Вікі-код для 2. Налаштування бандла
Остання зміна 2024/07/11 11:49 автором Ashterix
Показати останніх авторів
| author | version | line-number | content |
|---|---|---|---|
| 1 | {{box cssClass="floatinginfobox" title="**Зміст**"}} | ||
| 2 | {{toc/}} | ||
| 3 | {{/box}} | ||
| 4 | |||
| 5 | {{info}} | ||
| 6 | Конфігурація зазнала суттєвих змін і не має зворотної сумісності з версією 6. | ||
| 7 | {{/info}} | ||
| 8 | |||
| 9 | (% class="wikigeneratedid" %) | ||
| 10 | Всі налаштування бандла знаходяться в файлі {{code language="none"}}config/packages/ufo_json_rpc.yaml{{/code}}. | ||
| 11 | |||
| 12 | (% class="wikigeneratedid" %) | ||
| 13 | Є можливість налаштувати параметри захисту API та деякі параметри формату даних, що віддається при запиті документації. | ||
| 14 | |||
| 15 | = Блок {{code language="none"}}security{{/code}} = | ||
| 16 | |||
| 17 | Наразі єдиним механізмом захисту доступу до вашого API є встановлення перевірки ключа доступу (api_token). | ||
| 18 | |||
| 19 | == Параметри {{code language="none"}}protected_api{{/code}} та {{code language="none"}}protected_doc{{/code}} (boolean) == | ||
| 20 | |||
| 21 | (% class="wikigeneratedid" %) | ||
| 22 | Ці параметри вказує чи мають бути захищені API методи та документація, відповідно. | ||
| 23 | |||
| 24 | (% class="wikigeneratedid" %) | ||
| 25 | За замовченням апі методи захищені, а документація відкрита. | ||
| 26 | |||
| 27 | {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}} | ||
| 28 | ufo_json_rpc: | ||
| 29 | security: | ||
| 30 | protected_api: true # Protection API requests | ||
| 31 | protected_doc: false # Protection API documentation | ||
| 32 | {{/code}} | ||
| 33 | |||
| 34 | (% id="cke_bm_164641S" style="display:none" %) (%%)Якщо ви захищаєте ваш API через {{code language="none"}}protected_api{{/code}}, вам необхідно налаштувати токени, по яким буде відкритий доступ. | ||
| 35 | |||
| 36 | Перш за все, треба визначитися з назвою токену. | ||
| 37 | |||
| 38 | == Параметр {{code language="none"}}token_name{{/code}} == | ||
| 39 | |||
| 40 | Компонент {{code language="none"}}RpcSecurity{{/code}} буде шукати в заголовках запиту специфічний ключ, який ви можете встановити в налаштуваннях пакету, значення за замовченням {{code language="none"}}token_name: 'Ufo-RPC-Token'{{/code}}, ви можете встановити будь-яке інше значення яке відповідає наступним вимогам. | ||
| 41 | |||
| 42 | {{spoiler title=" Вимоги до формування заголовків протоколу HTTP"}} | ||
| 43 | Вимоги до назв заголовків HTTP не є строго регульованими щодо капіталізації, оскільки HTTP заголовки нечутливі до регістру. Однак, існують деякі загальні практики і стандарти, які зазвичай дотримуються для кращої читабельності та узгодженості: | ||
| 44 | |||
| 45 | - Капіталізація: Зазвичай назви HTTP заголовків пишуться з використанням CamelCase, де кожне слово починається з великої літери, наприклад, Content-Type, User-Agent, Accept-Encoding. Це не впливає на технічну обробку заголовків, але робить їх легше читати. | ||
| 46 | - Унікальність: Кожен заголовок повинен мати унікальну назву у контексті одного HTTP запиту або відповіді. Не можна використовувати однакові назви для різних заголовків у тому самому запиті чи відповіді. | ||
| 47 | - Спеціальні заголовки: Існують заголовки, які використовуються специфічно для контролю поведінки кешування (Cache-Control), безпеки (Strict-Transport-Security), аутентифікації (Authorization), тощо. | ||
| 48 | - Норми RFC: Вимоги до заголовків регулюються документами RFC, які визначають стандарти для протоколів Інтернету. Наприклад, загальні заголовки і їхнє використання описані в RFC 7231. | ||
| 49 | {{/spoiler}} | ||
| 50 | |||
| 51 | |||
| 52 | |||
| 53 | |||
| 54 | Параметр {{code language="none"}}clients_tokens{{/code}} | ||
| 55 | |||
| 56 | Тепер слід вказати масив клієнтськіх токенів, які будуть мати доступ до API. | ||
