Yii2框架RESTful API 格式化响应，授权认证和速率限制三部分详解

之前写过一篇Yii2框架制作RESTful风格的API快速入门教程，今天接着来探究一下Yii2 RESTful的格式化响应，授权认证和速率限制三个部分

一、目录结构

先列出需要改动的文件。目录如下：

web├─ common│ └─ models │ └ User.php└─ frontend├─ config│ └ main.php└─ controllers└ BookController.php

二、格式化响应

Yii2 RESTful支持JSON和XML格式，如果想指定返回数据的格式，需要配置yii/filters/ContentNegotiator::formats属性。例如，要返回JSON格式，修改frontend/controllers/BookController.php，加入红色标记代码:

namespace frontend/controllers;use yii/rest/ActiveController;use yii/web/Response;class BookController extends ActiveController{public $modelClass = 'frontend/models/Book';public function behaviors() {$behaviors = parent::behaviors();$behaviors['contentNegotiator']['formats']['text/html'] = Response::FORMAT_JSON;return $behaviors;}}

返回XML格式：FORMAT_XML。formats属性的keys支持MIME类型，而values必须在yii/web/Response::formatters中支持被响应格式名称。

三、授权认证

RESTful APIs通常是无状态的，因此每个请求应附带某种授权凭证，即每个请求都发送一个access token来认证用户。

1.配置user应用组件（不是必要的，但是推荐配置）：

　　设置yii/web/User::enableSession属性为false（因为RESTful APIs为无状态的，当yii/web/User::enableSession为false，请求中的用户认证状态就不能通过session来保持）

　　设置yii/web/User::loginUrl属性为null（显示一个HTTP 403 错误而不是跳转到登录界面）

具体方法，修改frontend/config/main.php，加入红色标记代码：

'components' => [...'user' => ['identityClass' => 'common/models/User','enableAutoLogin' => true,'enableSession' => false,'loginUrl' => null,],...]

2.在控制器类中配置authenticator行为来指定使用哪种认证方式，修改frontend/controllers/BookController.php，加入红色标记代码：

namespace frontend/controllers;use yii/rest/ActiveController;use yii/web/Response;use yii/filters/auth/CompositeAuth;use yii/filters/auth/QueryParamAuth;class BookController extends ActiveController{public $modelClass = 'frontend/models/Book';public function behaviors() {$behaviors = parent::behaviors();$behaviors['authenticator'] = ['class' => CompositeAuth::className(),'authMethods' => [/*下面是三种验证access_token方式*///1.HTTP 基本认证: access token 当作用户名发送，应用在access token可安全存在API使用端的场景，例如，API使用端是运行在一台服务器上的程序。//HttpBasicAuth::className(),//2.OAuth 2: 使用者从认证服务器上获取基于OAuth2协议的access token，然后通过 HTTP Bearer Tokens 发送到API 服务器。//HttpBearerAuth::className(),//3.请求参数: access token 当作API URL请求参数发送，这种方式应主要用于JSONP请求，因为它不能使用HTTP头来发送access token//http://localhost/user/index/index?access-token=123QueryParamAuth::className(),],];$behaviors['contentNegotiator']['formats']['text/html'] = Response::FORMAT_JSON;return $behaviors;}}