Redisストレージを使用したYii APIのセッション

少し前まで、YiiフレームワークでAPIを記述する必要がありました。Yiiフレームワークは、承認が機能要件の1つです。 承認メカニズムについては、セッションを使用することにしました。

自家製セッション実装オプション

それ以前は、PHPで記述されたAPI実装をかなり見たことがありましたが、PHPに組み込まれたセッションメカニズムが使用される実装は見たことがありませんでした。 私が主に出会ったのは、自家製セッションの実装でした。 ほとんどの場合、次のようになりました。







1.クライアントは、認証データとともにサーバーにリクエストを送信します。

2.認証に成功した場合、サーバーは一意の識別子（ランダムハッシュ）を生成し、ストレージ（データベース、キャッシュなど）に保存し、この識別子にクライアントのメンバーシップに関する情報を記録し、サーバーへの最後の呼び出しの時間を記録します。 その後、この識別子を含む応答をクライアントに送信します。

3.セッション識別子を受信し、さらなる要求のためにそれを保存したクライアントは、データを受信するために、送信されたセッション識別子を（パラメータまたはヘッダーとして）サーバーに要求を送信します。

4.セッション識別子を確認したサーバーは、クライアントにデータを提供し、この識別子でサーバーへの最後の呼び出しの時刻を更新します。



パラグラフ3および4のクライアントとサーバー間の相互作用は、サーバー上のセッションレコードが破棄されるまで発生します。 セッションが破棄される場合、ステップ3および4に進む前に、ステップ1および2を再度実行する必要があります。定期的に、サーバーにアクセスする最後のセッション識別子を確認し、使用しているセッションストアがレコードを自動的に削除できない場合は、存続期間を超えたものを削除する必要があります与えられた寿命の間。 この方法では、実装が必要なアクションがかなりあります。

標準のPHPセッションを使用するオプション

また、標準のPHPセッションを使用すると何が得られますか？

1）一意のセッション識別子の自動生成。

2）セッションに保存されたデータへのアクセス、およびアプリケーション内のどこからでもそれらの管理。

3）ラッパーを含むセッションの操作に標準のPHP関数を使用する。 たとえば、 YiiフレームワークのクラスCHttpSession 。

4）以前に保存された環境の自動復元。 たとえば、以前に作成されたセッションの識別子を受信したときの自動ユーザーログイン。

5）ライフタイムを終了したセッションを自動的に削除します。



Cookieベースのセッションの仕組みを見てみましょう。







1.ブラウザーは、指定されたURLで情報の要求をサーバーに送信します。

2.サーバーは、ヘッダーに「Set-Cookie」という応答を返します。これは、CookieにセッションIDを記録する必要があることをブラウザーに伝えます。 「Set-Cookie」ヘッダーの例：

Set-Cookie: PHPSESSID=p2799jqivvk8gnruif1lvtv5l5; path=/





3.セッション識別子をCookieに正常に記録したブラウザは、新しいURLのリクエストを送信しますが、ヘッダーは「Cookie」です。

Cookie: PHPSESSID=p2799jqivvk8gnruif1lvtv5l5





4.サーバーはブラウザにページを提供します。



ブラウザからの以降のすべてのリクエストには、セッション識別子に関する情報を含む「Cookie」という見出しが付いています。 Cookieが無効になっていない場合、これらはすべてブラウザーで自動的に機能します。 しかし、Cookieが無効になっている場合、またはブラウザがクライアントではない場合はどうでしょうか？ この場合、すべてがそれほど単純ではありません。 もちろん、クライアント側で「Set-Cookie」ヘッダーと「Cookie」ヘッダーの受信と送信を使用できますが、次に示すこの問題の別の解決策を見てみましょう。

APIでPHPセッションを使用する

セッションの使用を開始する前に、セッションに関連するphp.iniのパラメーターに注意する必要があります。 次のパラメーターに特に注意してください： session.use_cookies 、 session.use_only_cookies 、 session.use_trans_sid APIのPHPセッションメカニズムの使用を開始するには、これらのパラメーターを次のように構成する必要があります。

 session.use_cookies = 0 session.use_only_cookies = 0 session.use_trans_sid = 1 session.name = session
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

もちろん、これらの設定をphp.iniで直接設定する必要はありません。PHP関数ini_setを使用して設定するだけで十分です。 これらの設定では、Cookieを使用してクライアント側で識別子を保存する機能を無効にします。これは、ブラウザだけでなく、他のアプリケーション、モバイルデバイスなどでもAPIを使用することを意味するためです。 session.use_trans_sidパラメーターを有効にすると、セッションIDをGETまたはPOSTパラメーターとして渡すことができます。 REST APIを開発する場合、RESTもPUTやDELETEなどのメソッドを使用するため、セッションパラメーターを渡すと機能しないため、POSTパラメーターを介して識別子を渡すことは最適なオプションではありません。 したがって、REST APIのどのメソッドでも機能するGETパラメーターとして識別子を渡すことをお勧めします。 また、session.nameパラメーターにGETパラメーターの名前を設定します。これは、デフォルトでPHPSESSIDと呼ばれます。 渡されたセッション識別子を持つURLは次のようになります。



https://api.example.com/action?session=l2kkl7c9sm2dfedr767itc9966

YiiフレームワークでのPHPセッションの使用

では、このメカニズムをYiiフレームワークでどのように使用できるかを見てみましょう。 セッションを操作するために、YiiはCHttpSessionクラスを提供します。 これを使用するには、構成ファイルのコンポーネント配列に次の設定を書き込む必要があります。

