Главная / Zend Manual Core
Zend_Auth

Введение

Zend_Auth предоставляет API для аутентификации и включает в себя конкретные адаптеры для общих случаев применения.

Задачей Zend_Auth является аутентификация, но не авторизация. Аутентификацию в общих чертах можно характеризовать как процесс определения, действительно ли сущность является тем, чем она претендует быть (то есть идентификация), на основании некоторого набора учетных данных. Авторизация же - процесс определения того, можно ли предоставить сущности доступ или разрешить выполнить действие, и это полностью вне сферы компетенции Zend_Auth. Дополнительную информацию об авторизации и контроле доступа в Zend Framework смотрите в Zend_Acl.

Note: Класс Zend_Auth реализует паттерн Синглтон - только один экзмепляр класса доступен – через статический метод getInstance(). Это означает, что ключевые слова new или clone не будут работать с классом Zend_Auth. Вместо них используйте Zend_Auth::getInstance().

Адаптеры

Адаптер Zend_Auth используется дла аутентификации посредством определенного сервиса, такого как LDAP, СУРБД или файлового хранилища. Адаптеры могут значительно различаться, но некоторые основные черты характерны для всех. Например, все адаптеры Zend_Auth принимают учетные данные, выполненяют запрос к аутентификационному сервису и возвращают результат.

Каждый адаптер Zend_Auth реализует Zend_Auth_Adapter_Interface. Этот интерфейс определяет лишь один метод: authenticate(), который должен быть реализовать для выполнения аутентификационного запроса. Адаптер должен быть настроен до вызова authenticate(), настройка включает в себя установку учетных данных(например, логин и пароль) и определение специфичных значений, таких как настройки подключения к базе данных для адаптера таблиц БД.

Это пример адаптера, требующего установки логина и пароля для аутентификации. Прочие детали, например каким образом аутентификационный сервис запрашивается, были опущены для кратости:

  1. class MyAuthAdapter implements Zend_Auth_Adapter_Interface
  2. {
  3.     /**
  4.      * Устанавливает логин и пароль для аутентификации
  5.      *
  6.      * @return void
  7.      */
  8.     public function __construct($username, $password)
  9.     {
  10.         // ...
  11.     }
  12.  
  13.     /**
  14.      * Выполняет попытку аутентификации
  15.      *
  16.      * @throws Zend_Auth_Adapter_Exception Если аутентификация не может быть выполнена
  17.      * @return Zend_Auth_Result
  18.      */
  19.     public function authenticate()
  20.     {
  21.         // ...
  22.     }
  23. }

Как указано в докблоке, authenticate() должен вернуть экземпляр Zend_Auth_Result (или унаследованный от него). Если по какой либо причине выполнение аутентификации невозможно, authenticate() должен бросить исключение, происходящее от Zend_Auth_Adapter_Exception.

Результат аутентификации

Метод authenticate() адаптера Zend_Auth возвращает экзмепляр Zend_Auth_Result для представления результата попытки аутентификации. Объект Zend_Auth_Result заполняется адаптером при создании, и следующие четыре метода представляют его базовый набор операций:

  • isValid() - возвращает TRUE только в случае успешной попытки аутентификации.

  • getCode() - возвращает значение одной из констант Zend_Auth_Result для обозначения успешности попытки или типа возникшей ошибки. Это может быть использовано в ситуации, когда разработчик хочет различать результаты попыток аутентификации. К примеру, он может вести детальную статистку всех попыток, либо выводить нестандартные сообщения для удобства пользователей. Но при этом стоит учитывать риски предоставления пользователям подробных сведений вместо стандартных сообщений о неудаче. Подробнее о возвращаемых значениях смотрите ниже.

  • getIdentity() - возвращает идентификатор, полученный в результе аутентификации.

  • getMessages() - возвращает массив сообщений о ошибках, возникших в процессе попытки аутентификации.

