обзор php фреймворков. плюсы и минусы, отзывы

Абстрактное описание протокола

Теперь, когда у нас есть представление о ролях, используемых в OAuth, рассмотрим диаграмму их взаимодействия друг с другом.

Рассмотрим описание последовательности шагов на этой диаграмме:

  1. Приложение запрашивает у пользователя авторизацию на доступ к серверу ресурсов.
  2. Если пользователь авторизует запрос, приложение получает разрешение на авторизацию (authorization grant).
  3. Приложение запрашивает авторизационный токен у сервера авторизации (API) путём предоставления информации о самом себе и разрешении на авторизацию от пользователя.
  4. Если подлинность приложения подтверждена и разрешение на авторизацию действительно, сервер авторизации (API) создаёт токен доступа для приложения. Процесс авторизации завершён.
  5. Приложение запрашивает ресурс у сервера ресурсов (API), предоставляя при этом токен доступа для аутентификации.
  6. Если токен действителен, сервер ресурсов (API) предоставляет запрашиваемый ресурс приложению.

Фактический порядок шагов описанного процесса может отличаться в зависимости от используемого типа разрешения на авторизацию, но в целом процесс будет выглядеть описанным образом. Далее мы рассмотрим различные типы разрешений на авторизацию.

Контроль доступа на основе ролей ¶

Контроль доступа на основе ролей (RBAC) — простой, но мощный способ централизованного
контроля доступа. Для сравнения данного метода с другими обратитесь к
статье в Википедии.

В Yii иерархический RBAC реализован через компонент authManager.
Ниже мы сначала опишем основы данной схемы, затем то, как описывать данные,
необходимые для авторизации. В завершение мы покажем, как использовать эти данные для
контроля доступа.

Что такое веб-токен json?

JSON Web Token (JWT) – это интернет-стандарт для создания токенов доступа на основе JSON, которые утверждают некоторое количество претензий. Например, сервер может сгенерировать токен с флагом «авторизованный как администратор» или «авторизованный как этот пользователь» и предоставить его клиенту.

Похожее:  Упрощаем регистрацию и вход на сайт / Хабр

Затем клиент может использовать этот токен, чтобы доказать, что он вошел как администратор. Токены подписаны закрытым ключом одной стороны (обычно сервером), чтобы обе стороны могли проверить, является ли токен легитимным. Маркеры спроектированы так, чтобы быть компактными, безопасными для URL и использоваться, особенно в контексте единого входа (SSO) веб-браузера.

В отличие от аутентификации на основе токенов, JWT не хранятся в базе данных приложения. Для более подробного объяснения того, как работают JWT, посмотрите это потрясающее видео.

Что такое фреймворк

Фреймворк (framework, «каркас», «конструкция») — это динамически пополняемая библиотека языка программирования, в которой собраны его базовые модули. Фреймворки создаются для упрощения процессов разработки приложений, сайтов, сервисов. Чтобы не писать модуль в приложении с нуля, гораздо проще обратиться к готовым шаблонам фреймворков, которые и формируют рабочую среду разработчика.

Фреймворки есть у каждого языка программирования — Java, JavaScript, Python, Ruby, PHP. Но именно PHP-фреймворки занимают почётное место главного инструмента бекэнд-разработки.

Требования к системе авторизации

При проектировании расширения я руководствовался следующими принципами:

  1. Необходимость абстрагироваться от тонкостей авторизации через различные типы сервисов, использование адаптеров для каждого сервиса.
  2. Получение уникального идентификатора авторизации, который можно использовать для регистрации пользователя в нашем приложении.
  3. Возможность расширения стандартных классов авторизации для получения дополнительных данных о пользователе.
  4. Возможность работать с API социальных сетей путем расширения класса авторизации необходимого сервиса.
  5. Возможность настраивать список поддерживаемых сайтом сервисов, переопределять внешний вид виджета авторизации. Возможность использовать popup окно для авторизации без закрытия нашего приложения.

Использование

В качестве примера возьмем стандартное приложение Yii, сгенерированное командой

`yiic webapp create`

, и добавим возможность авторизации через Google и Яндекс (OAuth провайдеров подключать не будем, чтобы не возиться с ключами). Посмотреть готовую

Фильтр контроля доступа ¶

Фильтр контроля доступа — схема авторизации, подразумевающая предварительную проверку
прав текущего пользователя на вызываемое действие контроллера. Авторизация
производится по имени пользователя, IP-адресу и типу запроса. Данный фильтр называется
«accessControl».

Подсказка: Фильтр контроля доступа достаточен для реализации простых систем.
Для более сложных вы можете использовать доступ на основе ролей
(RBAC), который будет описан ниже.

Для управления доступом к действиям контроллера необходимо переопределить метод
CController::filters (более подробно описано в разделе
Фильтры).

Выше было описано, что фильтр access
control применяется ко всем действиям
контроллера PostController. Правила доступа, используемые фильтром, определяются
переопределением метода CController::accessRules контроллера.

class PostController extends CController
{
    …
    public function accessRules()
    {
        return array(
            array('deny',
                'actions'=>array('create', 'edit'),
                'users'=>array('?'),
            ),
            array('allow',
                'actions'=>array('delete'),
                'roles'=>array('admin'),
            ),
            array('deny',
                'actions'=>array('delete'),
                'users'=>array('*'),
            ),
        );
    }
}

3 Редактируем представление `protected/views/site/login.php`


Для использования стандартного виджета достаточно добавить пару строк после основной формы:

Для изменения внешнего вида виджета можно скопировать файл

`protected/extensions/eauth/views/auth.php``[theme_name]/views/EAuthWidget/auth.php`

4 Результат

После всех проделанных действий мы можем открыть наш сайт и перейти на страницу Login. После стандартной формы авторизации появятся иконки сервисов авторизации:

При клике, например, по иконке Google откроется popup окно: Popup окно авторизации

Обработка запроса авторизации ¶

При неудачной авторизации, т.е. когда пользователю запрещено выполнять указанное
действие, происходит следующее:

При задании свойства loginUrl используется как относительный,
так и абсолютный URL. Также можно передать массив, который будет использоваться
CWebApplication::createUrl при формировании URL. Первый элемент массива
задаёт маршрут до действия login вашего
контроллера, а остальные пары имя-значение — GET-параметры. К примеру,

Настройка менеджера авторизации ¶

Перед тем, как мы перейдём к построению иерархии авторизации и непосредственно
проверке доступа, нам потребуется настроить компонент приложения
authManager. В Yii есть два типа менеджеров
авторизации: CPhpAuthManager и CDbAuthManager.

