Yii Как в Rest API сделать аутентификацию из backend или frontend?

Question

[Максим]

Всем привет! Хочу использовать api в проекте, как внутреннего пользования. Возможно, для внешнего пользования в последствии...

Все настроил по вебинару от Елисеева Дмитрия (https://www.youtube.com/watch?v=jDj_JggZXsU ).

Все работает, но только не хочется каждый раз в ручную писать токен или передавать логин или пароль, если я делаю с backend или frontend запрос. Можете подсказать, как использовать можно api в связке с backend или frontend ? Например, чтобы после авторизации на backend или frontend и, в последствии, использовании запросов к api не требовал вводить логин и пароль, а так же не передавать логин и пароль или токен в ajax запросе.

Возможно требуется полностью отказаться от авторизации в сессии и куки? Либо мне не стоит заморачиваться над api для реализации внутренних выборок через ajax. Создать для этого общий контроллер и там получать данные. Что скажете?

Answer 1

[Максим Тимофеев]

использовании запросов к api не требовал вводить логин и пароль, а так же не передавать логин и пароль или токен в ajax запросе.

Вы делаете ajax запрос, как сервер Вас идентифицирует если Вы ничего не передадите?

Все работает, но только не хочется каждый раз в ручную писать токен или передавать логин или пароль

А зачем Вы вручную их передаете? По идее Вы на клиенте 1 раз авторизовались, получили ключ (токен, пару логин пароль, что угодно). Сохранили его куда-то (webStorage) и добавляете его к запросам. Где тут ручная работа? Видимо Вам нужен метод, который автоматически добавляет токен к ajax запросам. Сделайте такой метод и стройте запросы через него.

Comments

[Максим]

А зачем Вы вручную их передаете?

Передаю, конечно не в ручную, а в коде.

Видимо Вам нужен метод, который автоматически добавляет токен к ajax запросам.

Да, именно об этом я и говорил. Но плюсом к этому методу хочется чтобы токен генерился при обычной авторизации на backend и frontend и не вылазил метод авторизации http. Вот как раз и задумался над этим методом. Есть где-то пример или можете описать как его сделать?

[Максим Тимофеев]

Максим Ворожцов, смысл api в том, что оно не зависимо от backend.

[Максим]

Максим Тимофеев, понял))

Answer 2

[Сергей]

Я не смотрел видео, но проверить залогинен ли пользователь можно так:

if(!Yii::$app->user->isGuest) {
...
}

Если нужно узнать кто именно залогинен, то делается это так:

if (Yii::$app->user->identity->id == 'username') {
...
}

Т.е. в контроллере можно проверить, залогинен ли пользователь и кто именно (есть ли у него права на API), если нет - проверять токен.

Comments

[Максим]

Мне кажется, что это немного не то, что нужно. Это лишь проверка, а где и как это использовать в api?

[Dmitry Bay]

Максим Ворожцов, если API у вас браузерный, и контроллеры стандартный, то браузер так и так отправляет кукки.
Другое дело, если контроллеры у вас наследованы от Rest, то как раз там вам и нужно при каждом обращении использовать токен.

Если у вас все в браузере - я бы не стал заморачиваться и писать отдельные контроллеры под ajax запросы (а у вас кажется именно такой тип запросов будет). Проще напишите дополнительные действия под ajax запрос в том же контроллере. Иначе у вас будет контроллер, в нем 3 действия, но 6 действий сверху вы перенесете в АПИ. Кому это нужно?

А по поводу авторизации в API по Rest - вам в каждом запросе надо будет отсылать auth_key.

[Максим]

Dmitry Bay, с авторизацией rest api подразобрался. Понимаю, что либо токен, либо пароль и логин. Значит это не так применимо в моем случае.

Целесообразнее сделать в самих приложениях backend и frontend. У меня все действия, на данный момент, только в браузере.

«Проще напишите дополнительные действия под ajax запрос в том же контроллере. Иначе у вас будет контроллер, в нем 3 действия, но 6 действий сверху вы перенесете в АПИ. Кому это нужно?»

Логично. Соглашусь вами. Можете подсказать тогда как лучше это сделать? Чтобы данные были доступны и во frontend и в backend? Создавать действие от yii/web/Actions на примере как сделано действие ошибки или качпы на сайте?

Мне необходимо, в большей степени, для выборки в select. Куда будет возвращаться ключ и значение.

Буду очень благодарен за разъяснение. Свой ответ и этот разместите в ответы.

[Dmitry Bay]

Максим Ворожцов, что такое backend и frontend в вашем понимании? расширенная версия приложения?

как вариант, делайте толстую модель, и дублируйте функции.
Либо создайте контроллер в common, и наследуйтесь от него.

Смысл в разделении front/back, если ваше одно приложение будет напрямую зависеть от другого?

[Максим]

Dmitry Bay, понял. Благодарю)

Что касается разделения. Не все данные пересекаются друг другом. Есть много чего, что нет на fron. Кроме того в админке не мало кода. Мне кажется, что разницы особо нет, если бы я разделял в basic приложении модулями admin user.

Да и если это не целесообразно переделывать сейчас уже не просто будет))