Разработчик может пожелать выполнять различные действия на основании результата аутентификации. Например, он может найти полезным блокировку аккаунтов после нескольких вводов неправильного пароля, пометку IP после слишком многих попыток аутентификации с несуществующими данными или вывод настраиваемых сообщений о результате аутентификации. Существуют следующие коды результата:

  1. Zend_Auth_Result::SUCCESS
  2. Zend_Auth_Result::FAILURE
  3. Zend_Auth_Result::FAILURE_IDENTITY_NOT_FOUND
  4. Zend_Auth_Result::FAILURE_IDENTITY_AMBIGUOUS
  5. Zend_Auth_Result::FAILURE_CREDENTIAL_INVALID
  6. Zend_Auth_Result::FAILURE_UNCATEGORIZED

Этот пример показывает, как разработчик может различным образом обработать результат аутентификации, используя значение кода:

  1. // в AuthController / loginAction
  2. $result = $this->_auth->authenticate($adapter);
  3.  
  4. switch ($result->getCode()) {
  5.  
  6.     case Zend_Auth_Result::FAILURE_IDENTITY_NOT_FOUND:
  7.         /** Выполнить действия при несуществующем идентификаторе **/
  8.         break;
  9.  
  10.     case Zend_Auth_Result::FAILURE_CREDENTIAL_INVALID:
  11.         /** Выполнить действия при некорректных учетных данных **/
  12.         break;
  13.  
  14.     case Zend_Auth_Result::SUCCESS:
  15.         /** Выполнить действия при успешной аутентификации **/
  16.         break;
  17.  
  18.     default:
  19.         /** Выполнить действия для остальных ошибок **/
  20.         break;
  21. }

Постоянное хранение идентификатора пользователя

Аутентификация запроса, содержащего учетные данные, важна сама по себе, но также важно поддерживать сохранение идентификатора без необходимости передачи учетных данных с каждым запросом.

Протокол HTTP не имеет состояний, однако были разработаны такие технологии как куки(cookies) и сессии для поддержки состояния на стороне сервера между несколькими запросами к веб приложению.

Сохранение идентификатора в сессии PHP, по умолчанию

По умолчанию, Zend_Auth обеспечивает постоянное хранение идентификатора полученного в результате успешной попытки аутентификации в PHP сессии.

При успешной попытке, Zend_Auth::authenticate() сохраняет идентификатор в постоянном хранилище. Если не настроено по другому, Zend_Auth использует класс хранилища Zend_Auth_Storage_Session, который в свою очередь использует Zend_Session. Вместо него может быть использован пользовательский класс, для этого нужно передать Zend_Auth::setStorage() объект, реализующий Zend_Auth_Storage_Interface.

Note: Если автоматическое сохранение идентификатора не подходит в каком-либо конкретном случае, тогда разработчику следует отказаться от использования класса Zend_Auth и использовать адаптер напрямую.

Example #1 Изменение пространства имен в сессии

Zend_Auth_Storage_Session использует пространство имен 'Zend_Auth'. Оно может быть переопределено передачей другого значения конструктору Zend_Auth_Storage_Session, которое будет дальше передано конструктору Zend_Session_Namespace. Это нужно сделать до того, как будет произведена попытка аутентификации, так как Zend_Auth::authenticate() выполняет автоматическое сохранение идентификатора.

  1. // Получение синглтон экземпляра Zend_Auth
  2. $auth = Zend_Auth::getInstance();
  3.  
  4. // Установка 'someNamespace' вместо 'Zend_Auth'
  5. $auth->setStorage(new Zend_Auth_Storage_Session('someNamespace'));
  6.  
  7. /**
  8. * @todo подготовка адаптера, $authAdapter
  9. */
  10.  
  11. // Аутентификация, сохранение результата, и хранение идентификатора
  12. // при успехе.
  13. $result = $auth->authenticate($authAdapter);

Реализация пользовательского хранилища

Иногда разработчику может понадобиться использовать иной механизм хранения идентификаторов, нежели предоставляется в Zend_Auth_Storage_Session. В том случае он может реализовать Zend_Auth_Storage_Interface и передать экземпляр методу Zend_Auth::setStorage().

Example #2 Использование пользовательского хранилища

Для того, чтобы использовать иной класс хранилища пользовательских идентификаторов, нежели Zend_Auth_Storage_Session, разработчик реализует Zend_Auth_Storage_Interface:

