Yii2和OAuth2插件Filsh / yii2-oauth2-server：发送POST数据时未经授权

Question

---

编辑：已解决

显然这个插件，有一些问题缺少请求标头。 解决方案是添加

SetEnvIf Authorization .+ HTTP_AUTHORIZATION=$0

对于.htaccess文件，可以使Authorizaion变量可用，因为此问题报告说：

https://github.com/yiisoft/yii2/issues/6631

---

我目前正在使用Yii2并使用此OAuth2插件 （Filsh / yii2-oauth2-server）进行登录，并使用移动HTML5应用程序处理令牌。

我已经配置了所有内容，并且它正在检索令牌，但是当我尝试通过POST发送令牌时，它会抛出错误。

我首先调用send()来检索令牌。

function send(){
    var url = "http://www.server.org/app/api/oauth2/rest/token";
    var data = {
        'grant_type':'password',
        'username':'user',
        'password':'pass',
        'client_id':'clientid',
        'client_secret':'clientsecret',
    };

    $.ajax({
        type: "POST",
        url: url,
        data: data,
        success:function(data){
        console.log(data);
            token = data.access_token;
        },
    })
};

然后当我执行这个调用createuser() 。

function createuser(){
        var url = "http://www.server.org/app/api/v1/users/create";
        var data = {
            'callback':'asdf',
            'username': 'user',
            'password':'pass',
            'first_name':'name',
            'last_name':'lastname'
        };

        $.ajax({
            type: "POST",
            url: url,
            data: data,
            beforeSend: function (xhr) {
                xhr.setRequestHeader('Authorization', 'Bearer ' + token);
            },
            success:function(r){
                console.log(r);
            },
        });
    }

它回来了

未经授权：您要求使用无效凭证

当我改为GET时，它工作正常。

这是我的控制器，我已经在使用：

['class'=> HttpBearerAuth :: className（）]，['class'=> QueryParamAuth :: className（），'tokenParam'=>'accessToken']，

作为认证方法。

<?php

namespace app\api\modules\v1\controllers;

use Yii;
use app\models\OauthUsers;
use yii\rest\ActiveController;
use yii\web\Response;
use yii\helpers\ArrayHelper;

use yii\filters\auth\HttpBearerAuth;
use yii\filters\auth\QueryParamAuth; 
use filsh\yii2\oauth2server\filters\ErrorToExceptionFilter;
use filsh\yii2\oauth2server\filters\auth\CompositeAuth;

class UsersController extends \yii\web\Controller
{
public function behaviors()
{
    return ArrayHelper::merge(parent::behaviors(), [
        'authenticator' => [
            'class' => CompositeAuth::className(),
            'authMethods' => [
                ['class' => HttpBearerAuth::className()],
                ['class' => QueryParamAuth::className(), 'tokenParam' => 'accessToken'],
            ]
        ],
        'exceptionFilter' => [
            'class' => ErrorToExceptionFilter::className()
        ],
        'class' => \yii\filters\ContentNegotiator::className(), 

    ]);
}

/**
* Creates a new model.
* If creation is successful, the browser will be redirected to the 'view' page.
* @return mixed
*/
public function actionCreate()
{
    $model = new OauthUsers;

    try {
        if ($model->load($_POST) && $model->save()) {
            return $this->redirect(Url::previous());
        } elseif (!\Yii::$app->request->isPost) {
            $model->load($_GET);
        }
    } catch (\Exception $e) {
        $msg = (isset($e->errorInfo[2]))?$e->errorInfo[2]:$e->getMessage();
        $model->addError('_exception', $msg);
    }
    return "true";
}

}

这是我的配置对象

'oauth2' => [
        'class' => 'filsh\yii2\oauth2server\Module',            
        'tokenParamName' => 'accessToken',
        'tokenAccessLifetime' => 3600 * 24,
        'storageMap' => [
            'user_credentials' => 'app\models\OauthUsers', 
        ],
        'grantTypes' => [
            'user_credentials' => [
                'class' => 'OAuth2\GrantType\UserCredentials',
            ],
            'refresh_token' => [
                'class' => 'OAuth2\GrantType\RefreshToken',
                'always_issue_new_refresh_token' => true
            ]
        ]
    ]

这是OauthUsers类

<?php

namespace app\models;

use Yii;
use \app\models\base\OauthUsers as BaseOauthUsers;