После этого мы можем обращаться к компоненту authManager
используя Yii::app()->authManager.

Построение иерархии авторизации ¶

Построение иерархии авторизации состоит из трёх этапов: задания элементов
авторизации, описания связей между ними и назначение ролей пользователям.
Компонент authManager предоставляет полный набор
API для выполнения поставленных задач.

Для определения элемента авторизации следует воспользоваться одним из приведённых
ниже методов:

После того, как мы определили набор элементов авторизации, мы можем воспользоваться
следующими методами для установки связей:

После этого мы назначаем роли пользователям:

Приведём пример построения иерархии авторизации с использованием данного API:

$auth=Yii::app()->authManager;
 
$auth->createOperation('createPost','создание записи');
$auth->createOperation('readPost','просмотр записи');
$auth->createOperation('updatePost','редактирование записи');
$auth->createOperation('deletePost','удаление записи');
 
$bizRule='return Yii::app()->user->id==$params["post"]->authID;';
$task=$auth->createTask('updateOwnPost','редактирование своей записи',$bizRule);
$task->addChild('updatePost');
 
$role=$auth->createRole('reader');
$role->addChild('readPost');
 
$role=$auth->createRole('author');
$role->addChild('reader');
$role->addChild('createPost');
$role->addChild('updateOwnPost');
 
$role=$auth->createRole('editor');
$role->addChild('reader');
$role->addChild('updatePost');
 
$role=$auth->createRole('admin');
$role->addChild('editor');
$role->addChild('author');
$role->addChild('deletePost');
 
$auth->assign('reader','readerA');
$auth->assign('author','authorB');
$auth->assign('editor','editorC');
$auth->assign('admin','adminD');

После создания элементов авторизации, компонент authManager
(или его наследники, например, CPhpAuthManager, CDbAuthManager) загружает их автоматически.
То есть, приведённый код запускается один раз, а НЕ для каждого запроса.

Инфо: Довольно громоздкий пример выше предназначен скорее для демонстрации.
Разработчикам обычно требуется создать интерфейс администратора и дать возможность
пользователям самим построить иерархию авторизации.

Использование бизнес-правил ¶

При построении иерархии авторизации мы можем назначить роль, задачу или операцию
бизнес-правилу. Также мы можем указать его при назначении роли пользователю.
Бизнес-правило — PHP-код, использующийся при проверке доступа. Возвращаемое данным кодом
значение определяет, применять ли данную роль к текущему пользователю.

В примере выше мы применили бизнес-правило для описания задачи updateOwnPost.
В нём мы проверяем, совпадает ли ID текущего пользователя с ID автора записи.
Информация о записи в массиве $params передаётся разработчиком при проверке
доступа.

Claims

Принципы авторизации и аутентификации в ASP.NET Core MVC не изменились по сравнению с предыдущей версией фреймворка, отличаясь лишь в деталях. Одним из относительно новых понятий является claim-based авторизация, с нее мы и начнем наше путешествие. Что же такое claim?

Это пара строк “ключ-значение”, в качестве ключа может выступать “FirstName”, “EmailAddress” и т.п. Таким образом, claim можно трактовать как свойство пользователя, как строку с данными, или даже как некоторое утверждение вида “у пользователя есть что-то”.

Знакомая многим разработчикам одномерная role-based модель органично содержится в многомерной claim-based модели: роль (утверждение вида “у пользователя есть роль X”) представляет собой один из claim и содержится в списке преопределенных System.Security.Claims.ClaimTypes. Не возбраняется создавать и свои claim.

Следующее важное понятие — identity. Это единое утверждение, содержащее набор claim. Так, identity можно трактовать как цельный документ (паспорт, водительские права и др.), в этом случае claim — строка в паспорте (дата рождения, фамилия…). В Core MVC используется класс System.Security.Claims.ClaimsIdentity.

Codeigniter

CodeIgniter – это популярный PHP микро-фреймворк с открытым исходным кодом, для разработки веб-систем и приложений. Разработан компанией EllisLab, а также Риком Эллисом и Полом Бурдиком.

В CodeIgniter компоненты загружаются и процедуры выполняются только по запросу, а не глобально. Система не делает никаких предположений относительно того, что может потребоваться помимо минимальных основных ресурсов, поэтому система по умолчанию очень легкая.

Компоненты фреймворка слабо связаны между собой и не зависят друг от друга. ем меньше компонентов зависит друг от друга, тем более гибкой и многоразовой становится система.

Хотя CodeIgniter работает довольно быстро, объем динамической информации, отображаемой на страницах, будет напрямую зависеть от используемых ресурсов сервера, памяти и циклов обработки, которые влияют на скорость загрузки страниц.

Поэтому CodeIgniter позволяет кэшировать страницы для достижения максимальной производительности. с помощью встроенного компонента кэширования.

CodeIgniter послужил основой в разработке новых фреймворков: Kohana и Rain Framework. Многие идеи CodeIgniter были применены во фреймворках Fuel PHP и CodeLighter.