  1. class MyStorage implements Zend_Auth_Storage_Interface
  2. {
  3.     /**
  4.      * Возвращает  true, если хранилище пусто
  5.      *
  6.      * @throws Zend_Auth_Storage_Exception В случае если невозможно
  7.      *                                     определить, пусто ли
  8.      *                                     хранилище
  9.      * @return boolean
  10.      */
  11.     public function isEmpty()
  12.     {
  13.         /**
  14.          * @todo реализация
  15.          */
  16.     }
  17.  
  18.     /**
  19.      * Возвращает содержимое хранилища
  20.      *
  21.      * Поведение неопределено, когда хранилище пусто.
  22.      *
  23.      * @throws Zend_Auth_Storage_Exception Если получение содержимого
  24.      *                                     хранилища невозможно
  25.      * @return mixed
  26.      */
  27.     public function read()
  28.     {
  29.         /**
  30.          * @todo реализация
  31.          */
  32.     }
  33.  
  34.     /**
  35.      * Записывает $contents в хранилище
  36.      *
  37.      * @param  mixed $contents
  38.      * @throws Zend_Auth_Storage_Exception Если запись содержимого в
  39.      *                                     хранилище невозможна
  40.      * @return void
  41.      */
  42.     public function write($contents)
  43.     {
  44.         /**
  45.          * @todo реализация
  46.          */
  47.     }
  48.  
  49.     /**
  50.      * Очищает содержмое хранилища
  51.      *
  52.      * @throws Zend_Auth_Storage_Exception Если очищение хранилища
  53.      *                                     невозможно
  54.      * @return void
  55.      */
  56.     public function clear()
  57.     {
  58.         /**
  59.          * @todo реализация
  60.          */
  61.     }
  62. }

Для использования этого класса, Zend_Auth::setStorage() вызывается до выполнения попытки авторизации:

  1. // Сказать Zend_Auth использовать пользовательский класс хранилища
  2. Zend_Auth::getInstance()->setStorage(new MyStorage());
  3.  
  4. /**
  5. * @todo подготовка адаптера, $authAdapter
  6. */
  7.  
  8. // Аутентификация, сохранение результата, и хранение идентификатора
  9. // при успехе.
  10. $result = Zend_Auth::getInstance()->authenticate($authAdapter);

Использование

Существует два пути использования адаптеров Zend_Auth:

  1. непрямое, через Zend_Auth::authenticate()

  2. прямое, через метод адаптера authenticate()

Следующий пример показывает, как использовать адаптер Zend_Auth через класс Zend_Auth:

  1. // Получение синглтон экземпляра Zend_Auth
  2. $auth = Zend_Auth::getInstance();
  3.  
  4. // Установка адаптера
  5. $authAdapter = new MyAuthAdapter($username, $password);
  6.  
  7. // Попытка аутентификации, сохранение результата
  8. $result = $auth->authenticate($authAdapter);
  9.  
  10. if (!$result->isValid()) {
  11.     // Попытка неуспешна; вывести сообщения об ошибках
  12.     foreach ($result->getMessages() as $message) {
  13.         echo "$message\n";
  14.     }
  15. } else {
  16.     // Попытка успешна; идентификатор ($username) сохранен
  17.     // в сессии
  18.     // $result->getIdentity() === $auth->getIdentity()
  19.     // $result->getIdentity() === $username
  20. }

После того как попытка аутентификации была произведена, как показано в примере выше, теперь нужно только проверить, существует ли аутентифицированный идентификатор:

  1. $auth = Zend_Auth::getInstance();
  2. if ($auth->hasIdentity()) {
  3.     // Идентификатор существует; получить его
  4.     $identity = $auth->getIdentity();
  5. }

Для удаления идентификатора из постоянного хранилища, просто используйте метод clearIdentity(). Обычно это используется для реализации действия "Выйти":

  1. Zend_Auth::getInstance()->clearIdentity();

Когда автоматическое использование постоянного хранилища не подходит, разработчик может просто обойти Zend_Auth и использовать класс адаптера напрямую. Прямое использование адаптера включает в себя настройку, подготовку объекта адаптера и последующий вызов его метода, authenticate(). Специфичные для адаптера детали обсуждаются в документации этого адаптера. Следующий пример напрямую использует MyAuthAdapter:

  1. // Подготовка адаптера
  2. $authAdapter = new MyAuthAdapter($username, $password);
  3.  
  4. // Попытка аутентификации, сохранение результата
  5. $result = $authAdapter->authenticate();
  6.  
  7. if (!$result->isValid()) {
  8.     // Попытка неуспешна; вывести сообщения об ошибках
  9.     foreach ($result->getMessages() as $message) {
  10.         echo "$message\n";
  11.     }
  12. } else {
  13.     // Попытка успешна;
  14.     // $result->getIdentity() === $username
  15. }

Zend_Auth