Zend Framework 2参考ZendAuthentication(ZendAuthentication介绍)

原文:Zend Framework 2参考ZendAuthentication(ZendAuthentication介绍)

ZendAuthentication组件提供了认证接口和具体的通用的认证适配器。
ZendAuthentication所关注的是认证通过和不通过，认证被宽松地定义为确定一个实体是否确实是它所声称（例如，身份），基于一些组凭据。授权是一个过程，决定是否允许访问的实体，或执行操作时，其它实体在ZendAuthentication范围之外。欲了解Zend Framework授权和访问控制更多信息，请关注ZendPermissionsAcl 和ZendPermissionsRbac 组件。

注意：并没有ZendAuthenticationAuthentication class,而是由ZendAuthenticationAuthenticationService提供，这个类的内部使用底层的认证适配器和持久性存储。

Adapters

ZendAuthentication适配器是用来一个特定类型进行身份验证的服务,例如LDAP, RDBMS或文件。不同的适配器可能有不同的选项和行为，但都是认证适配器。例如，接受认证证书（包括身份声明），依靠认证服务执行查询，并返回结果是ZendAuthentication适配器共同特征。
每个ZendAuthentication适配器都实现自ZendAuthenticationAdapterAdapterInterface接口，这个接口定义了方法authenticate(),一个适配器类必须实现认证查询。每个适配器类调用之前必须先准备好authenticate()。这样适配器准备包括设置证书（例如，用户名和密码）和特定于适配器的配置选项，如数据库连接设置一个数据库表适配器的定义值。
下面是一个认证适配器的例子，需要一个用户名和密码为认证设置。其他的细节，比如如何查询认证服务，已为简洁起见省略：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

use ZendAuthenticationAdapterAdapterInterface;   class MyAuthAdapter implements AdapterInterface {     /**      * Sets username and password for authentication      *      * @return void      */     public function __construct($username, $password)     {         // ...     }       /**      * Performs an authentication attempt      *      * @return endAuthenticationResult      * @throws endAuthenticationAdapterExceptionExceptionInterface      *               If authentication cannot be performed      */     public function authenticate()     {         // ...     } }

正如上面所示，authenticate()必须返回的ZendAuthenticationResult中（或从ZendAuthenticationResult派生的类）的一个实例。如果出于某种原因进行认证查询是不可能的，authenticate()应该抛出一个派生自ZendAuthenticationAdapterExceptionExceptionInterface的异常。

Results

ZendAuthentication适配器的返回一个ZendAuthenticationResult实例，以表示一个认证尝试的结果。适配器构造ZendAuthenticationResult对象后，提供了4个基本的方法：

• isValid()如果认证成功返回true
• getCode()返回ZendAuthenticationResult常量用来确定类型的身份验证失败或成功是否已经发生。这可以用若干认证结果类型的开发者希望区别的情况下。这将允许开发者维护详细的认证结果统计，例如。此功能的另一个用途是提供特定的，定制的信息给用户可用性的原因，虽然开发商被鼓励去考虑提供这样详细的原因给用户，而不是一个一般的认证失败消息的风险。欲了解更多信息，请参见下面的注释。
• getIdentity()返回认证后的身份
• getMessages()返回认证尝试失败的消息数组

开发者可能希望根据认证结果的类型分支，以执行更具体的操作。开发人员可能会发现有用的一些操作太多的不成功的密码尝试后锁定账户，太多不存在的身份尝试后标记IP地址，并提供专用的，定制的认证结果信息给用户。下面的结果代码可供选择：

1 2 3 4 5 6 7 8

use ZendAuthenticationResult;   Result::SUCCESS Result::FAILURE Result::FAILURE_IDENTITY_NOT_FOUND Result::FAILURE_IDENTITY_AMBIGUOUS Result::FAILURE_CREDENTIAL_INVALID Result::FAILURE_UNCATEGORIZED

下面的例子说明了开发人员如何可能的结果代码分支：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

// inside of AuthController / loginAction $result = $this->auth->authenticate($adapter);   switch ($result->getCode()) {       case Result::FAILURE_IDENTITY_NOT_FOUND:         /** do stuff for nonexistent identity **/         break;       case Result::FAILURE_CREDENTIAL_INVALID:         /** do stuff for invalid credential **/         break;       case Result::SUCCESS:         /** do stuff for successful authentication **/         break;       default:         /** do stuff for other failure **/         break; }

身份持久存储（Identity Persistence）

验证请求包含认证证书本身是有用的，但它也是重要的是要维护已认证的身份，而无需出示认证证书，每个请求。
HTTP是一个无状态的协议，然而，为了方便在服务器端Web应用程序跨多个请求维护状态，已经开发技术，如cookie和session。

默认的php session持久存储

ZendAuthentication提供了成功认证后默认的持久性存储的身份PHP的session。成功认证后，ZendAuthenticationAuthenticationService::authenticate()将认证后的身份存储到持久存储器。除非另有配置，ZendAuthenticationAuthenticationService默认使用ZendAuthenticationStorageSession持久存储器，它反来使用了ZendSession。你也可以用ZendAuthenticationAuthenticationService::setStorage()自定义一个对象只需要实现ZendAuthenticationStorageStorageInterface接口。

注意：如果持久存储的身份不适合特定的用例，然后，开发人员可能会忘记使直接使用适配器类替代ZendAuthenticationAuthenticationService