| 57 | |||
| 58 | Тут є певна варіативність. | ||
| 59 | |||
| 60 | === Токени в параметрах === | ||
| 61 | |||
| 62 | (% class="box errormessage" %) | ||
| 63 | ((( | ||
| 64 | **НЕ РЕКОМЕНДОВАНО!!!** | ||
| 65 | \\Цей підхід допускається лише для локального тестування API | ||
| 66 | ))) | ||
| 67 | |||
| 68 | Є можливість прописати токени хардкодом прямо в файлі налаштувань. | ||
| 69 | |||
| 70 | Це погано з позиції безпеки, якщо код зберігається в публічному репозиторію, то до цього токену буде мати доступ кожен. | ||
| 71 | |||
| 72 | {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}} | ||
| 73 | ufo_json_rpc: | ||
| 74 | security: | ||
| 75 | token_name: 'Ufo-RPC-Token' | ||
| 76 | clients_tokens: | ||
| 77 | - 'ClientTokenExample' # hardcoded token example. Importantly!!! Replace or delete it! | ||
| 78 | |||
| 79 | {{/code}} | ||
| 80 | |||
| 81 | === Токени в змінних оточення === | ||
| 82 | |||
| 83 | Це найбільш доцільний механізм у разі, якщо ви розробляєте сервіс для розподіленого бекенду, що написаний на SOA (Сервіс-Орієнтована Архітектура). Зазвичай, в такому випадку, вам треба відкрити доступ до апі одному або обмеженій кількості клієнтських додатків і оновлення ключів не буде відбуватися занадто часто. | ||
| 84 | |||
| 85 | В такому випадку можна прописати токени в змінних оточення (файл {{code language="none"}}.env.local{{/code}} під час локальної розробки). Цей механізм достатньо безпечний з боку збереження доступів. | ||
| 86 | |||
| 87 | ((( | ||
| 88 | {{code language="ini" layout="LINENUMBERS" title=".env.local"}} | ||
| 89 | TOKEN_FOR_APP_1=9363074966579432364f8b73b3318f71 | ||
| 90 | TOKEN_FOR_APP_2=456fg87g8h98jmnb8675r4445n8up365 | ||
| 91 | {{/code}} | ||
| 92 | |||
| 93 | {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}} | ||
| 94 | ufo_json_rpc: | ||
| 95 | security: | ||
| 96 | token_key_in_header: 'Ufo-RPC-Token' | ||
| 97 | clients_tokens: | ||
| 98 | - '%env(resolve:TOKEN_FOR_APP_1)%' # token example from .env.local | ||
| 99 | - '%env(resolve:TOKEN_FOR_APP_2)%' # token example from .env.local | ||
| 100 | {{/code}} | ||
| 101 | ))) | ||
| 102 | |||
| 103 | === Токени для користувача === | ||
| 104 | |||
| 105 | Припускаю, що у вас може виникнути потреба зробити персональні ключі для користувачів вашого додатку, можливо ви захочете впровадити ліміти або інші обмеження. | ||
| 106 | В такому випадку вам не потрібно вказувати перелік токенів в конфігах, ви можете зберігати їх в базі даних або іншому місці згідно вашій бізнес-логіки. Єдина вимога, у вас має бути сервіс, який вміє перевіряти чи існує наданий токен. | ||
| 107 | |||
| 108 | Для того, щоб JsonRpcServer міг використовувати вашу логіку, доведеться реалізувати власний клас, що реалізує інтерфейс {{code language="none"}}Ufo\JsonRpcBundle\Security\Interfaces\ITokenValidator{{/code}} | ||
| 109 | |||
| 110 | {{code language="php" layout="LINENUMBERS" title="==== Приклад власного валідатора токенів ===="}} | ||
| 111 | <?php | ||
| 112 | |||
| 113 | namespace App\Services\RpcSecurity; | ||
| 114 | |||
| 115 | use App\Services\UserService; | ||
| 116 | use Symfony\Component\Security\Core\Exception\UserNotFoundException; | ||
| 117 | use Ufo\JsonRpcBundle\Security\Interfaces\ITokenValidator; | ||
| 118 | use Ufo\RpcError\RpcInvalidTokenException; | ||
| 119 | |||
| 120 | class UserTokenValidator implements ITokenValidator | ||
| 121 | { | ||
| 122 | |||
| 123 | public function __construct(protected UserService $userService) {} | ||
| 124 | |||
| 125 | public function isValid(string $token): true | ||
| 126 | { | ||
| 127 | try { | ||
| 128 | $this->userService->getUserByToken($token); | ||
| 129 | return true; | ||
| 130 | } catch (UserNotFoundException $e) { | ||
| 131 | throw new RpcInvalidTokenException(previous: $e); | ||