Плюсы

  • Отличная документация и англоязычное сообщество.
  • Высокая производительность фреймворка.
  • Небольшой размер фреймворка.
  • Предоставляет легкие и простые решения для разработки.
  • Подходит для быстрой разработки небольших сайтов и веб-приложений.
  • Структура фреймворка не требует строгих правил кодирования.
  • Не требует сложной настройки, почти нулевая конфигурация.
  • MVC-архитектура веб-приложения.
  • Слабая связанность компонентов.
  • Множество подключаемых библиотек и помощников.

Минусы

  • Долгий застой в развитии Codeigniter 3. Сейчас перешел к новым владельцам  Технологическому институту Британской Колумбии (British Columbia Institute of Technology — ВСІТ) и находится в стадии разработки новой версии – CodeIgniter 4.

Плюсы и минусы фреймворков будут пополняться и изменяться по мере возможности, изучения и работы с ними.

Краткая итоговая таблица с описанием особенностей фреймворков:

 

Laravel

Yii

Symfony

Zend Framework

Codeigniter

Лицензия

MIT

BSDMITNew BSD LicenseMIT

Документация

хорошая

отличная

хорошая

неплохая

лучшая

Сообщество

сильное англоязычное, русскоязычное слабое

сильное русскоязычное, англоязычное слабое

сильное англоязычное

сильное англоязычное

сильное англоязычное, упадок русскоязычного

Дополнительные пакеты и расширения

Установка через Composer

PHP 7

Базы данных

MySQL, Postgres, SQLite и SQL Server

MySQL, MariaDB, SQLite, PostgreSQL, CUBRID, Oracle, MSSQL

MySQL, PostgreSQL, SQLite или любая другая PDO-совместимая СУБД)

MariaDB, MySQL, Oracle Database, IBM DB2, Microsoft SQL Server, PostgreSQL, SQLite и Informix

MySQL, PostgreSQL, MSSQL, SQLite, Oracle.

Логирование

Миграции

Безопасность

Защита от SQL- injection, XSS, CSRF

Laravel

Laravel – это бесплатный  PHP фреймворк с открытым исходным кодом, созданный Тейлором Отвеллом для разработки веб-приложений по архитектурному шаблону MVC.

Можно сказать, что на появление Laravel повлияли остальные PHP фреймворки.

Он был создан как альтернатива фреймворку Codeigniter (о нем будет рассказано ниже), в котором было недостаточно полезных функций для разработки веб-приложений. В качестве основы Laravel выступают компоненты другого фреймворка – Symfony (о нем также, будет рассказано ниже).

Фреймворк Laravel очень популярен среди западных разработчиков веб-приложений.

С помощью менеджера пакетов Composer, фреймворк Laravel позволяет легко устанавливать и подключать различные компоненты для использования в веб-приложении.

Реализация шаблона ActiveRecord – Eloquent ORM, позволяет установить отношения между объектами базы данных веб-приложения и выстраивать удобные запросы для манипуляции данными.

Механизм автозагрузки классов позволяет не подключать вручную файлы через include и предотвращает загрузку не используемых компонентов.

Удобная система миграций помогает упростить развертывание и обновление веб-приложения.

В Laravel есть встроенная поддержка движка шаблонов Blade, с помощью которого  можно делать простые представления веб-приложения используя специальный синтаксис.

При создании приложения можно использовать Artisan – интерфейс командной строки для ввода встроенных команд, а также создания своих собственных.

В Laravel есть много полезных функций, позволяющих сделать процесс разработки веб-приложений быстрым, простым и качественным.

Из подобных функций можно отметить dd() – удобный аналог стандартной функции PHP var_dump(). Функция выводит информацию переменной в более понятной форме, разделяя данные на дерево атрибутов и значений, в возможностью поиска и перехода по ним.

Плюсы

  • Достаточно неплохая и понятная документация.
  • Вокруг фреймворка создана мощная экосистема. Различные курсы, конференции, обучающие материалы позволяют собрать вокруг фреймворка большое количество разработчиков и спонсоров, которые заинтересованы в развитии инструмента и принимают в этом участие. Да, здесь чувствуется запах маркетинга, и неплохой.
  • Одним из самых очевидных плюсов Laravel, является гибкая система маршрутизации, позволяющая составить самые разные проверки маршрута веб-приложения. Вы можете выделить маршруты в специальные группы, использовать пространство имен, указать параметры маршрута, использовать регулярные выражения, настроить поддоменную маршрутизацию и многое другое.
  • В Laravel много синтаксического сахара. Синтаксис API фреймворка достаточно простой и понятный. Здесь нет длинных и сложных конструкций, а только краткие и продуманные названия функций.
  • Laravel содержит удобный механизм обработки ошибок и исключений.
  • Фреймворк включает в себя встроенные механизмы аутентификации и авторизации пользователей, которую можно перенастроить под свои потребности.
  • Laravel предоставляет из коробки механизмы для кэширования веб-приложения с помощью Memcached и Redis. Кроме этого есть удобные функции для использования простого файлового кэширования данных.
  • Laravel предоставляет чистый и простой API поверх популярной библиотеки SwiftMailer с драйверами для SMTP, Mailgun, SparkPost, Amazon SES и sendmail, чтобы сделать отправку почты через локальную или облачную службу по выбору. В том числе есть механизм для построения очередей отправки почты.
  • Laravel Cashier обеспечивает выразительный, свободный интерфейс к сервисам биллинга по подписке Stripe и Braintree.

