什么是restful風(fēng)格的api
對(duì)于各種客戶端設(shè)備與服務(wù)端的通信,我們往往都通過api為客戶端提供數(shù)據(jù),提供某種資源。關(guān)于restful的概念,一查一大推,一兩句也解釋不清,姑且先按照我們通俗的理解:在眾多風(fēng)格、眾多原則的api中,restful就是一套比較優(yōu)秀的接口調(diào)用方式。
yii2如何實(shí)現(xiàn)restful風(fēng)格的api
1、建立單獨(dú)的應(yīng)用程序
為了增加程序的可維護(hù)性,易操作性,我們選擇新建一套應(yīng)用程序,這也是為了和前臺(tái)應(yīng)用、后臺(tái)應(yīng)用區(qū)分開操作。有些人要嚷嚷了,為啥非得單獨(dú)搞一套呢?如果你就單純的提供個(gè)別的幾個(gè)h5頁(yè)面的話,那就沒有必要了,但事實(shí)往往是客戶端要升級(jí)啊,要增加不同的版本啊,這就需要我們不但要后端不僅要增加一套單獨(dú)的應(yīng)用程序,我們還要增加各種版本去控制。
在web前端(frontend)和后端(backend)的同級(jí)目錄,新建一個(gè)文件夾,命名api,其目錄結(jié)構(gòu)如下所示:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
├─assets│ appasset.php├─config│ bootstrap.php│ main-local.php│ main.php│ params-local.php│ params.php├─runtime└─web│ index.php├─assets└─css |
可以看出其目錄結(jié)構(gòu)基本上同backend沒有其他差異,因?yàn)槲覀兙褪强截恇ackend項(xiàng)目,只是做了部分優(yōu)化。
2、為新建的api應(yīng)用程序美化路由
首先保證你的web服務(wù)器開啟rewrite規(guī)則,細(xì)節(jié)我們就不說了,不過這是前提。
接著配置api/config/main.php文件
|
1
2
3
4
5
6
7
8
9
|
'components' => [// other config'urlmanager' => ['enableprettyurl' => true,'showscriptname' => false,'enablestrictparsing' =>true,'rules' => [],]], |
最后只需要在應(yīng)用入口同級(jí)增加.htaccess文件就好,我們以apache為例
|
1
2
3
4
5
6
7
8
9
10
|
options +followsymlinksindexignore */*rewriteengine on# if a directory or a file exists, use it directlyrewritecond %{request_filename} !-frewritecond %{request_filename} !-d# otherwise forward it to index.phprewriterule . index.phprewriterule \.svn\/ /404.htmlrewriterule \.git\/ /404.html |
3、利用gii生成測(cè)試modules
用了便于演示說明,我們新建一張數(shù)據(jù)表goods表,并向其中插入幾條數(shù)據(jù)。
|
1
2
3
4
5
6
7
8
9
10
|
create table `goods` (`id` int(11) not null auto_increment,`name` varchar(100) not null default '',primary key (`id`)) engine=innodb default charset=utf8;insert into `goods` values ('1', '11111');insert into `goods` values ('2', '22222');insert into `goods` values ('3', '333');insert into `goods` values ('4', '444');insert into `goods` values ('5', '555'); |
接著我們先利用gii生成modules后,再利用gii模塊,按照下圖中生成goods信息
現(xiàn)在,我們的api目錄結(jié)構(gòu)應(yīng)該多個(gè)下面這幾個(gè)目錄
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
│├─models│ goods.php│├─modules│ └─v1│ │ module.php│ ││ ├─controllers│ │ defaultcontroller.php│ │ goodscontroller.php│ ││ └─views│ └─default│ index.php |
4、重新配置控制器
為了實(shí)現(xiàn)restful風(fēng)格的api,在yii2中,我們需要對(duì)控制器進(jìn)行一下改寫
|
1
2
3
4
5
6
7
|
<?phpnamespace api\modules\v1\controllers;use yii\rest\activecontroller;class goodscontroller extends activecontroller{public $modelclass = 'api\models\goods';} |
5、為goods配置url規(guī)則
|
1
2
3
4
5
6
|
'rules' => [['class' => 'yii\rest\urlrule','controller' => ['v1/goods']],] |
