Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.

Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`. Добавлена вменяемая система разграничения прав на основе RBAC. Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID. Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации. Теперь все unit тесты можно успешно прогнать без наличия интернета.
2025-05-31 14:11:46 +05:30 · 2017-09-19 20:06:16 +03:00
parent 928b3aa7fc
commit dd2c4bc413
173 changed files with 2719 additions and 2748 deletions
--- a/common/rbac/.generated/.gitignore
+++ b/common/rbac/.generated/.gitignore
@@ -0,0 +1,2 @@
+*
+!.gitignore
--- a/common/rbac/Manager.php
+++ b/common/rbac/Manager.php
@@ -0,0 +1,31 @@
+<?php
+namespace common\rbac;
+
+use Yii;
+use yii\rbac\PhpManager;
+
+class Manager extends PhpManager {
+
+    /**
+     * В нашем приложении права выдаются не пользователям, а токенам, так что ожидаем
+     * здесь $accessToken и извлекаем из него все присвоенные права.
+     *
+     * По каким-то причинам, в Yii механизм рекурсивной проверки прав требует, чтобы
+     * массив с правами был проиндексирован по ключам этих самых прав, так что в
+     * конце выворачиваем массив наизнанку.
+     *
+     * @param string $accessToken
+     * @return string[]
+     */
+    public function getAssignments($accessToken): array {
+        $identity = Yii::$app->user->findIdentityByAccessToken($accessToken);
+        /** @noinspection NullPointerExceptionInspection */
+        $permissions = $identity->getAssignedPermissions();
+        if (empty($permissions)) {
+            return [];
+        }
+
+        return array_flip($permissions);
+    }
+
+}
--- a/common/rbac/Permissions.php
+++ b/common/rbac/Permissions.php
@@ -0,0 +1,31 @@
+<?php
+namespace common\rbac;
+
+final class Permissions {
+
+    // Top level Controller permissions
+    public const OBTAIN_ACCOUNT_INFO = 'obtain_account_info';
+    public const CHANGE_ACCOUNT_LANGUAGE = 'change_account_language';
+    public const CHANGE_ACCOUNT_USERNAME = 'change_account_username';
+    public const CHANGE_ACCOUNT_PASSWORD = 'change_account_password';
+    public const CHANGE_ACCOUNT_EMAIL = 'change_account_email';
+    public const MANAGE_TWO_FACTOR_AUTH = 'manage_two_factor_auth';
+    public const BLOCK_ACCOUNT = 'block_account';
+    public const COMPLETE_OAUTH_FLOW = 'complete_oauth_flow';
+
+    // Personal level controller permissions
+    public const OBTAIN_OWN_ACCOUNT_INFO = 'obtain_own_account_info';
+    public const OBTAIN_OWN_EXTENDED_ACCOUNT_INFO = 'obtain_own_extended_account_info';
+    public const CHANGE_OWN_ACCOUNT_LANGUAGE = 'change_own_account_language';
+    public const ACCEPT_NEW_PROJECT_RULES = 'accept_new_project_rules';
+    public const CHANGE_OWN_ACCOUNT_USERNAME = 'change_own_account_username';
+    public const CHANGE_OWN_ACCOUNT_PASSWORD = 'change_own_account_password';
+    public const CHANGE_OWN_ACCOUNT_EMAIL = 'change_own_account_email';
+    public const MANAGE_OWN_TWO_FACTOR_AUTH = 'manage_own_two_factor_auth';
+    public const MINECRAFT_SERVER_SESSION = 'minecraft_server_session';
+
+    // Data permissions
+    public const OBTAIN_ACCOUNT_EMAIL = 'obtain_account_email';
+    public const OBTAIN_EXTENDED_ACCOUNT_INFO = 'obtain_account_extended_info';
+
+}
--- a/common/rbac/Roles.php
+++ b/common/rbac/Roles.php
@@ -0,0 +1,8 @@
+<?php
+namespace common\rbac;
+
+final class Roles {
+
+    public const ACCOUNTS_WEB_USER = 'accounts_web_user';
+
+}
--- a/common/rbac/rules/AccountOwner.php
+++ b/common/rbac/rules/AccountOwner.php
@@ -0,0 +1,55 @@
+<?php
+namespace common\rbac\rules;
+
+use common\models\Account;
+use Yii;
+use yii\base\InvalidParamException;
+use yii\rbac\Rule;
+
+class AccountOwner extends Rule {
+
+    public $name = 'account_owner';
+
+    /**
+     * В нашем приложении права выдаются не пользователям, а токенам, так что ожидаем
+     * здесь $accessToken, по которому дальше восстанавливаем аккаунт, если это возможно.
+     *
+     * @param string|int     $accessToken
+     * @param \yii\rbac\Item $item
+     * @param array          $params параметр accountId нужно передать обязательно как id аккаунта,
+     *                               к которому выполняется запрос
+     *                               параметр optionalRules позволяет отключить обязательность
+     *                               принятия последней версии правил
+     *
+     * @return bool a value indicating whether the rule permits the auth item it is associated with.
+     */
+    public function execute($accessToken, $item, $params): bool {
+        $accountId = $params['accountId'] ?? null;
+        if ($accountId === null) {
+            throw new InvalidParamException('params don\'t contain required key: accountId');
+        }
+
+        $identity = Yii::$app->user->findIdentityByAccessToken($accessToken);
+        /** @noinspection NullPointerExceptionInspection это исключено, т.к. уже сработал authManager */
+        $account = $identity->getAccount();
+        if ($account === null) {
+            return false;
+        }
+
+        if ($account->id !== (int)$accountId) {
+            return false;
+        }
+
+        if ($account->status !== Account::STATUS_ACTIVE) {
+            return false;
+        }
+
+        $actualRulesOptional = $params['optionalRules'] ?? false;
+        if (!$actualRulesOptional && !$account->isAgreedWithActualRules()) {
+            return false;
+        }
+
+        return true;
+    }
+
+}