Минусы

  • Для русскоязычных разработчиков, без знания английского языка или его слабым знанием, к минусам фреймворка можно отнести довольно небольшое количество статей, примеров кода, переводов официальной документации. Для тех, кто знает английский на уровне чтения технической документации, данный минус можно опустить.
  • Синтаксический сахар в Laravel как плюс, так может быть и минусом. Очень легко привыкнуть к нему и позабыть, как пишутся чистые запросы и функции.
  • Нарушение обратная совместимости между версиями фреймворка.
  • Не логичное расположение каталогов и файлов. Например, по умолчанию в прямо в каталоге /app расположена модель User.php, которую логичней было бы расположить в каталоге /app/Models. Каталог resources с файлами представления размещен в корне приложения, хотя логичней будет его разместить в /app/resources.

Resource-based авторизация

Как уже говорилось ранее, policy-based авторизация выполняется Core MVC в filter pipeline, т.е. ДО вызова защищаемого action. Успех авторизации при этом зависит только от пользователя — либо он обладает нужными claim, либо нет. А что, если необходимо учесть также защищаемый ресурс и его свойства, получить какие данные из внешних источников?

Пример из жизни: защищаем action вида GET /Orders/{id}, считывающий по id строку с заказом из БД. Пусть наличие у пользователя прав на конкретный заказ мы сможем определить только после получения этого заказа из БД. Это автоматически делает непригодными рассмотренные ранее аспектно-ориентированные сценарии на основе фильтров MVC, выполняемых перед тем, как пользовательский код получает управление. К счастью, в Core MVC есть способы провести авторизацию вручную.

Для этого, в контроллере нам потребуется реализацияIAuthorizationService. Получим ее, как обычно, через внедрение зависимости в конструктор:

public class ResourceController : Controller
{
    IAuthorizationService _authorizationService;
    public ResourceController(IAuthorizationService authorizationService)
    {
        _authorizationService = authorizationService;
    }
}

Затем создадим новую политику и handler:

Symfony

Symfony – свободный PHP фреймворк для быстрой разработки веб-приложений и решения рутинных задач веб-программистов. Разработка и поддержка фреймворка спонсируется французской компанией Sensio.

Symfony состоит из набора не связанных между собой компонентов, которые можно использовать повторно в проектах.

С помощью Symfony было разработано множество крупных проектов:

  • систем управления контентом: Magento, Drupal, Opencart
  • сервис социальных закладок Delicious
  • французский видеохостинг Dailymotion
  • движок форума phpbb

В том числе, Symfony повлиял на разработку фреймворка Laravel, где были задействованы его компоненты.

Symfony позволяет устанавливать сторонние пакеты, библиотеки, компоненты и настраивать их с помощью конфигурации в форматах YAML, XML, PHP, а также .env файлах.

Symfony не обеспечивает компонент для работы с базой данных, но обеспечивает тесную интеграцию с библиотекой Doctrine.

Symfony предоставляет функцию почтовой программы на основе популярной библиотеки Swift Mailer. Эта почтовая программа поддерживает отправку сообщений с ваших собственных почтовых серверов, а также с использованием популярных почтовых провайдеров, таких как Mandrill, SendGrid и Amazon SES.

Механизм интернационализации позволяет установить и произвести перевод сообщений веб-приложения на основе выбранного языка или страны.

Symfony предлагает систему логирования ошибок приложения, а также подключить библиотеку логирования Monolog.

Плюсы

  • Мощная экосистема вокруг фреймворка, с хорошим сообществом и множеством разработчиков.
  • Хорошая и постоянно обновляемая документация для всех версий фреймворка.
  • Множество различных не связанных компонентов для повторного использования.
  • Предлагает механизм функциональных и модульных тестов для нахождения ошибок в веб-приложении.
  • Подходит для сложных и нагруженных веб-проектов.электронной коммерции.

Минусы

  • Несмотря на хорошую документацию, фреймворк является сложным для изучения.

Yii фреймворк

Yii – это бесплатный объектно-ориентированный компонентный full-stack PHP фреймворк. В основе Yii лежит другой фреймворк – PRADO, написанный на ASP.NET и впоследствии перенесенный на PHP. Вскоре после построения новой архитектуры, фреймворк PRADO был переименован на Yii.

Yii можно использовать для разработки любого вида веб-приложений. Благодаря своей основе компонентов, архитектуре и сложной поддержки кэширования, фреймворк подходит для разработки крупномасштабных проектов, таких как порталы, форумы, системы управления контентом (CMS), систем электронной коммерции, RESTful веб-сервисов и т.д.

Yii реализует для использования MVC (Model-View-Controller) архитектурный шаблон и способствует организации кода на основе этого шаблона.

Yii является full-stack фреймворком, предоставляя множество проверенных и готовых к использованию функций: построитель запросов и ActiveRecord для реляционных и NoSQL баз данных, RESTful API, поддержку многоуровневого кэширования и т.п.

Yii чрезвычайно расширяемый фреймворк в котором можно заменить почти каждый кусочек кода и разрабатывать нужные расширения.

Yii предоставляет Gii – визуальный интерфейс для автоматической генерации контроллеров, моделей и отображений.

Плюсы

  • Для русскоязычных разработчиков большим плюсом фреймворка, является хорошая документация, множество статей с примерами кода и сообщество.
  • Yii не показатель одного человека,  фреймворк подкреплен сильной командой разработчиков ядра, а также большим сообществом профессионалов постоянно способствующих развитию Yii.
  • Yii способствует быстрому прототипированию веб-приложения. Он относится к инструментам RAID разработки.
  • Встроенный механизм создания виджетов представления, например, для размещения на сайте различных блоков: последние посты, категории, навигация, блоки рекламы и т.п.
  • Компонент приложения i18n позволяет производить автоматический перевод сообщений веб-приложения.
  • Встроенная поддержка автоматической валидации форм и вывода сообщений об ошибках на основе данных из моделей веб-приложения.
  • Механизм Active Record для построения реляционной обработки запросов базы данных.
  • Множество готовых расширений на Github и их установка через Composer
  • Встроенные виджеты для отображения данных: DetailView (строки в таблице), ListView (Список), GridView (таблицы)
  • Встроенные механизмы для аутентификации, авторизации, регистрации пользователей
  • Содержит встроенную и очень удобную debug панель.

