驗證用戶的身份/驗證PHP OO

Question

在此處進行另一個討論，瞭解如何進行身份驗證或更有可能進行身份驗證。誰應該認證用戶。

考慮下面的代碼示例：

<?php 
class User { 
    public function isValid($username, $password) { 
     //Logic to check if username/password match 
     $this->setId($id); 
    } 
} 

與

<?php 
class Auth { 
    public function isValid($username, $password) { 
     //Logic to check if username/password match 
     $user = new User; 
     $user->setId($id); 
     return $user; 
    } 
    } 

我personnaly給下面的例子，爲什麼在這種情況下，＃1不好： 如果允許用戶驗證自理。他們會走進電影院。他們可以走進任何電影。只要對自己說，他們是有效的。

其中第二個示例有一個外部對象檢查用戶的有效性。因此更「啪」

請注意，我在OOP編程中沒有任何教育，這可能是我在'08或'09開始編碼時讀回的東西:)我希望這裏有些人知道我的意思，並且可以然後解釋這裏的好/壞做法。

由於正在進行

Answer 1

邏輯應不是對用戶有兩個原因：

1. 其耦合以一定的後端驗證到用戶
2. 所述方法外部的參數，而不是對象成員操作邏輯。

現在，你可以做

class User … 
    public function authenticate(Authenticable $adapter) 
    { 
     $this->isAuthenticated = $adapter->authenticate(
      array(
       'username' => $this->username, 
       'password' => $this->password, 
      ) 
     ); 
    } 
} 

但這個蘊藏着一個問題：爲什麼（以及如何）分離認證邏輯（1）和工作的對象成員（2）密碼應完全存儲在用戶上。你當然不想在那裏有明文。在我看來，密碼的哈希不是用戶的責任。事實上，如果你不添加salt給用戶，那麼你不能在用戶中進行哈希，這是我不會想到的典型用戶屬性。您可以散列密碼以在$ adapter中使用salt來重新散佈它，但那只是治癒症狀。在OOP中，對象方法應該對一個對象的成員進行操作。但是，如果密碼首先不應該是用戶的成員，則使用它的方法不應該在用戶（cohesion）上。不用說，如果您使用的是ActiveRecord，您可能會擁有類似上述的內容，或者將身份驗證方法作爲用戶的靜態方法，然後返回實例。就個人而言，我不喜歡AR和靜態方法，所以我會用一個單獨的Authentication Service類來爲我返回Users。

Answer 2

你User對象將是用戶配置文件的模型，拿着詳細信息，如用戶名，密碼，電子郵件等，但理論上可以有網站上的資料，而不需要連接，要一個登錄名（可能只有一個主管理員可以編輯配置文件）。

您的Auth類將處理登錄檢查，因爲我想這也將處理設置和刪除用戶會話，這是與實際用戶配置文件分開的。

• User =模型用戶數據
• Auth =邏輯認證

認爲它這樣，如果你決定怎麼改您的個人資料認證作品（或許刪除自己的登錄過程，用Twitter OAuth替換它），將認證邏輯從用戶配置文件中分離出來可以使這更容易。

Answer 3

你是對的，因爲在一個人看電影時，一個人認證自己並不常見。在你與同事的爭論中，你可能想要概括一下：

誰負責認證 用戶？

這是一個問題，你可以問問自己，每當你似乎卡住了設計問題。我並不是說這是一個能夠回答你所有問題的規則，但它在很多情況下都能清除困擾的問題，你的問題就是一個很好的例子。

您可能還需要閱讀這樣的文字：

http://lizkeogh.com/2009/07/01/pixie-driven-development/