| 132 | } | ||
| 133 | } | ||
| 134 | } | ||
| 135 | {{/code}} | ||
| 136 | |||
| 137 | (% class="box warningmessage" %) | ||
| 138 | ((( | ||
| 139 | **ВАЖЛИВО!!!** | ||
| 140 | Метод {{code language="none"}}isValid{{/code}} має повертати {{code language="none"}}true{{/code}} якщо токен існує і валідний, або викидати {{code language="none"}}Ufo\RpcError\RpcInvalidTokenException{{/code}} в іншому разі. | ||
| 141 | ))) | ||
| 142 | |||
| 143 | Після цього вам потрібно в файлі {{code language="none"}}config/services.yaml{{/code}} прописати що класи, що мають залежність від інтерфейса {{code language="none"}}ITokenValidator{{/code}} мають приймати ваш новий клас. | ||
| 144 | |||
| 145 | {{code language="yaml" layout="LINENUMBERS" title="config/services.yaml"}} | ||
| 146 | parameters: | ||
| 147 | # some parameters list | ||
| 148 | # ... | ||
| 149 | |||
| 150 | services: | ||
| 151 | # some services list | ||
| 152 | # ... | ||
| 153 | |||
| 154 | Ufo\JsonRpcBundle\Security\Interfaces\ITokenValidator: | ||
| 155 | class: App\Services\RpcSecurity\UserTokenValidator | ||
| 156 | {{/code}} | ||
| 157 | |||
| 158 | = Блок {{code language="none"}}async{{/code}} = | ||
| 159 | |||
| 160 | Цей блок для налаштування [[асинхронного транспорту>>doc:docs.JsonRpcBundle.functionality.async.WebHome]]. | ||
| 161 | |||
| 162 | Додайте параметр {{code language="none"}}rpc_async{{/code}} який містить рядок у форматі DSN. Цей рядок є конфігурацією [[Symfony Messenger>>https://symfony.com/doc/current/messenger.html]], він вказує на асинхронний транспорт по якому RPC Server буде очікувати вхідні запити якщо у вас запущений консюмер ({{code language="none"}}php bin/console messenger:consume rpc_async{{/code}}). Для більш детального розуміння цього процесу читайте документацію [[Symfony Messenge>>https://symfony.com/doc/current/messenger.html]]. | ||
| 163 | |||
| 164 | {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}} | ||
| 165 | ufo_json_rpc: | ||
| 166 | async: | ||
| 167 | rpc_async: '%env(resolve:RPC_TRANSPORT_DSN)%' | ||
| 168 | |||
| 169 | {{/code}} | ||
| 170 | |||
| 171 | (% class="box warningmessage" %) | ||
| 172 | ((( | ||
| 173 | Це налаштування має на увазі, що у вас в змінних оточення встановлена змінна RPC_TRANSPORT_DSN що містить DSN рядок. | ||
| 174 | ))) | ||
| 175 | |||
| 176 | = Блок {{code language="none"}}docs{{/code}} = | ||
| 177 | |||
| 178 | Цей блок налаштовує деякі параметри генерації документації коли ви робите GET запит на RPC Server. | ||
| 179 | |||
| 180 | (% class="box infomessage" %) | ||
| 181 | ((( | ||
| 182 | Починаючи з версії 7, JsonRpcBundle генерує API документацію, що відповідає специфікації [[OpenRpc>>https://spec.open-rpc.org/]] | ||
| 183 | ))) | ||
| 184 | |||
| 185 | * {{code language="none"}}project_name{{/code}}: Назва проєкту, що буде відображена в документації | ||
| 186 | * {{code language="none"}}project_description{{/code}}: Опис проєкту | ||
| 187 | * {{code language="none"}}project_version{{/code}}: Поточна версія вашого API | ||
| 188 | * {{code language="none"}}async_dsn_info{{/code}}: Відповідає за відображення в документації інформації про асинхронний транспорт | ||
| 189 | * {{code language="none"}}validations.symfony_asserts{{/code}}: <bool> Відповідає за відображення рядку очікувань валідації для параметра (якщо ви використовуєте [[валідацію>>doc:docs.JsonRpcBundle.add_rpc_service.assertions.WebHome]]) | ||
| 190 | |||
| 191 | {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}} | ||
| 192 | ufo_json_rpc: | ||
| 193 | docs: | ||
| 194 | project_name: 'My Project' | ||
| 195 | project_description: 'My project description' | ||
| 196 | project_version: '1.0' | ||
| 197 | # Optional response details | ||
| 198 | async_dsn_info: false # Provide information about API that work asynchronously | ||
