API'; $this->resource->subtitle = ''; $this->sendResource($this->typeMap[$type]); } /** * @GET sample/detail */ public function actionDetail() { $this->resource->message = 'Hello world'; } }
资源输出由 Accept 头部确定。库将检查头部中的 application/xml、application/json、application/x-data-url 和 application/www-form-urlencoded,并按照 Accept 头部的顺序保持顺序。
注意:如果您使用具有MIME类型的第一个参数调用 $presenter->sendResource() 方法,API将只接受这个。
另外注意:有可用的注解 @GET、@POST、@PUT、@HEAD、@DELETE。这允许Drahak\Restful库为您生成API路由,因此您无需手动生成。但不是必须的!您可以使用 IResourceRoute 或其默认实现(如)来定义路由。
<?php use Drahak\Restful\Application\Routes\ResourceRoute; $anyRouteList[] = new ResourceRoute('sample[.<type xml|json>]', 'Resources:Sample:content', ResourceRoute::GET);
与Nette默认路由不同,只有一个参数,即请求方法。这允许您为例如GET和POST方法生成相同的URL。您可以将此参数作为标志传递给路由,以便可以将更多请求方法组合在一起,例如 ResourceRoute::GET | ResourceRoute::POST,以便在同一个路由中监听GET和POST请求方法。
您还可以为每个请求方法定义动作名称字典
<?php new ResourceRoute('myResourceName', array( 'presenter' => 'MyResourcePresenter', 'action' => array( ResourceRoute::GET => 'content', ResourceRoute::DELETE => 'delete' ) ), ResourceRoute::GET | ResourceRoute::DELETE);
简单的 CRUD 资源
这很好,但在许多情况下,我只定义CRUD操作,那么如何更直观地做到这一点?使用 CrudRoute!这是 ResourceRoute 的子类,预先为您定义了基本的CRUD操作。具体来说,对于POST方法,它是 Presenter:create,对于GET,是 Presenter:read,对于PUT,是 Presenter:update,对于DELETE,是 Presenter:delete。然后您的路由将如下所示
<?php new CrudRoute('<module>/crud', 'MyResourcePresenter');
注意:第二个参数,元数据。您只需定义Presenter而不是动作名称。这是因为动作名称将被动作字典([CrudRoute::POST => 'create', CrudRoute::GET => 'read', CrudRoute::PUT => 'update', CrudRoute::DELETE => 'delete'])中的值替换,该值是 ResourceRoute 的属性,因此即使是 CrudRoute,因为它是其子类。另外注意,我们不需要设置标志。默认标志设置为 CrudRoute::CRUD,因此路由将匹配所有请求方法。
然后您可以简单地定义您的CRUD资源表示
<?php namespace ResourcesModule; /** * CRUD resource presenter * @package ResourcesModule * @author Drahomír Hanák */ class CrudPresenter extends BasePresenter { public function actionCreate() { $this->resource->action = 'Create'; } public function actionRead() { $this->resource->action = 'Read'; } public function actionUpdate() { $this->resource->action = 'Update'; } public function actionDelete() { $this->resource->action = 'Delete'; } }
注意:如果请求中指定了 X-HTTP-Method-Override 头部或在URL中添加查询参数 __method,则可以覆盖每个请求方法。
存在关系
关系在RESTful服务中很常见,但在URL中如何处理它?我们的目标是这样的 GET /articles/94/comments[/5],其中括号中的ID可能是可选的。路由如下所示
$router[] = new ResourceRoute('api/v1/articles/<id>/comments[/<commentId>]', array( 'presenter' => 'Articles', 'action' => array( IResourceRouter::GET => 'readComment', IResourceRouter::DELETE => 'deleteComment' ) ), IResourceRouter::GET | IResourceRouter::DELETE);
动作名称中的请求参数
这相当长。因此,有一个选项可以将其泛化。现在它看起来像这样
$router[] = new ResourceRoute('api/v1/<presenter>/<id>/<relation>[/<relationId>]', array( 'presenter' => 'Articles', 'action' => array( IResourceRouter::GET => 'read<Relation>', IResourceRouter::DELETE => 'delete<Relation>' ) ), IResourceRouter::GET | IResourceRouter::DELETE);
更好,但仍然相当长。让我们再次使用 CrudRoute
$router[] = new CrudRoute('api/v1/<presenter>/<id>/[<relation>[/<relationId>]]', 'Articles');
这是最短的方式。它之所以有效,是因为 CrudRoute 中的动作字典基本上如下。
array( IResourceRouter::POST => 'create<Relation>', IResourceRouter::GET => 'read<Relation>', IResourceRouter::PUT => 'update<Relation>', IResourceRouter::DELETE => 'delete<Relation>' )
也可以查看此单个路由的几个示例
GET api/v1/articles/94 => Articles:read
DELETE api/v1/articles/94 => Articles:delete
GET api/v1/articles/94/comments => Articles:readComments
GET api/v1/articles/94/comments/5 => Articles:readComments
DELETE api/v1/articles/94/comments/5 => Articles:deleteComments
POST api/v1/articles/94/comments => Articles:createComments
...
