Yii框架中的RESTful API認證機制

Yii框架是一個高性能的PHP框架，用于開發Web 2.0應用。在Yii中實現RESTful API認證有多種方法，這里我們將討論兩種常用的方法：基本認證和OAuth 2.0認證。

1. 基本認證（Basic Authentication）

基本認證是一種簡單的認證方式，客戶端需要提供一個用戶名和密碼，這些信息將作為HTTP請求頭的一部分發送給服務器。服務器會解碼這些請求頭并驗證用戶名和密碼是否正確。

在Yii中實現基本認證的步驟如下：

步驟1：創建一個認證過濾器（AuthFilter）

首先，創建一個繼承自yii\filters\auth\AuthFilter的類，并重寫authenticate()方法。例如：

namespace app\filters;

use yii\filters\auth\AuthFilter;

class BasicAuthFilter extends AuthFilter
{
    protected function authenticate()
    {
        if (!$this->request->user) {
            $this->request->user = \Yii::$app->user->loginByToken();
        }

        if ($this->request->user === false) {
            $credentials = $this->request->post('credentials');
            if ($credentials && $this->validateCredentials($credentials)) {
                $this->request->user = \Yii::$app->user->loginByToken($credentials['username'], $credentials['password']);
            }
        }

        return $this->request->user;
    }

    protected function validateCredentials($credentials)
    {
        return \Yii::$app->user->findIdentity($credentials['username']) !== null && \Yii::$app->user->validatePassword($credentials['password']);
    }
}

步驟2：配置認證過濾器

在config/web.php文件中，將新創建的BasicAuthFilter添加到urlManager的auth屬性中：

'urlManager' => [
    // ...
    'auth' => [
        'class' => 'app\filters\BasicAuthFilter',
    ],
],

現在，當客戶端向受保護的API發起請求時，需要在HTTP請求頭中添加Authorization字段，格式為Basic base64_encode(username:password)。例如：

Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=

2. OAuth 2.0認證

OAuth 2.0是一種更現代且安全的認證方式，允許第三方應用在用戶授權的情況下訪問受保護的資源。Yii框架支持OAuth 2.0認證，可以通過使用yii2-oauth2-server擴展來實現。

首先，安裝yii2-oauth2-server擴展：

composer require "voku/helper"
composer require "yiisoft/yii2-oauth2-server"

接下來，配置OAuth 2.0服務器組件：

在config/web.php文件中，添加以下配置：

'components' => [
    // ...
    'oauth2Server' => [
        'class' => 'yii\oauth2server\OAuth2Server',
        'tokenParamName' => 'access_token',
        'tokenExpiration' => 3600,
        'refreshTokenExpiration' => 2592000,
        'scope' => ['read', 'write'],
        'user' => function ($id) {
            return \Yii::$app->user->findIdentity($id);
        },
    ],
],

現在，你可以使用OAuth 2.0客戶端（如Postman）來獲取訪問令牌。在請求受保護的API時，需要在HTTP請求頭中添加Authorization字段，格式為Bearer {access_token}。例如：

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

這就是在Yii框架中實現RESTful API認證的基本方法。你可以根據自己的需求選擇合適的認證方式。