6、模擬請(qǐng)求操作
經(jīng)過上面幾個(gè)步驟,到此我們已經(jīng)為goods成功創(chuàng)建了滿足restful風(fēng)格的api了。為了更好更方便的演示,我們借助工具postman進(jìn)行模擬請(qǐng)求。
為了見證一下我們的操作,我們用postman請(qǐng)求一下get /v1/goods看看結(jié)果如何:
從上面截圖中可以清楚的看到,get /v1/goods 已經(jīng)能夠很方便的獲取我們表中的數(shù)據(jù)了。
當(dāng)然,yii2還對(duì)該api封裝了如下操作:
get /users: 逐頁(yè)列出所有用戶
head /users: 顯示用戶列表的概要信息
post /users: 創(chuàng)建一個(gè)新用戶
get /users/123: 返回用戶 123 的詳細(xì)信息
head /users/123: 顯示用戶 123 的概述信息
patch /users/123 and put /users/123: 更新用戶123
delete /users/123: 刪除用戶123
options /users: 顯示關(guān)于末端 /users 支持的動(dòng)詞
options /users/123: 顯示有關(guān)末端 /users/123 支持的動(dòng)詞
不信的話我們可以利用postman發(fā)送一個(gè)post請(qǐng)求到/v1/goods,我們會(huì)發(fā)現(xiàn)成功創(chuàng)建了一個(gè)新的商品。
需要提醒的是,操作中還請(qǐng)細(xì)心且注意:
如果你的控制器末端不是復(fù)數(shù)(比如是blog非blogs)請(qǐng)保證請(qǐng)求的時(shí)候是復(fù)數(shù)!這是因?yàn)樵趓estful架構(gòu)中,網(wǎng)址中只能有名詞而不能包含動(dòng)詞,名詞又往往與數(shù)據(jù)表相對(duì)應(yīng),數(shù)據(jù)表呢又是一個(gè)“集合”,因此該名詞往往是復(fù)數(shù)的形式。
7、關(guān)于授權(quán)認(rèn)證
為什么需要授權(quán)認(rèn)證?這在一般的操作中是需要的。比如說用戶要設(shè)置自己的信息。
為了對(duì)yii2 restful授權(quán)認(rèn)證說的更清楚,我們將會(huì)以兩個(gè)兩種不同的方法進(jìn)行說明。
首先需要開啟認(rèn)證:
假設(shè)我們已經(jīng)按照第3步創(chuàng)建了包含字段access-token的數(shù)據(jù)表user,而且利用gii上生成了相應(yīng)的model和controller
配置main.php文件
|
1
2
3
4
5
6
7
|
'components' => ['user' => [ 'identityclass' => 'common\models\user','enableautologin' => true,'enablesession'=>false],], |
為控制器配置authenticator行為指定認(rèn)證方式
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
<?phpnamespace api\modules\v1\controllers;use yii\rest\activecontroller;use yii\helpers\arrayhelper;use yii\filters\auth\queryparamauth;class usercontroller extends activecontroller{public $modelclass = 'api\models\user';public function behaviors() {return arrayhelper::merge (parent::behaviors(), [ 'authenticator' => [ 'class' => queryparamauth::classname() ] ] );}} |
最后我們還需要在identityclass中實(shí)現(xiàn)findidentitybyaccesstoken方法
|
1
2
3
4
|
public static function findidentitybyaccesstoken($token, $type = null){return static::findone(['access_token' => $token, 'status' => self::status_active]);} |
如此一來(lái),我們先通過postman模擬不帶access-token請(qǐng)求看結(jié)果
|
1
2
3
4
5
6
7
|
{"name": "unauthorized","message": "you are requesting with an invalid credential.","code": 0,"status": 401,"type": "yii\\web\\unauthorizedhttpexception"} |
提示401 我們沒有權(quán)限訪問!
我們?cè)谡?qǐng)求的鏈接上攜帶正確的access-token,認(rèn)證通過后,控制器會(huì)再繼續(xù)執(zhí)行其他檢查(頻率限制、操作權(quán)限等),才可以返回正確的用戶信息。
需要提醒的是:通過url的形式對(duì)access-token傳遞存在一定的風(fēng)險(xiǎn),有可能會(huì)造成數(shù)據(jù)的泄漏!一般而言,access-token需要放到http頭中進(jìn)行傳遞!除非客戶端的請(qǐng)求是jsonp格式的!