修改session的命名空间

ZendAuthenticationStorageSession使用的命名空间名是Zend_Auth,可以通过ZendAuthenticationStorageSession构造方法传递不同的值来覆盖这个命名空间名，这个值从内部传递给ZendSessionContainer构造方法。这个操作得在尝试认证ZendAuthenticationAuthenticationService::authenticate()执行自动身份存储之前。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

use ZendAuthenticationAuthenticationService; use ZendAuthenticationStorageSession as SessionStorage;   $auth = new AuthenticationService();   // Use 'someNamespace' instead of 'Zend_Auth' $auth->setStorage(new SessionStorage('someNamespace'));   /**  * @todo Set up the auth adapter, $authAdapter  */   // Authenticate, saving the result, and persisting the identity on // success $result = $auth->authenticate($authAdapter);

链式存储(Chain Storage)

一个网站可能有多个存储,Chain存储很好的把他们链接在一起。
例如:Chain可以配置为先使用Session存储,然后使用OAuth存储，可能的配置代码如下：

1 2 3

$storage = new Chain; $storage->add(new Session); $storage->add(new OAuth); // Note: imaginary storage, not part of ZF2

现在，如果Chain存储访问其底层存储访问的顺序，它们被添加到链。因此，首先使用的是Session存储使用。现在无论怎样都是：

• Session存储非空的话，Chain将使用它的内容
• 如果Session为空，OAuth存储将被访问
  • 如果也是空的话，那么链式存储也为空
  • 只要其中一个非空的Chain,就将使用其内容。然而，它们也有各自的优先级。因此Session存储的也可能是Oauth存储的内容。

其实使用Chain::add方法可以设置存储的优先级的：

1 2	$chain->add(new A, 2); $chain->add(new B, 10); // First use B

实现自定义存储

ZendAuthenticationStorageSession为开发人提供了不同机制身份存储，对于这样的情况下，开发人员可以简单地实现ZendAuthenticationStorageStorageInterface接口和提供实例给ZendAuthenticationAuthenticationService::setStorage()。

使用自定义存储类

为了使用ZendAuthenticationStorageSession以外的身份持久存储，开发者需要实现ZendAuthenticationStorageStorageInterface接口：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67

use ZendAuthenticationStorageStorageInterface;   class MyStorage implements StorageInterface {     /**      * Returns true if and only if storage is empty      *      * @throws endAuthenticationExceptionExceptionInterface      *               If it is impossible to      *               determine whether storage is empty      * @return boolean      */     public function isEmpty()     {         /**          * @todo implementation          */     }       /**      * Returns the contents of storage      *      * Behavior is undefined when storage is empty.      *      * @throws endAuthenticationExceptionExceptionInterface      *               If reading contents from storage is impossible      * @return mixed      */       public function read()     {         /**          * @todo implementation          */     }       /**      * Writes $contents to storage      *      * @param  mixed $contents      * @throws endAuthenticationExceptionExceptionInterface      *               If writing $contents to storage is impossible      * @return void      */       public function write($contents)     {         /**          * @todo implementation          */     }       /**      * Clears contents from storage      *      * @throws endAuthenticationExceptionExceptionInterface      *               If clearing contents from storage is impossible      * @return void      */       public function clear()     {         /**          * @todo implementation          */     } }

为了使用这个存储类，需要在认证查询尝试之前调用ZendAuthenticationAuthenticationService::setStorage()进行存储类的设置：

1 2 3 4 5 6 7 8 9 10 11 12 13 14

use ZendAuthenticationAuthenticationService;   // Instruct AuthenticationService to use the custom storage class $auth = new AuthenticationService();   $auth->setStorage(new MyStorage());   /**  * @todo Set up the auth adapter, $authAdapter  */   // Authenticate, saving the result, and persisting the identity on // success $result = $auth->authenticate($authAdapter);

使用方法

两种方法可以使用ZendAuthentication:

• 通过ZendAuthenticationAuthenticationService::authenticate()间接使用
• 直接通过适配器使用authenticate()

下面例子介绍如何通过类ZendAuthenticationAuthenticationService间接使用ZendAuthentication适配器：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

use ZendAuthenticationAuthenticationService;   // instantiate the authentication service $auth = new AuthenticationService();   // Set up the authentication adapter $authAdapter = new MyAuthAdapter($username, $password);   // Attempt authentication, saving the result $result = $auth->authenticate($authAdapter);   if (!$result->isValid()) {     // Authentication failed; print the reasons why     foreach ($result->getMessages() as $message) {         echo "$message ";     } } else {     // Authentication succeeded; the identity ($username) is stored     // in the session     // $result->getIdentity() === $auth->getIdentity()     // $result->getIdentity() === $username }

一旦认证已经尝试在一个请求，在上面的例子中，它是一个简单的事情，以检查是否存在成功验证的身份：

1 2 3 4 5 6 7 8 9 10 11 12

use ZendAuthenticationAuthenticationService;   $auth = new AuthenticationService();   /**  * @todo Set up the auth adapter, $authAdapter  */   if ($auth->hasIdentity()) {     // Identity exists; get it     $identity = $auth->getIdentity(); }

要从持久性存储删除身份，简单的使用clearIdentity()方法就好，这通常会被用于应用中的“登出”操作。

1	$auth->clearIdentity();

简单的使用ZendAuthenticationAuthenticationService对于个别项目是不适合的，这个时候需要直接使用适配器类，直接使用适配器类需要配置和准备适配器对象，然后调用其authenticate()方法。适配器的具体细节在各自的文档中进行了说明。下面的例子直接利用MyAuthAdapter:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

// Set up the authentication adapter $authAdapter = new MyAuthAdapter($username, $password);   // Attempt authentication, saving the result $result = $authAdapter->authenticate();   if (!$result->isValid()) {     // Authentication failed; print the reasons why     foreach ($result->getMessages() as $message) {         echo "$message ";     } } else {     // Authentication succeeded     // $result->getIdentity() === $username }