Зачем нужен authkey если есть passwordhash?

Question

[vitaly_74]

сейчас пишу веб прилржение на yii2 и не совсем понимаю, когда что использовать, помогите?

Answer 1

[Dmitry Bay]

авторизировать человека можно по
username+password = получите passwordHash
authkey - это токен для авторизации. смотрите bearer токен.

Comments

[vyachin]

вы не правы, authkey используется для автологина, https://github.com/yiisoft/yii2/blob/master/framew...

[Dmitry Bay]

vyachin, Не правы или умолчал о том, что passordHash не отдается клиенту из соображений безопасности? Или о том, что токен авторизации можно хранить в куках?
Если я о чем то умолчал , это не значит, что я не прав.

В IdentityInterface есть метод, который вызывается в следующей функции. https://github.com/yiisoft/yii2/blob/master/framew...

Bearer я указал в том ключе (опять же если почитать доки по нему), что можно грохнуть все соединения, просто изменив его (в данном случае authKey). А passwordHash мы как минимум не можем изменить, так как мы потеряем привязку к паролю у пользователя.

[vyachin]

Dmitry Bay, вы не правы только насчет authKey.

Если вы поменяете authKey у пользователя, никакие соединения вы не грохните, даже текущая сессия не разорвется. Я же написал, что authKey используется для автологина по cookie. https://github.com/yiisoft/yii2/blob/master/docs/g...
```
[[yii\web\IdentityInterface::getAuthKey()|getAuthKey()]]: Этот метод возвращает ключ, используемый для основанной на cookie аутентификации. Ключ сохраняется в аутентификационной cookie и позже сравнивается с версией, находящейся на сервере, чтобы удостоверится, что аутентификационная cookie верная.
```

Bearer токен использую для авторизации при запросах к API. https://github.com/yiisoft/yii2/blob/master/docs/g... Если в проекте API нет, тогда и смысла в реализации метода https://github.com/yiisoft/yii2/blob/master/framew... нет.

[vitaly_74]

Dmitry Bay, т.е. пользователь сначала проходит авторизацию по паролю, потом ему выдается ключ authkey (в случие успеха), и уже по нему сверять данные .пока сессия не закончилась? верно?

[Dmitry Bay]

vyachin, да, видимо я не прав по поводу authKey, пойду прочитаю.

[vyachin]

vitaly_74, почитайте официальную документацию https://github.com/yiisoft/yii2/blob/master/docs/g... тут все очень доступно написано

[vitaly_74]

vyachin, в том и проблема что я читал, и не доходит(
они взяли и сгрузили все в одну кучу.

[Dmitry Bay]

vitaly_74,
читаю доки и делюсь с вами.

1) пароль и мыло дают связку для авторизации.
2) authKey отдается в куки пользователя, и если
а ) yii\web\User::enableAutoLogin|включен , то если сессия исчезнет, то мы проверим авторизацию с помощь authKey
б) в противном случае будет анлогин

[yii\web\User::enableAutoLogin|включен]] вход, основанный на cookie (так называемый "запомни меня" вход),

vyachin, Спасибо, я как то считал процесс несколько иначе.

[vitaly_74]

Dmitry Bay, благодарю