Минусы

  • Слабая экосистема вокруг фреймворка среди англоязычного сегмента разработчиков. Сообщество слишком сильно размазано по разным местам: несколько форумов с небольшой активностью, stackoverflow и т.п.
  • Хоть фреймворк и позволяет делать код простым, но далеко не элегантным. Если его синтаксис сравнивать с фреймворком Laravel, то он уступает.
  • Yii отстает от языка, стандартов и других фреймворков. Новые обновления с действительно полезными функциями выходят не так часто.
  • Слишком большая связанность backend и frontend частей Yii2. Фреймворк предлагает использовать библиотеку jQuery и Bootstrap, которые встроены по умолчанию в ядро фреймворка. Этот минус планируется исправить в новой версии фреймворка Yii 3, сделав его компоненты менее связанными.
  • Не очень гибкая система маршрутизации: нет возможности сгруппировать роуты.

Дополнительные ресурсы

  1. Официальная документация django rest framework.
  2. Документация djoser.

Это конец этой долгой статьи. Я надеюсь, что с этой информацией вы также можете создать свой собственный RESTful API с помощью django.

Достоинства php-фреймворков

  • Производительность. Фреймворки ускоряют разработку. Например, PHP-фреймворк избавляет вас от необходимости писать запросы к базам данных. В фреймворках реализованы базовые функции CRUD, которые необходимы для работы с базами данных.
  • Масштабируемость. Написанные на фреймворках приложения легко масштабируются.
  • Удобство. Код фреймворков лаконичный, поэтому с ним просто работать. Поддерживать легче проект на фреймворке, чем на нативном PHP.
  • Простота. В PHP-фреймворках используются шаблоны проектирования (например, MVC). Это значительно упрощает разработку, делая процесс быстрее.
  • Безопасность. Приложения на фреймворках лучше защищены, чем приложения на чистом PHP.
  • Экономичность. В фреймворках реализован принцип DRY. Это позволяет разработчикам писать меньше кода.

Идентификатор клиента и секрет клиента

После регистрации приложения сервис создаст учётные данные клиента – идентификатор клиента (client ID) и секрет клиента (client secret). Идентификатор клиента представляет собой публично доступную строку, которая используется API сервиса для идентификации приложения, а также используется для создания авторизационных URL для пользователей.

Как выбрать

Какой именно PHP-фреймворк окажется самым подходящим зависит от масштабов и целей проекта. При выборе подобной платформы следует обратить внимание на ряд базовых показателей.

  1. Насколько широк и гибок функционал фреймворка. Есть ли в нем всё, что может потребоваться для текущего проекта.
  2. Легко лиосвоить фреймворк. С учётом уровня штатного (фриланс) разработчика.
  3. Скорость и современность — насколько фреймворк ориентирован на прогрессивные методы программирования. Например, есть ли поддержка объектно-ориентированного метода.
  4. Как масштабируется проект, созданный на фреймворке. Есть ли возможность написать структурируемый код для масштабируемых приложений.
  5. Как часто выпускаются обновления и имеется ли у фреймворка активно действующее сообщество.
  6. Существует ли у фреймворка сервис гарантированной долгосрочной поддержки релизов (LTS).
  7. Есть ли поддержка архитектуры MVC (Model ViewController / Модель-представление-контроллер).

Минусы

  • Слабая экосистема вокруг фреймворка среди англоязычного сегмента разработчиков. Сообщество слишком сильно размазано по разным местам: несколько форумов с небольшой активностью, stackoverflow и т.п.
  • Хоть фреймворк и позволяет делать код простым, но далеко не элегантным. Если его синтаксис сравнивать с фреймворком Laravel, то он уступает.
  • Yii отстает от языка, стандартов и других фреймворков. Новые обновления с действительно полезными функциями выходят не так часто.
  • Слишком большая связанность backend и frontend частей Yii2. Фреймворк предлагает использовать библиотеку jQuery и Bootstrap, которые встроены по умолчанию в ядро фреймворка. Этот минус планируется исправить в новой версии фреймворка Yii 3, сделав его компоненты менее связанными.
  • Не очень гибкая система маршрутизации: нет возможности сгруппировать роуты.

Настройки политик доступа

Создание политик доступа через рассмотренный выше fluent-интерфейс не дает той гибкости, которая требуется в реальных приложениях. Конечно, можно явно указать допустимые значения claim через вызов RequireClaim(“x”, params values), можно скомбинировать через логическое И несколько условий, вызвав RequireClaim(“x”).

RequireClaim(“y”). Наконец, можно навесить на controller и action разные политики, что, впрочем, приведет к той же комбинации условий через логическое И. Очевидно, что необходим более гибкий механизм создания политик, и он у нас есть: requirements и handlers.

services.AddAuthorization(options =>
{
    options.AddPolicy("age-policy", 
        policy => policy.Requirements.Add(new AgeRequirement(42), new FooRequirement()));
});

Обновление токена доступа

После истечения срока действия токена доступа все запросы к API с его использованием будут возвращать ошибку “Invalid Token Error”. Если при создании токена доступа был создан и токен для обновления токена доступа (refresh token), последний может быть использован для получения нового токена доступа от авторизационного сервера.

Ниже представлен пример POST-запроса, использующего токен для обновления токена доступа для получения нового токена доступа:

Общие принципы

Основным понятием в RBAC Yii является элемент авторизации. Элемент авторизации —
это права на выполнение какого-либо действия (создать новую запись в
блоге, управление пользователями). В зависимости от структуры и цели,
элементы авторизации могут быть разделены на операции,
задачи и роли.