/**
* This is the model class for table "oauth_users".
*/
class OauthUsers extends BaseOauthUsers 
implements \yii\web\IdentityInterface,\OAuth2\Storage\UserCredentialsInterface

{
/**
 * @inheritdoc
 */
public static function findIdentity($id) {
    $dbUser = OauthUsers::find()
            ->where([
                "id" => $id
            ])
            ->one();
    if (!count($dbUser)) {
        return null;
    }
    return new static($dbUser);
}

/**
 * @inheritdoc
 */
public static function findIdentityByAccessToken($token, $userType = null) {

    $at = OauthAccessTokens::find()
            ->where(["access_token" => $token])
            ->one();

    $dbUser = OauthUsers::find()
            ->where(["id" => $at->user_id])
            ->one();
    if (!count($dbUser)) {
        return null;
    }
    return new static($dbUser);
}

/**
 * Implemented for Oauth2 Interface
 */
public function checkUserCredentials($username, $password)
{
    $user = static::findByUsername($username);
    if (empty($user)) {
        return false;
    }
    return $user->validatePassword($password);
}

/**
 * Implemented for Oauth2 Interface
 */
public function getUserDetails($username)
{
    $user = static::findByUsername($username);
    return ['user_id' => $user->getId()];
}

/**
 * Finds user by username
 *
 * @param  string      $username
 * @return static|null
 */
public static function findByUsername($username) {
    $dbUser = OauthUsers::find()
            ->where([
                "username" => $username
            ])
            ->one();
    if (!count($dbUser)) {
        return null;
    }
    return new static($dbUser);
}

/**
 * @inheritdoc
 */
public function getId()
{
    return $this->id;
}

/**
 * @inheritdoc
 */
public function getAuthKey()
{
    return $this->authKey;
}

/**
 * @inheritdoc
 */
public function validateAuthKey($authKey)
{
    return $this->authKey === $authKey;
}

/**
 * Validates password
 *
 * @param  string  $password password to validate
 * @return boolean if password provided is valid for current user
 */
public function validatePassword($password)
{
    return $this->password === $password;
}
}

我也改变了createuser ，但仍然收到401.我不确定它是否通过findIdentityByAccessToken （access_token与oauth用户位于不同的表中，这就是为什么我首先查询它）。

有什么想法吗？

Answer 1

我不知道您使用的插件，但我知道您在实施OAuth 2.0时可以使用Yii2 HttpBearerAuth过滤器，这意味着使用HTTP Bearer令牌 。 并且该令牌通常使用HTTP请求的Authorization标头而不是正文请求传递，它通常如下所示：

Authorization: Bearer y-9hFW-NhrI1PK7VAXYdYukwWVrNTkQ1

这个想法是关于保存从服务器某处收到的token （应该是一个安全的地方）并将其包含在需要服务器授权的请求的标题中（可能在 这里或此处更好地解释）所以你正在使用的JS代码发送POST请求应该看起来更像这样：

function createuser(){
    var url = "http://www.server.org/app/api/v1/users/create";
    var data = {
        'callback':'cb',
        'username': 'user',
        'password':'pass',
        'first_name':'name',
        'last_name':'lastname'
    };

    $.ajax({
        type: "POST",
        url: url,
        data: data,
        beforeSend: function (xhr) {
            xhr.setRequestHeader('Authorization', 'Bearer ' + token);
        },
        success:function(r){
            console.log(r);
        },
    });
}

还要检查User类（在配置文件中定义并负责验证用户）检查findIdentityByAccessToken（）方法的实现。 它通常应该是这样的（ 有关更多详细信息，请参阅Yii文档 ）：

public static function findIdentityByAccessToken($token, $type = null)
{
    return static::findOne(['auth_key' => $token]);
}

这是将接收token的函数，当验证失败时它应返回null （ 默认情况下， findOne（）在没有找到记录时返回null ）或返回User实例以注册它并使其在Yii::$app->user->identity可访问Yii::$app->user->identity或Yii::$app->user->id在你的应用程序内的任何地方，这样你就可以实现你需要的任何逻辑，例如检查访问令牌的有效性或它在另一个表中的存在。

Answer 2

显然这个插件（Filsh / yii2-oauth2-server）在丢失请求标头时遇到了一些问题。 解决方案是添加

SetEnvIf Authorization .+ HTTP_AUTHORIZATION=$0

到.htaccess文件，使Authorizaion变量可用，如下所示：

https://github.com/yiisoft/yii2/issues/6631