99 lines
3.3 KiB
Markdown
99 lines
3.3 KiB
Markdown
# API Key 认证流程
|
||
|
||
## 概述
|
||
|
||
API Key 认证是系统支持的两种认证方式之一(另一种是 JWT)。客户端通过 `X-API-Key` 请求头传递明文 key,中间件负责解析、校验并将认证用户注入到 request attribute 中,供下游中间件和控制器使用。
|
||
|
||
## API Key 格式
|
||
|
||
明文格式:`{user_id}#{token}`
|
||
|
||
- `user_id`:用户 ID(整数)
|
||
- `#`:分隔符
|
||
- `token`:64 字符十六进制随机串(`bin2hex(random_bytes(32))`)
|
||
|
||
示例:`42#a3b5c7d9e1f2...`(完整 token 为 64 字符)
|
||
|
||
数据库仅存储 token 的 SHA-256 哈希值(`key_hash`),不存储明文。明文仅在生成时返回给用户一次。
|
||
|
||
## 认证流程图
|
||
|
||
```mermaid
|
||
flowchart TD
|
||
A["请求进入 AuthMiddleware"] --> B{"有 Bearer Token?"}
|
||
B -- 是 --> JWT["JWT 认证路径"]
|
||
B -- 否 --> C{"有 X-API-Key 头?"}
|
||
C -- 否 --> R401_NO["401 未授权,请先登录"]
|
||
C -- 是 --> D["解析明文 key"]
|
||
|
||
D --> E{"包含 # 分隔符?"}
|
||
E -- 否 --> R401_FMT["401 API Key 无效或已过期"]
|
||
E -- 是 --> F["拆分 user_id 和 token sha256(token) → key_hash"]
|
||
|
||
F --> G["查询 api_keys 表WHERE (user_id, key_hash)AND 未过期"]
|
||
G --> H{"记录存在?"}
|
||
H -- 否 --> R401_KEY["401 API Key 无效或已过期"]
|
||
H -- 是 --> I{"key.enabled?"}
|
||
|
||
I -- false --> R403_KEY["403 该 API Key 已被禁用"]
|
||
I -- true --> J["加载关联 user"]
|
||
J --> K{"user 存在且user.status = 1?"}
|
||
|
||
K -- 否 --> R403_USER["403 账号已被禁用"]
|
||
K -- 是 --> L{"user.api_key_enabled?"}
|
||
|
||
L -- false --> R403_FEAT["403 API Key 功能未启用"]
|
||
L -- 是 --> M["认证成功"]
|
||
|
||
M --> N["更新 last_used_at"]
|
||
N --> O["注入 request attribute\nauth_user → User\nauth_type → 'api_key'"]
|
||
O --> P["写入协程 Context"]
|
||
P --> Q["放行到下游 handler"]
|
||
|
||
style R401_NO fill:#fdd,stroke:#c00
|
||
style R401_FMT fill:#fdd,stroke:#c00
|
||
style R401_KEY fill:#fdd,stroke:#c00
|
||
style R403_KEY fill:#fdd,stroke:#c00
|
||
style R403_USER fill:#fdd,stroke:#c00
|
||
style R403_FEAT fill:#fdd,stroke:#c00
|
||
style M fill:#dfd,stroke:#0a0
|
||
style JWT fill:#def,stroke:#08c
|
||
```
|
||
|
||
### 关键 SQL
|
||
|
||
解析阶段的数据库查询走 `(user_id, key_hash)` 联合索引,单次精确命中:
|
||
|
||
```sql
|
||
SELECT * FROM api_keys
|
||
WHERE user_id = {user_id}
|
||
AND key_hash = {hash}
|
||
AND (expires_at IS NULL OR expires_at > NOW())
|
||
LIMIT 1
|
||
```
|
||
|
||
## 数据查询汇总
|
||
|
||
整个认证流程涉及 2 次数据库查询 + 1 次写入:
|
||
|
||
| 操作 | SQL | 说明 |
|
||
|------|-----|------|
|
||
| 查找 API Key | `SELECT FROM api_keys WHERE (user_id, key_hash)` | 联合索引精确匹配 |
|
||
| 加载关联用户 | `SELECT FROM users WHERE id = {user_id}` | `$api_key->user` 懒加载 |
|
||
| 更新使用时间 | `UPDATE api_keys SET last_used_at = NOW()` | 记录最后使用时间 |
|
||
|
||
## 下游消费
|
||
|
||
认证完成后,下游代码通过以下方式获取认证用户:
|
||
|
||
- **中间件**:`$request->getAttribute('auth_user')` 或从 Context 读取
|
||
- **控制器**:`$this->getAuthUser()`(AbstractController 提供,含 JWT guard 兜底)
|
||
|
||
## 相关文件
|
||
|
||
| 文件 | 职责 |
|
||
|------|------|
|
||
| `app/Middleware/AuthMiddleware.php` | 认证入口,执行校验链 |
|
||
| `app/Model/ApiKey.php` | key 解析、DB 查询、格式定义 |
|
||
| `app/Controller/AbstractController.php` | `getAuthUser()` 统一用户获取 |
|