8、速率限制
速率限制,該操作完全也是出于安全考慮,我們需要限制同一接口某時(shí)間段過多的請(qǐng)求。
速率限制默認(rèn)不啟用,用啟用速率限制,yii\web\user::identityclass 應(yīng)該實(shí)現(xiàn)yii\filters\ratelimitinterface,也就是說我們的common\models\user.php需要實(shí)現(xiàn)yii\filters\ratelimitinterface接口的三個(gè)方法,具體代碼可參考:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
use yii\filters\ratelimitinterface;use yii\web\identityinterface;class user extends activerecord implements identityinterface, ratelimitinterface{// other code ...... // 返回某一時(shí)間允許請(qǐng)求的最大數(shù)量,比如設(shè)置10秒內(nèi)最多5次請(qǐng)求(小數(shù)量方便我們模擬測(cè)試)public function getratelimit($request, $action){ return [5, 10]; }// 回剩余的允許的請(qǐng)求和相應(yīng)的unix時(shí)間戳數(shù) 當(dāng)最后一次速率限制檢查時(shí)public function loadallowance($request, $action){ return [$this->allowance, $this->allowance_updated_at]; } // 保存允許剩余的請(qǐng)求數(shù)和當(dāng)前的unix時(shí)間戳public function saveallowance($request, $action, $allowance, $timestamp){ $this->allowance = $allowance; $this->allowance_updated_at = $timestamp; $this->save(); } } |
需要注意的是,你仍然需要在數(shù)據(jù)表user中新增加兩個(gè)字段
allowance:剩余的允許的請(qǐng)求數(shù)量
allowance_updated_at:相應(yīng)的unix時(shí)間戳數(shù)
在我們啟用了速率限制后,yii 會(huì)自動(dòng)使用 yii\filters\ratelimiter 為 yii\rest\controller 配置一個(gè)行為過濾器來(lái)執(zhí)行速率限制檢查。
現(xiàn)在我們通過postman請(qǐng)求v1/users再看看結(jié)果,會(huì)發(fā)現(xiàn)在10秒內(nèi)調(diào)用超過5次api接口,我們會(huì)得到狀態(tài)為429太多請(qǐng)求的異常信息。
|
1
2
3
4
5
6
7
|
{"name": "too many requests","message": "rate limit exceeded.","code": 0,"status": 429,"type": "yii\\web\\toomanyrequestshttpexception"} |
9、關(guān)于版本
為了兼容歷史版本而且考慮向后兼容性,我們?cè)谝婚_始操作的時(shí)候就以u(píng)rl的方式實(shí)現(xiàn)了版本話,這里就不再進(jìn)行闡述了。
10、錯(cuò)誤處理
yii的rest框架的http狀態(tài)代碼可參考如下就好,沒啥好說的
200: ok。一切正常。
201: 響應(yīng) post 請(qǐng)求時(shí)成功創(chuàng)建一個(gè)資源。location header 包含的url指向新創(chuàng)建的資源。
204: 該請(qǐng)求被成功處理,響應(yīng)不包含正文內(nèi)容 (類似 delete 請(qǐng)求)。
304: 資源沒有被修改。可以使用緩存的版本。
400: 錯(cuò)誤的請(qǐng)求。可能通過用戶方面的多種原因引起的,例如在請(qǐng)求體內(nèi)有無(wú)效的json 數(shù)據(jù),無(wú)效的操作參數(shù),等等。
401: 驗(yàn)證失敗。
403: 已經(jīng)經(jīng)過身份驗(yàn)證的用戶不允許訪問指定的 api 末端。
404: 所請(qǐng)求的資源不存在。
405: 不被允許的方法。 請(qǐng)檢查 allow header 允許的http方法。
415: 不支持的媒體類型。 所請(qǐng)求的內(nèi)容類型或版本號(hào)是無(wú)效的。
422: 數(shù)據(jù)驗(yàn)證失敗 (例如,響應(yīng)一個(gè) post 請(qǐng)求)。 請(qǐng)檢查響應(yīng)體內(nèi)詳細(xì)的錯(cuò)誤消息。
429: 請(qǐng)求過多。 由于限速請(qǐng)求被拒絕。
500: 內(nèi)部服務(wù)器錯(cuò)誤。 這可能是由于內(nèi)部程序錯(cuò)誤引起的。
