简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)

directory search

阅读前篇简介 Yii 是什么从 Yii 1.1 升级入门安装 Yii 运行应用第一次问候使用Forms 数据库应用使用 Gii 生成代码进阶应用结构概述入口脚本应用（Applications）应用组件（Application Components）控制器（Controllers）模型（Models）视图（views）模块（Modules）过滤器（Filters）小部件（Widgets）前端资源（Assets）扩展（Extensions）请求处理运行概述启动引导（Bootstrapping）路由和创建URL 请求（Requests）响应（Responses） Sessions 和 Cookies 错误处理（Handling Errors）日志（Logging）关键概念组件（Component）属性（Property）事件（Events）行为（Behaviors）配置（Configurations）别名（Aliases）类自动加载（Autoloading）服务定位器（Service Locator）依赖注入容器（Dependency Injection Container）配合数据库工作数据库访问 (Data Access Objects) 查询生成器（Query Builder）活动记录（Active Record）数据库迁移（Migrations） Sphinx Redis MongoDB Elasticsearch 接收用户数据创建表单(Creating Forms) 输入验证(Validating Input) 文件上传(Uploading Files) 收集列表输入(Collecting Tabular Input) 多模型的复合表单(Getting Data for Multiple Models) 显示数据格式化输出数据（Data Formatting）分页（Pagination）排序（Sorting）数据提供器（Data Providers）数据小部件（Data Widgets）客户端脚本使用(Working with Client Scripts) 主题（Theming）安全认证（Authentication）授权（Authorization）处理密码（Working with Passwords）客户端认证（Auth Clients）最佳安全实践（Best Practices）缓存概述数据缓存片段缓存页面缓存 HTTP 缓存 RESTfull Web服务快速入门（Quick Start）资源（Resources）控制器（Controllers）路由（Routing）格式化响应（Response Formatting）授权认证（Authentication）速率限制（Rate Limiting）版本（Versioning）错误处理（Error Handling）开发工具调试工具栏和调试器使用Gii生成代码生成API文档测试概述（Overview）配置测试环境（Testing environment setup）单元测试（Unit Tests）功能测试（Function Tests）验收测试（Acceptance Tests）测试夹具（Fixtures）高级专题高级应用模板创建自定义应用程序结构控制台命令核心验证器（Core Validators）国际化收发邮件性能优化共享主机环境模板引擎集成第三方代码小部件 Bootstrap 小部件 Jquery UI 助手类概述 Array 助手(ArrayHelper) Html 助手(Html) Url 助手(Url)

characters

过滤器

过滤器是控制器动作执行之前或之后执行的对象。例如访问控制过滤器可在动作执行之前来控制特殊终端用户是否有权限执行动作，内容压缩过滤器可在动作执行之后发给终端用户之前压缩响应内容。

过滤器可包含预过滤（过滤逻辑在动作之前）或后过滤（过滤逻辑在动作之后），也可同时包含两者。

使用过滤器

过滤器本质上是一类特殊的行为，所以使用过滤器和使用行为一样。可以在控制器类中覆盖它的 yii\base\Controller::behaviors() 方法来申明过滤器，如下所示：

publicfunctionbehaviors(){return[ ['class'=>'yii\filters\HttpCache','only'=> ['index','view'],'lastModified'=>function($action,$params){$q=new\yii\db\Query();return$q->from('user')->max('updated_at'); }, ], ]; }

控制器类的过滤器默认应用到该类的所有动作，你可以配置yii\base\ActionFilter::only属性明确指定控制器应用到哪些动作。在上述例子中，HttpCache过滤器只应用到index和view动作。也可以配置yii\base\ActionFilter::except属性使一些动作不执行过滤器。

除了控制器外，可在模块或应用主体中申明过滤器。申明之后，过滤器会应用到所属该模块或应用主体的所有控制器动作，除非像上述一样配置过滤器的 yii\base\ActionFilter::only 和 yii\base\ActionFilter::except 属性。

补充: 在模块或应用主体中申明过滤器，在yii\base\ActionFilter::only 和 yii\base\ActionFilter::except 属性中使用路由代替动作ID，因为在模块或应用主体中只用动作ID并不能唯一指定到具体动作。.

