简介

yii2的自动登录的原理很简单。主要就是利用cookie来实现的，在第一次登录的时候，如果登录成功并且选中了下次自动登录，那么就会把用户的认证信息保存到cookie中，cookie的有效期为1年或者几个月。在下次登录的时候先判断cookie中是否存储了用户的信息，如果有则用cookie中存储的用户信息来登录。

配置

首先在打开yii2配置文件的components中设置user组件

'user' => [
    'identityClass' => 'app\models\User',
    'enableAutoLogin' => true,
],

只有在enableAutoLogin为true的情况下，如果选择了下次自动登录，那么就会把用户信息存储起来放到cookie中并设置cookie的有效期为36002430秒，以用于下次登录

解析

一、第一次登录存cookie

1、login 登录功能

public function login($identity, $duration = 0)
{
    if ($this->beforeLogin($identity, false, $duration)) {
        $this->switchIdentity($identity, $duration);
        $id = $identity->getId();
        $ip = Yii::$app->getRequest()->getUserIP();
        Yii::info("User '$id' logged in from $ip with duration $duration.", __METHOD__);
        $this->afterLogin($identity, false, $duration);
    }
    return !$this->getIsGuest();
}

2、switchIdentity设置认证信息

public function switchIdentity($identity, $duration = 0)
{
    $session = Yii::$app->getSession();
    if (!YII_ENV_TEST) {
        $session->regenerateID(true);
    }
    $this->setIdentity($identity);
    $session->remove($this->idParam);
    $session->remove($this->authTimeoutParam);
    if ($identity instanceof IdentityInterface) {
        $session->set($this->idParam, $identity->getId());
        if ($this->authTimeout !== null) {
            $session->set($this->authTimeoutParam, time() + $this->authTimeout);
        }
        if ($duration > 0 && $this->enableAutoLogin) {
            $this->sendIdentityCookie($identity, $duration);
        }
    } elseif ($this->enableAutoLogin) {
        Yii::$app->getResponse()->getCookies()->remove(new Cookie($this->identityCookie));
    }
}

这个方法比较重要，在退出的时候也需要调用这个方法。
这个方法主要有三个功能
1.设置session的有效期
2.如果cookie的有效期大于0并且允许自动登录，那么就把用户的认证信息保存到cookie中
3.如果允许自动登录，删除cookie信息。这个是用于退出的时候调用的。退出的时候传递进来的$identity为null

protected function sendIdentityCookie($identity, $duration)
{
    $cookie = new Cookie($this->identityCookie);
    $cookie->value = json_encode([
        $identity->getId(),
        $identity->getAuthKey(),
        $duration,
    ]);
    $cookie->expire = time() + $duration;
    Yii::$app->getResponse()->getCookies()->add($cookie);
}

存储在cookie中的用户信息包含有三个值：
$identity->getId()
$identity->getAuthKey()
$duration
getId()和getAuthKey()是在IdentityInterface接口中的。我们也知道在设置User组件的时候，这个User Model是必须要实现IdentityInterface接口的。所以，可以在User Model中得到前两个值，第三值就是cookie的有效期。

二、自动从cookie登录

用户的认证信息已经存储到cookie中,每次访问的时候直接从cookie里面获取用户的信息
yii2提供了两种用户 游客 认证用户，使用isGuest来判断

public function getIsGuest($checkSession = true)
{
    return $this->getIdentity($checkSession) === null;
}
public function getIdentity($checkSession = true)
{
    if ($this->_identity === false) {
        if ($checkSession) {
            $this->renewAuthStatus();
        } else {
            return null;
        }
    }
    return $this->_identity;
}

Yii提供了AccessControl来判断用户是否登录，有了这个就不需要在每一个action里面再判断了

public function behaviors()
    {
        return [
            'access' => [
                'class' => 'yii\filters\AccessControl',
                'rules' => [
                    [
                        'allow' => true,
                        'actions' => ['login', 'signup'],
                        'roles' => ['?'],
                    ],
                    [
                        'allow' => true,
                        'roles' => ['@'],
                    ],
                ],
                'denyCallback' => function($rule, $action) {
                    BaseController::denyCallback($rule, $action);
                }
            ]
        ];
    }

以上ACF代码是作为行为(behavior)附加在了site控制器上面。这是使用动作过滤器的典型方式。

only选项指定了这个ACF只应用在login,logout和signup动作上面。rules选项指定了访问规则：
允许所有游客(guest，未认证用户)访问login和signup动作(action)，roles选项是一个问号(?)，代表的就是游客(guests)。
允许经过认证的用户访问logout动作，字符@就是指已认证的用户。
当ACF执行鉴权检查的时候，它将从上到下依次检查每条规则(rules)，直到找到匹配。allow的值会在最终判断鉴权的时候使用。
假如没有任何规则匹配，那么ACF会终止用户的进一步操作。
默认的，当一个没有通过鉴权的用户访问当前动作(action)时，ACF会这样做：
假如是一个游客，它会调用yii\web\User::loginRequired()方法，重定向浏览器到登录页面。
假如是一个已认证用户，它会抛出一个权限错误的异常yii\web\ForbiddenHttpException。

如果你要自定义ACF的这些默认行为，可以通过配置yii\filters\AccessControl::$denyCallback属性来达到目的：
访问规则支持很多选项，下面是一些简要说明，你也可以通过扩展yii\filters\AccessRule来创建你自己的访问规则类：

allow:指定这是一条允许(allow)还是拒绝(deny)规则。
actions:这条规则匹配那些动作(action)。是一个动作ID的数组，区分大小写，假如这个选项设置为空或者不设置，那么这条规则适用于所有动作(action)。
controllers:指定这条规则适用于那些控制器(controller)。值是控制器ID数组，区分大小写，设置为空或者不设置，意味着适用于所有控制器(controller)。
roles:指定这条规则适用于那些用户角色。有两个认可的特殊角色，都是通过yii\web\User::$isGuest来检查。?：匹配游客（未认证用户），@：匹配已认证的用户，未设置或设为空，则匹配所有角色。
ips:匹配那些客户端IP。ip地址可以使用通配符()，比如：192.168.。为设置或设为空则匹配所有IP。
verbs：匹配那些请求方式(如：GET,POST)。区分大小写。
matchCallback:指定一个PHP回调，以确定应用该规则。
denyCallback:PHP回调，当规则禁止访问的时候会被调用。

总结

用户登陆的时候有没有点击‘记住用户’，区别是是否将用户的认证信息保存在cookie中。问题：如果用户没有点击‘记住登陆’，那么登陆后浏览器是通过什么判断当前的登陆用户的；答：session·。通过这个认证信息，关闭浏览器后，再进入，可以通过这个认证直接获取用户信息。
服务器将用户的信息保存到session，当浏览器再次来请求的时候，浏览器会把（gr_session_id_a9c381bb3f63a3f3）带过来，和服务器端的session_id对比，来判别登陆用户。