当然,您可以在动作名称中添加多个参数,并创建更长的关系。
注意:如果 关系 或动作名称中的任何其他参数不存在,它将被忽略,并使用不带参数的名称。
另外注意:动作名称中的参数 不区分大小写。
访问输入数据
如果您想构建REST API,可能还需要访问所有请求方法(GET、POST、PUT、DELETE和HEAD)的查询输入数据。因此,该库定义了输入解析器,它读取数据并将其解析为数组。数据可以从查询字符串或请求体中获取,并通过IMapper进行解析。首先,该库会查找请求体。如果它不为空,它会检查Content-Type头并确定正确的映射器(例如,对于application/json -> JsonMapper等)。然后,如果请求体为空,尝试获取POST数据,最后甚至尝试URL查询数据。
<?php namespace ResourcesModule; /** * Sample resource * @package ResourcesModule * @author Drahomír Hanák */ class SamplePresenter extends BasePresenter { /** * @PUT <module>/sample */ public function actionUpdate() { $this->resource->message = isset($this->input->message) ? $this->input->message : 'no message'; } }
它的好处是您不需要关心请求方法。Nette Drahak REST API库会为您选择正确的输入解析器,但如何处理它还是取决于您。有可用的InputIterator,因此您可以在presenter中迭代输入或将其用作自己的输入解析器中的迭代器。
输入数据验证
访问输入数据的第一条规则:永远不要相信客户端!这确实非常重要,因为它是安全性的关键特性。那么如何正确处理呢?您可能已经知道Nette Forms及其验证。让我们在Restful中做同样的事情!您可以为每个输入数据字段定义验证规则。要获取字段(即Drahak\Restful\Validation\IField),只需在Input(在presenter中:$this->input)上调用带有字段名称的参数的field方法。然后定义规则(几乎)像在Nette中一样。
/** * SamplePresenter resource * @package Restful\Api * @author Drahomír Hanák */ class SamplePresenter extends BasePresenter { public function validateCreate() { $this->input->field('password') ->addRule(IValidator::MIN_LENGTH, NULL, 3) ->addRule(IValidator::PATTERN, 'Please add at least one number to password', '/.*[0-9].*/'); } public function actionCreate() { // some save data insertion } }
就是这样!它并不完全像Nette,但很相似。至少是基本的公共接口。
注意:验证方法validateCreate。这个新的生命周期方法validate<Action>()将在每个操作之前处理,然后再处理操作方法action<Action>()。这不是必需的,但用于定义一些验证规则或验证数据是很好的。如果验证失败,则抛出带有代码HTT/1.1 422(UnproccessableEntity)的BadRequestException异常,该异常可由错误presenter处理。
错误展示器
为客户端提供可读错误响应的最简单但功能强大的方式是使用$presenter->sendErrorResponse(Exception $e)方法。最简单的错误presenter可能如下所示
<?php namespace Restful\Api; use Drahak\Restful\Application\UI\ResourcePresenter; /** * Base API ErrorPresenter * @package Restful\Api * @author Drahomír Hanák */ class ErrorPresenter extends ResourcePresenter { /** * Provide error to client * @param \Exception $exception */ public function actionDefault($exception) { $this->sendErrorResource($exception); } }
客户端可以像在正常的API资源中一样确定首选格式。实际上,它只是在资源中添加来自异常的数据并将其发送到输出。
安全性与身份验证
Restful提供了一些方法来保护您的资源
BasicAuthentication
这是一个完全基本的但功能强大的保护您资源的方法。它基于标准的Nette用户认证(如果用户未登录,则抛出提供给客户端的安全异常),因此它适合受信任的客户端(例如,自己的客户端应用程序等)。由于这是常见的Restful,它包含SecuredResourcePresenter作为ResourcePresenter的子类,它已经为您处理了BasicAuthentication。请看示例
use Drahak\Restful\Application\UI\SecuredResourcePresenter /** * My secured resource presenter * @author Drahomír Hanák */ class ArticlesPresenter extends SecuredResourcePresenter { // all my resources are protected and reachable only for logged user's // you can also add some Authorizator to check user rights }
提示:小心使用此认证(以及标准事物,如用户的Identity)。请记住保持REST API无状态。从实用主义的角度来看,这不是一个好的方法,但这是最简单的方法。
SecuredAuthentication
当第三方客户端连接时,您必须找到另一种方法来验证这些请求。SecuredAuthentication几乎是答案。它基于发送带有私钥的哈希数据。由于数据已经加密,因此它不依赖于SSL。认证过程如下
理解认证过程
- 客户端:将请求时间戳附加到请求体。
- 客户端:使用
hash_hmac(sha256算法)和私钥对所有数据进行哈希处理。然后将生成的哈希附加到请求作为X-HTTP-AUTH-TOKEN头(默认情况下)。 - 客户端:向服务器发送请求。
- 服务器:接受客户端的请求并以与客户端相同的方式计算哈希(使用抽象模板类
AuthenticationProcess)。 - 服务器:将客户端的哈希与上一步中生成的哈希进行比较。
- 服务器:还会检查请求时间戳并计算差值。如果差值大于300(5分钟),则抛出异常。(这可以避免所谓的重放攻击)
- 服务器:捕获任何抛出
AuthenticationProcess的SecurityException并提供错误响应。
默认的AuthenticationProcess是NullAuthentication,所以所有请求都是不安全的。您可以使用SecuredAuthentication来保护您的资源。要做到这一点,只需将此认证过程设置为restful.authentication中的AuthenticationContext或$presenter->authentication。
<?php namespace ResourcesModule; use Drahak\Restful\Security\Process\SecuredAuthentication; /** * CRUD resource presenter * @package ResourcesModule * @author Drahomír Hanák */ class CrudPresenter extends BasePresenter { /** @var SecuredAuthentication */ private $securedAuthentication; /** * Inject secured authentication process * @param SecuredAuthentication $auth */ public function injectSecuredAuthentication(SecuredAuthentication $auth) { $this->securedAuthentication = $auth; } protected function startup() { parent::startup(); $this->authentication->setAuthProcess($this->securedAuthentication); } // your secured resource action }
永远不要发送私钥!