当一个动作有多个过滤器时，根据以下规则先后执行：

预过滤
- 按顺序执行应用主体中behaviors()列出的过滤器。
- 按顺序执行模块中behaviors()列出的过滤器。
- 按顺序执行控制器中behaviors()列出的过滤器。
- 如果任意过滤器终止动作执行，后面的过滤器（包括预过滤和后过滤）不再执行。
成功通过预过滤后执行动作。
后过滤
- 倒序执行控制器中behaviors()列出的过滤器。
- 倒序执行模块中behaviors()列出的过滤器。
- 倒序执行应用主体中behaviors()列出的过滤器。

创建过滤器

继承 yii\base\ActionFilter 类并覆盖 yii\base\ActionFilter::beforeAction() 和/或 yii\base\ActionFilter::afterAction() 方法来创建动作的过滤器，前者在动作执行之前执行，后者在动作执行之后执行。 yii\base\ActionFilter::beforeAction() 返回值决定动作是否应该执行，如果为false，之后的过滤器和动作不会继续执行。

下面的例子申明一个记录动作执行时间日志的过滤器。

namespaceapp\components;useYii;useyii\base\ActionFilter;classActionTimeFilterextendsActionFilter{private$_startTime;publicfunctionbeforeAction($action){$this->_startTime = microtime(true);returnparent::beforeAction($action); }publicfunctionafterAction($action,$result){$time= microtime(true) -$this->_startTime; Yii::trace("Action '{$action->uniqueId}' spent $time second.");returnparent::afterAction($action,$result); } }

核心过滤器

Yii提供了一组常用过滤器，在yii\filters命名空间下，接下来我们简要介绍这些过滤器。

yii\filters\AccessControl

AccessControl提供基于yii\filters\AccessControl::rules规则的访问控制。特别是在动作执行之前，访问控制会检测所有规则并找到第一个符合上下文的变量（比如用户IP地址、登录状态等等）的规则，来决定允许还是拒绝请求动作的执行，如果没有规则符合，访问就会被拒绝。

如下示例表示表示允许已认证用户访问create和update动作，拒绝其他用户访问这两个动作。

useyii\filters\AccessControl;publicfunctionbehaviors(){return['access'=> ['class'=> AccessControl::className(),'only'=> ['create','update'],'rules'=> [// 允许认证用户['allow'=>true,'roles'=> ['@'], ],// 默认禁止其他用户], ], ]; }

更多关于访问控制的详情请参阅授权一节。

认证方法过滤器

认证方法过滤器通过HTTP Basic Auth或OAuth 2 来认证一个用户，认证方法过滤器类在yii\filters\auth命名空间下。

如下示例表示可使用yii\filters\auth\HttpBasicAuth来认证一个用户，它使用基于HTTP基础认证方法的令牌。注意为了可运行，yii\web\User::identityClass 类必须实现 yii\web\IdentityInterface::findIdentityByAccessToken()方法。

useyii\filters\auth\HttpBasicAuth;publicfunctionbehaviors(){return['basicAuth'=> ['class'=> HttpBasicAuth::className(), ], ]; }

认证方法过滤器通常在实现RESTful API中使用，更多关于访问控制的详情请参阅 RESTful 认证一节。

yii\filters\ContentNegotiator

ContentNegotiator支持响应内容格式处理和语言处理。通过检查GET参数和AcceptHTTP头部来决定响应内容格式和语言。

如下示例，配置ContentNegotiator支持JSON和XML响应格式和英语（美国）和德语。

useyii\filters\ContentNegotiator;useyii\web\Response;publicfunctionbehaviors(){return[ ['class'=> ContentNegotiator::className(),'formats'=> ['application/json'=> Response::FORMAT_JSON,'application/xml'=> Response::FORMAT_XML, ],'languages'=> ['en-US','de', ], ], ]; }

在应用主体生命周期过程中检测响应格式和语言简单很多，因此ContentNegotiator设计可被引导启动组件调用的过滤器。如下例所示可以将它配置在应用主体配置。

useyii\filters\ContentNegotiator;useyii\web\Response; ['bootstrap'=> [ ['class'=> ContentNegotiator::className(),'formats'=> ['application/json'=> Response::FORMAT_JSON,'application/xml'=> Response::FORMAT_XML, ],'languages'=> ['en-US','de', ], ], ], ];