 'session' => array( 'autoStart' => true, 'cookieMode'=>'none', 'useTransparentSessionID' => true, 'sessionName' => 'session', 'timeout' => 28800, ),
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

どこで

'cookieMode' => 'none'はphp.ini設定をsession.use_cookies = 0およびsession.use_only_cookies = 0に設定します

'useTransparentSessionID' => trueは、php.iniをsession.use_trans_sid = 1に設定します



あまり多くの呼び出しを行わないAPIの場合、これで十分ですが、デフォルトでは、セッションは「プレーンテキスト」ファイルとしてディスクに保存されます。これは、負荷の高いAPIで集中的にセッションを読み書きする場合の弱いリンクになる可能性があります この場合、次のいずれかのソリューションを使用できます。

1）ドライブをSSDに交換します。

2）SSDディスクからレベル10のRAIDを配置します。

3）RAMディスクを使用します。 たとえば、LinuxのTmpfsファイルシステム。

4） Memcachedにセッションを保存（RAMにデータを保存）;

5）セッションをRedisに保存する（データをRAMに保存する）。

Redisのセッションストレージ

多様なストレージ構造のため、Redisに焦点を当てたいと思います。 また、サーバーの再起動後のデータリカバリ（この場合はセッション）の重要な可能性にも注意してください。 セッションリポジトリとしてRedisを使用する前に、 RedisサーバーとRedis用 PHP拡張機能をインストールする必要があります 。 それらの両方をインストールする方法はここにあります 。 インストールが正常に完了すると、RedisのPHP拡張機能からPHPセッションハンドラーを使用できるようになります。 php.iniを直接変更せずにRedis PHP Sessionハンドラーを使用し、Yii構成でRedisをセッションリポジトリとして設定できるようにするには、CHttpSessionを少し変更し、それを継承して独自のRedisSessionManagerクラスを作成する必要がありました。



これで、セッションコンポーネントの設定は次のようになります。

 'session' => array( 'class' => 'application.components.RedisSessionManager', 'autoStart' => true, 'cookieMode'=>'none', 'useTransparentSessionID' => true, 'sessionName' => 'session', 'saveHandler'=>'redis', 'savePath' => 'tcp://localhost:6379?database=10&prefix=session::', 'timeout' => 28800, ),
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

APIでの承認のためのセッションの使用

セッションを使用して、APIでユーザーを認証できるようになりました。 これは次のように実行できます。



ログイン方法：

 public function actionLogin() { $params = $this->getRequestParams(); $identity=new UserIdentity($params['username'],$params['password']); if($identity->authenticate()){ $this->sendResponse(Status::OK, array( 'session'=>Yii::app()->session->getSessionID(), 'message'=>'Successful login', )); }else{ $this->sendResponse(Status::UNAUTHORIZED, $identity->errorMessage); } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここで何が起こっていますか？ まず、リクエストから取得したユーザー名とパスワードを取得します。 次に、このユーザー名とパスワードを使用してログインし、ログインに成功した場合は、他のAPIメソッドにアクセスするときに使用するためにセッションIDを返します。



これは、UserIdentityクラスの外観です。

 class UserIdentity extends CUserIdentity { public function authenticate() { $account = Yii::app()->account->getByName($this->username); $password = Yii::app()->account->hashPassword($this->password); if(!$account || $this->username !== $account->username){ $this->errorCode = self::ERROR_USERNAME_INVALID; $this->errorMessage = 'User with username '.$this->username.' not found'; return false; } else if ($password !== $account->password) { $this->errorCode = self::ERROR_PASSWORD_INVALID; $this->errorMessage = 'Wrong password'; return false; } else { $this->errorCode = self::ERROR_NONE; Yii::app()->user->login($this); Yii::app()->user->setId($account->id); Yii::app()->user->setName($account->nickname); return true; } } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

認証に成功すると、ユーザー情報がユーザーコンポーネントに入力されます。ユーザー情報は、指定されたセッション識別子を持つAPIへの次回の呼び出しで自動的に置き換えられます。



ログアウト方法：

 public function actionLogout() { if(Yii::app()->session->destroySession()){ $this->sendResponse(Status::OK, 'Successful logout'); }else{ $this->sendResponse(Status::BAD_REQUEST, 'Logout was not successful'); } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここではすべてが簡単です。 現在のセッションとそのすべてのコンテンツを破棄するだけです。



また、APIでセッションを使用するためのヒントをいくつか紹介します。



1）クライアントとサーバー間の通信には暗号化された接続を使用することが重要です。これにより、攻撃者がセッション識別子を傍受してそれ以上使用できないようにすることができます。 たとえば、HTTPSプロトコルを使用できます。



2）セッションがそれでも攻撃者によって傍受された場合、追加のセッション認証アルゴリズムを使用できます。 たとえば、セッションをユーザーのIPにバインドし、さらにセッション内にIPを保持し、次の呼び出し中にIPが変更されたかどうかを確認します。 以前に保存したIPが現在のIPと一致しない場合、セッションを破棄する必要があります。



3）セッションの存続期間に制限を設けます。 この時間は、APIへの次のリクエストで自動的に更新されるため、たとえば2時間に設定します。 したがって、ユーザーが2時間アクティブでない場合、セッションは自動的に破棄されます。 これにより、セッションストレージがオーバーフローする可能性が低くなります。



最後に、Yiiで記述されたREST APIでの認証がRedisでのセッションの保存とどのように機能するかについての短いデモビデオ。







記事の著者： luxurydab