| 199 | validations: | ||
| 200 | symfony_asserts: false # Indicates if an array of Symfony validation constraints is used | ||
| 201 | |||
| 202 | {{/code}} | ||
| 203 | |||
| 204 | {{info}} | ||
| 205 | Не переймайтеся щодо безпеки ваших авторизаційних даних, що містяться в DSN. | ||
| 206 | |||
| 207 | Документатор побудований таким чином, що перед виводом інформації про DSN він видаляє дані про користувача і його пароль, а також інші секретні дані, як то токени, секретні ключі, тощо. | ||
| 208 | |||
| 209 | Шаблон, по якому відбувається захист {{code language="none"}}/([\w\d_]*(?:secret|access|token|key)[_\w]*)=((?:\w|\d)+(?=&?))/{{/code}}. | ||
| 210 | |||
| 211 | Приклад: | ||
| 212 | |||
| 213 | {{code language="json" layout="LINENUMBERS" title="RPC_TRANSPORT_DSN=https://sqs.eu-west-3.amazonaws.com/123456789012/messages?access_key=AKIAIOSFODNN7EXAMPLE&secret_key=j17M97ffSVoKI0briFoo9a"}} | ||
| 214 | { | ||
| 215 | "async": { | ||
| 216 | "scheme": "https", | ||
| 217 | "host": "sqs.eu-west-3.amazonaws.com", | ||
| 218 | "path": "/123456789012/messages", | ||
| 219 | "query": "access_key={access_key}&secret_key={secret_key}" | ||
| 220 | } | ||
| 221 | } | ||
| 222 | {{/code}} | ||
| 223 | {{/info}} | ||
| 224 | |||
| 225 | === Приклад документації === | ||
| 226 | |||
| 227 | {{code language="json" layout="LINENUMBERS" title="GET: /api"}} | ||
| 228 | { | ||
| 229 | "openrpc":"1.2.6", | ||
| 230 | "info":{ | ||
| 231 | "title":"My Project", | ||
| 232 | "description":"My project description", | ||
| 233 | "contact":{ | ||
| 234 | "name":"ufo-tech/json-rpc-bundle", | ||
| 235 | "url":"https://docs.ufo-tech.space/bin/view/docs/JsonRpcBundle/?language=en" | ||
| 236 | }, | ||
| 237 | "license":{ | ||
| 238 | "name":"MIT" | ||
| 239 | }, | ||
| 240 | "version":"1.0" | ||
| 241 | }, | ||
| 242 | "servers":[ | ||
| 243 | { | ||
| 244 | "url":"https://mysite.com/api", | ||
| 245 | "description":"Json-RPC api server from UFO Tec\n\nUFO Tech, or Universal Flexible Open Technologies, is an initiative aimed at providing PHP developers with tools to create complex yet user-friendly solutions for modern web applications and service-oriented architectures.", | ||
| 246 | "name":"UFO Json-RPC Server v.7.0.0", | ||
| 247 | "x-method":"POST", | ||
| 248 | "x-ufo":{ | ||
| 249 | "envelop":"JSON-RPC-2.0/UFO-RPC-7.0.0", | ||
| 250 | "transport":{ | ||
| 251 | "sync":{ | ||
| 252 | "scheme":"https", | ||
| 253 | "host":"mysite.com", | ||
| 254 | "path":"/api", | ||
| 255 | "method":"POST" | ||
| 256 | }, | ||
| 257 | "async":{ | ||
| 258 | "scheme":"amqp", | ||
| 259 | "user":"{user}", | ||
| 260 | "pass":"{pass}", | ||
| 261 | "host":"mysite.com", | ||
| 262 | "port":5672, | ||
| 263 | "path":"/%2f/json-rpc" | ||
| 264 | } | ||
| 265 | }, | ||
| 266 | "documentation":{ | ||
| 267 | "json-rpc":"https://www.jsonrpc.org/specification", | ||
| 268 | "ufo-tech/json-rpc-bundle":"https://docs.ufo-tech.space/bin/view/docs/JsonRpcBundle/?language=en" | ||
| 269 | } | ||
| 270 | } | ||
| 271 | } | ||
| 272 | ], | ||
| 273 | "methods":[ | ||
| 274 | { | ||
| 275 | "name":"getUserNameByUuid", | ||
| 276 | "tags":[ | ||
| 277 | { | ||
| 278 | "name":"App\\Api\\UserApiService" | ||
| 279 | } | ||
| 280 | ], | ||
| 281 | "summary":"Get username by id", | ||
| 282 | "params":[ | ||
| 283 | { | ||
| 284 | "name":"userId", | ||
| 285 | "description":"User Id format uuid", | ||
| 286 | "required":true, | ||
| 287 | "schema":{ | ||
| 288 | "type":"string" | ||
| 289 | }, | ||
| 290 | "x-ufo-assertions": "new Assert\\Uuid()" | ||
| 291 | } | ||
| 292 | ], | ||
| 293 | "result":{ | ||
| 294 | "name":"string", | ||
| 295 | "description":"User Name", | ||
| 296 | "schema":{ | ||
| 297 | "type":"string" | ||
| 298 | } | ||
| 299 | } | ||
| 300 | } | ||
| 301 | ] | ||
| 302 | } | ||
| 303 | {{/code}} |