Роль состоит из задач. Задача состоит из операций.
Операция — разрешение на какое-либо действие (дальше не делится).
К примеру, в системе может быть роль администратор, состоящая из задач
управление записями и управление пользователями.

Задача управление пользователями
может состоять из операций создать пользователя, редактировать пользователя и
удалить пользователя. Для достижения большей гибкости, роль в Yii может состоять
из других ролей и операций. Задача может состоять из других задач. Операция — из
других операций.

Элемент авторизации однозначно идентифицируется его уникальным именем.

Элемент авторизации может быть ассоциирован с бизнес-правилом — PHP-кодом,
который будет использоваться при проверке доступа. Пользователь получит доступ
к элементу только если код вернёт true. К примеру, при определении операции updatePost,
будет не лишним добавить бизнес-правило, проверяющее соответствие ID пользователя
ID автора записи. То есть, доступ к редактированию записи имеет только её автор.

Используя элементы авторизации мы можем построить иерархию авторизации.
Элемент A является родителем элемента B в иерархии, если
A состоит из B (или A наследует права, представленные в B).

После построения иерархии авторизации мы можем назначать роли из неё пользователям
нашего приложения. Пользователь получает все права роли, которая ему назначена.
К примеру, если назначить пользователю роль администратор, он получит административные
полномочия, такие как управление записями или управление пользователями
(и соответствующие им операции, такие как создать пользователя).

А теперь самое приятное. В действии контроллера мы хотим проверить, может
ли текущий пользователь удалить определённую запись. При использовании иерархии RBAC и
назначенной пользователю роли, это делается очень просто:

Особенности cakephp

Гибкая методология делает возможным разработку высококачественных корпоративных веб-приложений. Один из основных минусов PHP-фреймворка — сложность в изучении, вероятно отпугнет новичков. Однако, преимущества объектно-ориентированного способа программирования и расширяемая функциональность с интеграцией внешних библиотек стоят того, чтобы уделить изучению Zend более пристальное внимание.

Особенности fuel php

  • Многофункциональная, компонентная, объектно-ориентированная платформа с MVC архитектурой.
  • Присутствует собственная иерархическая архитектура HMVC.
  • Маршрутизация ссылок с повышенной защитой от уязвимостей и кэширование.
  • Поддержка PHP версии 5.4 и выше.
  • Собственная утилита командной строки.

Позиционируется как современный, быстрый и безопасный PHP-фреймворк с архитектурой HMVC. Первый выпуск был представлен в 2022 году. Он был предназначен для создания высокопроизводительных платформ под сайты формата read-only («только для чтения»).

К функциональным возможностям PHPixie относят реализацию валидации ввода, возможности авторизации, аутентификацию и кэширование. Из минусов можно отметить недостаточную развитость поддержки и малочисленность сообщества.

Особенности laravel

Обектно-ориентированный PHP-фреймворк Yii считается лидером по способности обеспечить производительность и часто выбирается для высоконагруженных приложений. С момента первого релиза в 2008 году, фреймворк непрерывно развивался в течении многих лет. Yii часто попадает в топ фреймворков PHP, благодаря сильно развитому сообществу пользователей, значительная часть которых — русскоговорящие.

Особенности phalcon

  • Основа всех компонентов — язык программирования C.
  • Взаимодействие с БД основано на технологии ORM.
  • Есть поддержка наиболее распространённых ОС — Linux, Windows, Mac.
  • Высокое быстрродействие, благодаря прямому взаимодействию фреймворка с внутренним структурам PHP.
  • Высокая производительность при минимальных ресурсных затратах и необходимых файловых операциях.
  • Стал основой для других популярных фреймворков — Kohana и Rain Framework.

Легкий стиль и элегантный код являются сильными сторонами этого «программного каркаса». Фреймворк характеризуется как простая и легкая в изучении среда, благодаря использованию оптимизированной системы CRUD. CakePHP будет оптимальным решением для создания визуально впечатляющих и функциональных сайтов.

Особенности phpixie

Это еще одна относительно популярная платформа известна как микрофреймворк PHP. Она предназначена для создания API-интерфейсов и веб-приложений, отличающихся одновременно простотой и высокой производительностью. Slim легок в освоении, обладает активной техподдержкой и развитой базой документации.

Это простой PHP-фреймворк отлично подойдёт для небольшого проекта, который не подразумевает обязательное использование других фреймворков. В функционал включены: URL маршрутизация, шифрование сеансов и cookie, HHTP кэширование и многое другое.

Особенности symfony

Полнофункциональная PHP-инфраструктура, в которой реализованы шаблоны проектирования веб-приложений с использованием архитектуры МVC. С момента появления в 2022 году, Phalcon был написан на языке С и С . В данное время поддерживается и версия, переписанная на Zephir.

Функционал фреймворка построен на оперировании PHP-классами, что позволяет достигать самых разнообразных целей в бекэнд-разработке. Документация по представлена как пошаговое руководство, но гораздо хуже стандартизирована.

Особенности yii

  • Гибкие механизмы генерирования исходного кода.
  • Полноценная реализация парадигмы MVC.
  • Интерфейсы работы с БД — DAO и ActiveRecord.
  • Есть функция полного или частичного кеширования страниц.
  • Присутствует возможность оперативного моделирования прототипа проекта для предпродажной демонстрации заказчикам.
  • Как и Laravel, поддерживает установку с помощью пакетного менеджера Composer.
  • Быстрая генерация кода с помощью браузерного элемента Gii.

Этот фреймворк с открытым кодом отличается элегантностью кода и простотой написания. Легкость в обучении и свобода оформления кода предоставляют отличные условия для быстрого старта проекта. CodeIgniter отлично подходит для создания PHP-приложений малого размера, которые можно легко масштабировать.