补充: 如果请求中没有检测到内容格式和语言，使用formats和languages第一个配置项。

yii\filters\HttpCache

HttpCache利用Last-Modified和EtagHTTP头实现客户端缓存。例如：

useyii\filters\HttpCache;publicfunctionbehaviors(){return[ ['class'=> HttpCache::className(),'only'=> ['index'],'lastModified'=>function($action,$params){$q=new\yii\db\Query();return$q->from('user')->max('updated_at'); }, ], ]; }

更多关于使用HttpCache详情请参阅 HTTP 缓存一节。

yii\filters\PageCache

PageCache实现服务器端整个页面的缓存。如下示例所示，PageCache应用在index动作，缓存整个页面60秒或post表的记录数发生变化。它也会根据不同应用语言保存不同的页面版本。

useyii\filters\PageCache;useyii\caching\DbDependency;publicfunctionbehaviors(){return['pageCache'=> ['class'=> PageCache::className(),'only'=> ['index'],'duration'=>60,'dependency'=> ['class'=> DbDependency::className(),'sql'=>'SELECT COUNT(*) FROM post', ],'variations'=> [ \Yii::$app->language, ] ], ]; }

更多关于使用PageCache详情请参阅页面缓存一节。

yii\filters\RateLimiter

RateLimiter 根据漏桶算法来实现速率限制。主要用在实现RESTful APIs，更多关于该过滤器详情请参阅 Rate Limiting 一节。

yii\filters\VerbFilter

VerbFilter检查请求动作的HTTP请求方式是否允许执行，如果不允许，会抛出HTTP 405异常。如下示例，VerbFilter指定CRUD动作所允许的请求方式。

useyii\filters\VerbFilter;publicfunctionbehaviors(){return['verbs'=> ['class'=> VerbFilter::className(),'actions'=> ['index'=> ['get'],'view'=> ['get'],'create'=> ['get','post'],'update'=> ['get','put','post'],'delete'=> ['post','delete'], ], ], ]; }

yii\filters\Cors

跨域资源共享 CORS 机制允许一个网页的许多资源（例如字体、JavaScript等）这些资源可以通过其他域名访问获取。特别是JavaScript's AJAX 调用可使用 XMLHttpRequest 机制，由于同源安全策略该跨域请求会被网页浏览器禁止. CORS定义浏览器和服务器交互时哪些跨域请求允许和禁止。

yii\filters\Cors 应在授权 / 认证过滤器之前定义，以保证CORS头部被发送。

useyii\filters\Cors;useyii\helpers\ArrayHelper;publicfunctionbehaviors(){returnArrayHelper::merge([ ['class'=> Cors::className(), ], ],parent::behaviors()); }

Cors 可转为使用cors属性。

cors['Origin']: 定义允许来源的数组，可为['*'](任何用户) 或['http://www.myserver.net', 'http://www.myotherserver.com']. 默认为['*'].
cors['Access-Control-Request-Method']: 允许动作数组如['GET', 'OPTIONS', 'HEAD']. 默认为['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'HEAD', 'OPTIONS'].
cors['Access-Control-Request-Headers']: 允许请求头部数组，可为['*']所有类型头部或['X-Request-With']指定类型头部. 默认为['*'].
cors['Access-Control-Allow-Credentials']: 定义当前请求是否使用证书，可为true,false或null(不设置). 默认为null.
cors['Access-Control-Max-Age']: 定义请求的有效时间，默认为86400.

例如，允许来源为http://www.myserver.net和方式为GET,HEAD和OPTIONS的CORS如下：

useyii\filters\Cors;useyii\helpers\ArrayHelper;publicfunctionbehaviors(){returnArrayHelper::merge([ ['class'=> Cors::className(),'cors'=> ['Origin'=> ['http://www.myserver.net'],'Access-Control-Request-Method'=> ['GET','HEAD','OPTIONS'], ], ], ],parent::behaviors()); }

可以覆盖默认参数为每个动作调整CORS 头部。例如，为login动作增加Access-Control-Allow-Credentials参数如下所示：

             useyii\filters\Cors;
useyii\helpers\ArrayHelper;

publicfunctionbehaviors(){
returnArrayHelper::merge([
[
'class'=> Cors::className(),
'cors'=> [
'Origin'=> ['http://www.myserver.net'],
'Access-Control-Request-Method'=> ['GET','HEAD','OPTIONS'],
],
'actions'=> [
'login'=> [
'Access-Control-Allow-Credentials'=>true,
]
]
],
],parent::behaviors());
}
            

Previous article： Next article：