使用 OAuth2 保护资源
如果您想使用OAuth2保护API资源,您需要一个OAuth2提供者。我已经为Nette框架实现了OAuth2提供者包,因此您可以使用Restful。要做到这一点,只需将依赖项"drahak/oauth2": "dev-master"添加到您的composer,然后使用OAuth2Authentication,它是一个AuthenticationProcess。如果您想使用任何其他OAuth2提供者,您可以编写自己的AuthenticationProcess。
<?php namespace Restful\Api; use Drahak\Restful\IResource; use Drahak\Restful\Security\Process\AuthenticationProcess; use Drahak\Restful\Security\Process\OAuth2Authentication; /** * CRUD resource presenter * @package Restful\Api * @author Drahomír Hanák */ class CrudPresenter extends BasePresenter { /** @var AuthenticationProcess */ private $authenticationProcess; /** * Inject authentication process * @param OAuth2Authentication $auth */ public function injectSecuredAuthentication(OAuth2Authentication $auth) { $this->authenticationProcess = $auth; } /** * Check presenter requirements * @param $element */ public function checkRequirements($element) { parent::checkRequirements($element); $this->authentication->setAuthProcess($this->authenticationProcess); } // ... }
注意:这是一个仅资源服务器,它处理访问令牌授权。要生成访问令牌,您需要创建OAuth2演示者(资源所有者和授权服务器 - 请参阅Drahak\OAuth2文档)。
JSONP 支持
如果您想通过JavaScript在远程主机上访问API资源,您不能在API上发出正常的AJAX请求。因此,JSONP是替代方案。在JSONP请求中,您将API资源作为JavaScript通过HTML中的标准script标签加载。API将JSON字符串包装到回调函数参数中。实际上这很简单,但需要特别注意。例如,您无法访问响应头或状态码。您可以将这些头和状态码包装到所有资源中,但这对于可以访问头信息的正常API客户端来说并不好。该库允许您添加特殊的查询参数jsonp(名称取决于您的配置,这是默认值)。如果您通过?jsonp=callback访问资源,API将自动确定JSONP模式,并将所有资源包装到以下JavaScript中
callback({ "response": { "yourResourceData": "here" }, "status": 200, "headers": { "X-Powered-By": "Nette framework", ... } })
注意:函数名称。这是从jsonp查询参数中获取的名称。这个字符串通过Nette\Utils\Strings::webalize(jsonp, NULL, FALSE)进行“web化”。如果您在配置中将jsonpKey设置为FALSE或NULL,您将完全禁用所有API资源的JSONP模式。然后您可以手动触发它。只需将IResource的$contentType属性设置为IResource::JSONP。
还请注意:如果此选项已启用并且客户端将jsonp参数添加到查询字符串中,无论您将什么设置为$presenter->resource->contentType,它都会产生JsonpResponse。
提高生活质量的实用工具
过滤API请求是惯例。这就是为什么再次做它很无聊。Restful提供了一个RequestFilter,它为您解析最常见的事情。在ResourcePresenter中,您可以在$requestFilter属性中找到RequestFilter。
分页器
通过将offset和limit参数添加到查询字符串,您可以创建标准的Nette Paginator。然后,您的API资源将以Link头(其中“最后一页”部分的Link和X-Total-Count头仅提供如果将总项目数设置为分页器)响应。
Link: <URL_to_next_page>; rel="next",
<URL_to_last_page>; rel="last"
X-Total-Count: 1000
字段列表
如果您只想加载资源的一部分(例如,加载整个资源数据很昂贵),您应该在查询参数中添加fields参数,并提供所需字段的列表(例如,fields=user_id,name,email)。在RequestFilter中,您可以通过调用getFieldsList()方法获取此列表(array('user_id', 'name', 'email'))。
排序列表
如果您想对资源提供的数据进行排序,您可能需要根据排序的属性。为了尽可能简化,您可以通过调用RequestFilter方法的getSortList()来从sort查询参数(如sort=name,-created_at)获取它,形式为array('name' => 'ASC', 'created_at' => 'DESC')。
就是这样。祝您使用愉快,希望您喜欢它!