Плюсы

  • Достаточно неплохая и понятная документация.
  • Вокруг фреймворка создана мощная экосистема. Различные курсы, конференции, обучающие материалы позволяют собрать вокруг фреймворка большое количество разработчиков и спонсоров, которые заинтересованы в развитии инструмента и принимают в этом участие. Да, здесь чувствуется запах маркетинга, и неплохой.
  • Одним из самых очевидных плюсов Laravel, является гибкая система маршрутизации, позволяющая составить самые разные проверки маршрута веб-приложения. Вы можете выделить маршруты в специальные группы, использовать пространство имен, указать параметры маршрута, использовать регулярные выражения, настроить поддоменную маршрутизацию и многое другое.
  • В Laravel много синтаксического сахара. Синтаксис API фреймворка достаточно простой и понятный. Здесь нет длинных и сложных конструкций, а только краткие и продуманные названия функций.
  • Laravel содержит удобный механизм обработки ошибок и исключений.
  • Фреймворк включает в себя встроенные механизмы аутентификации и авторизации пользователей, которую можно перенастроить под свои потребности.
  • Laravel предоставляет из коробки механизмы для кэширования веб-приложения с помощью Memcached и Redis. Кроме этого есть удобные функции для использования простого файлового кэширования данных.
  • Laravel предоставляет чистый и простой API поверх популярной библиотеки SwiftMailer с драйверами для SMTP, Mailgun, SparkPost, Amazon SES и sendmail, чтобы сделать отправку почты через локальную или облачную службу по выбору. В том числе есть механизм для построения очередей отправки почты.
  • Laravel Cashier обеспечивает выразительный, свободный интерфейс к сервисам биллинга по подписке Stripe и Braintree.

Подготовительные работы

Здесь и далее на протяжении статьи, мы будем настраивать доступ для различных страниц веб-сайта. Для запуска представленного кода, достаточно создать в Visual Studio 2022 новое приложение типа “ASP.NET Core Web Application”, задать шаблон Web Application и тип аутентификации “No Authentication”.

Права доступа

Разрешения определяют, должен ли запросу быть предоставлен или запрещен доступ. Django rest framework поставляется с несколькими. Я не буду вдаваться в подробности, поскольку их документация достаточно обширна. Однако давайте обратим наше внимание на класс разрешений IsOwnerProfileOrReadOnly.

Это реализация пользовательских разрешений. Мы инициализируем файл license.py и наполняем его следующим кодом:

Представления api

Для доступа к данным в API мы используем конечные точки. Это в основном URL-маршруты. Как работает django, так это то, что каждый URL связан с контроллером, называемым представлением. Контроллеры могут быть на основе классов или функций.

После того, как маршрутизация определила, какой контроллер использовать для запроса, ваш контроллер отвечает за понимание запроса и соответствующий вывод.

Одной из реализаций этого контроллера в инфраструктуре отдыха являются общие представления. Они были разработаны как ярлык для общих моделей использования. Они берут определенные общие идиомы и шаблоны, найденные при разработке представления, и абстрагируют их, чтобы вы могли быстро написать общие представления данных без необходимости повторяться.

Некоторыми из этих представлений являются CreateAPIView, ListAPIView, ListCreateAPIView, RetrieveUpdateDestroyAPIView, и этот список можно продолжить.

Мы реализуем ListCreateAPIView и RetrieveUpdateDestroyAPIView.

Пример использования токена доступа

После того, как приложение получит токен доступа, оно может использовать этот токен для доступа к пользовательскому аккаунту через API сервиса с заданными ограничениями доступа до тех пор, пока не истечёт срок действия токена или токен не будет отозван.

Ниже представлен пример запроса к API с использованием curl. Обратите внимание, что он содержит токен доступа:

Разрешение на авторизацию

В абстрактном описании протокола выше первые четыре шага касаются вопросов создания разрешения на авторизацию и токена доступа. Тип разрешения на авторизацию зависит от используемого приложением метода запроса авторизации, а также от того, какие типы разрешения поддерживаются со стороны API. OAuth 2 определяет четыре разных типа, каждый из которых полезен в определённых ситуациях:

  • Код авторизации (Authorization Code): используется с серверными приложениями (server-side applications).
  • Неявный (Implicit): используется мобильными или веб-приложениями (приложения, работающие на устройстве пользователя).
  • Учётные данные владельца ресурса (Resource Owner Password Credentials): используются доверенными приложениями, например приложениями, которые являются частью самого сервиса.
  • Учётные данные клиента (Client Credentials): используются при доступе приложения к API.

Далее мы рассмотрим эти типы разрешения на авторизацию, примеры их использования.

Рейтинг фреймворков

Эта бесплатная платформа входит в число самых популярных PHP-фреймворков, благодаря своему активному развитию и простоте освоения. Новичкам, решившим осваивать его впервые, предоставляются комфортные условия поэтапного погружения в ниву вэб-девелопмента по широчайшему спектру проблем: начиная с обыкновенных рутинных заданий до сложных проектов интеграции и масштабирования приложений.

Сервер ресурсов / авторизации: api

Сервер ресурсов непосредственно хранит защищённые данные аккаунтов пользователей, а авторизационный сервер проверяет подлинность информации, предоставленной пользователем, а затем создаёт авторизационные токены для приложения, с помощью которых приложение будет осуществлять доступ к пользовательским данным.

С точки зрения разработчика приложения API сервиса одновременно выполняет и роль сервера ресурсов и роль сервера авторизации. Далее мы будем считать эти две роли одной, и называть её Сервис или API.

Сериализаторы

С базовыми настройками давайте перейдем к реализации API. Если вы новичок в django, сериализаторы позволяют преобразовывать сложные данные, такие как наборы запросов и экземпляры модели, в собственные типы данных Python, которые можно легко преобразовать в форматы, такие как JSON. Это называется сериализацией. Они также позволяют десериализацию после первой проверки данных входящего запроса.

В каталоге приложения мы запустим файл serializers.py и введем следующий код:

Создание проекта

Прежде чем продолжить, давайте посмотрим на некоторые из конечных точек, которые мы будем использовать в этом разделе.

Это может показаться трудным, но хорошая новость в том, что djoser сделал для нас большую часть тяжелой работы. Все конечные точки, начинающиеся с auth, генерируются djoser.

Возвращаясь к первой части серии, мы установили несколько пакетов Python. Нам нужно добавить эти пакеты в файл settings.py проекта, чтобы использовать их в нашем проекте django.

Тип разрешения на авторизацию: учётные данные владельца ресурса

При этом типе разрешения на авторизацию пользователь предоставляет приложению напрямую свои авторизационные данные в сервисе (имя пользователя и пароль). Приложение, в свою очередь, использует полученные учётные данные пользователя для получения токена доступа от сервиса.

Этот тип разрешения на авторизацию должен использоваться только в том случае, когда другие варианты не доступны. Кроме того, этот тип разрешения стоит использовать только в случае, когда приложение пользуется доверием пользователя (например, является частью самого сервиса, или операционной системы пользователя).

Тип разрешения на авторизацию: учётные данные клиента

Тип разрешения на авторизацию с использованием учётных данных клиента позволяет приложению осуществлять доступ к своему собственному аккаунту сервиса. Это может быть полезно, например, когда приложение хочет обновить собственную регистрационную информацию на сервисе или URI перенаправления, или же осуществлить доступ к другой информации, хранимой в аккаунте приложения на сервисе, через API сервиса.

Хранение паролей в базе данных

Безопасное хранение паролей в базе данных требует определённой аккуратности. Атакующий, получивший доступ к базе или
резервным копиям, может восстановить пароли, используя достаточно распространённые приёмы, если от них не защититься.
Пример кода выше использует встроенный класс CPasswordHelper, доступный с версии 1.1.14, для хеширования и проверки
пароля. CPasswordHelper::hashPassword возвращает стойкий ко взлому хеш.

Шаг 1: ссылка для неявной авторизации

При неявном типа разрешения на авторизацию пользователю предоставляется ссылка, запрашивающая токен у API. Эта ссылка выглядит почти так же, как ссылка для предыдущего способа (с кодом авторизации), за исключением того, что запрашивается токен вместо кода (обратите внимание на response type “token”):

Шаг 6: токен доступа передаётся приложению

Пользовательский агент запускает скрипт извлечения токена доступа, а затем передаёт извлечённый токен приложению.

Теперь приложение авторизовано! Оно может использовать токен для доступа к пользовательскому аккаунту через API сервиса с заданными ограничениями доступа до тех пор, пока не истечёт срок действия токена или токен не будет отозван.

Zend framework

Zend Framework – это свободный объектно-ориентированный PHP фреймворк для разработки веб-приложений, разработанный и поддерживаемый компанией Zend. Данный фреймворк как правило больше всего используют при разработке крупных коммерческих проектов.

Основным спонсором Zend Framework является Zend и компания Rogue Wave , но многие другие внесли компоненты или важные функции в платформу. Такие компании, как Google, Microsoft и StrikeIron, сотрудничают с Zend для предоставления интерфейсов для веб-сервисов и других технологий, которые они хотят сделать доступными для разработчиков ZF.

Компания Zend участвует в разработке ядра языка программирования PHP.

В качестве менеджера зависимостей пакетов Zend Framework использует Composer. Для тестирования веб-приложения применяется PHPUnit, а для непрерывной интеграции служба Travis CI.

Вывод

Laravel на данный момент является наиболее перспективным PHP фреймворков и подходит для создания как небольших, так и крупных веб-проектов.

Заниматься разработкой новых проектов на Yii2 по прежнему можно, как и продолжать вести существующие проекты. Версия 3 пока еще находится в разработке, поэтому Yii находится в пролете и лучше для этого взять другой фреймворк, например, Laravel.

Symfony и Zend Framework лучше всего использовать для крупных коммерческих проектов с длительным периодом разработки.

CodeIgniter не умер, а новые владельцы продолжают развитие CodeIgniter 4.

Очень важным фактором в развитии фреймворков является коммерческая направляющая вокруг фреймворка. Если у него нет спонсоров, то рано или поздно, команда разработчиков попросту потеряет всякий интерес к участию в развитии фреймворка. Немалую роль в развитии фреймворка является маркетинг. Нет популярности и пиара вокруг фреймворка, а значит и нет разработчиков, заинтересованных в развитии фреймворка.

PHP фреймворки являются незаменимым инструментом для быстрого возведения фундамента любого сайта. Они помогут ускорить процесс разработки и сделать качественный проект, избежав программирования всех частей с нуля. Использовать или не использовать тот или иной PHP фреймворка – ваше решение.

Особенности zend framework

  • Многофункциональная, компонентная, объектно-ориентированная платформа с MVC архитектурой.
  • Полная E_STRICT-совместимость всех компонентов фреймворка.
  • Много встроенных библиотек, позволяющих легко взаимодействовать со сторонними приложениями.
  • Несвязанные компоненты можно повторно использовать в других приложениях.
  • Высокая степень интернационализации.

Это гибкий и полнофункциональный PHP-фреймворк, который начали разрабатывать в 2022, а официальный запуск произвели в 2022 году. Отличается тем, что на платформе используется собственная архитектура MVC, называющаяся иерархической — HMVC.

По фреймворку представлена подробная документация, которая станет подспорьем для быстрого начала разработки.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *