Yii2

Как-то в рабочей беседе один мой коллега-программист заметил, что всевозможные принципы и паттерны проектирования ПО хорошо применять, когда делаешь тестовые задания, однако в реальных, боевых проектах они как правило неприменимы. Почему так? Основных причин две:

• Реализация принципов и паттернов требует слишком много времени.

• Код становится тяжеловесным и сложным для понимания.

В серии статей На практике я попробую развеять эти предубеждения, продемонстрировав кейсы, реализующие принципы проектирования в практических задачах таким образом, чтобы этот код не был слишком сложным и на его написание уходило разумное количество времени. Вот первая статья из этой серии.

Отправная точка

Работаем над проектом на Yii2, в котором для доступа к данным используетсяActiveRecord. Клиентский код загружает некий набор данных, используя методActiveRecord::find().

classClientClass{  // Много кода... publicfunctionbuildQuery():ActiveQueryImplementation { $query=ActiveRecordModel::find(); // Получаем экземплярActiveQueryиз модели $query->active()->unfinished(); // Применяем условия, реализованные в конкретном классеActiveQuery   return$query; // Далее результаты построенияActiveQueryиспользуются для получения выборки из БД, например $query->all(); }  // Много кода...}

Этот код применяет к экземпляру, реализовывающемуActiveQueryInterface, фиксированный набор условий и возвращает сконфигурированный таким образом экземпляр для дальнейшего использования.

А если нужно добавить новые условия в запрос?

Придерживаясь традиционного подхода, мы добавим вызовы методов с новыми условиями прямо в строку, применяющую эти условия к запросу.

$query->active()->unfinished()->newConditionA()->newConditionB();

Вуаля! Пять секунд работы, и мы получили изящный, легко читаемый код.

Но что если эти условия нужны не во всех случаях, когда вызывается наш метод? Что если условия к запросу нужно применять динамически?

Тут нас ждут определенные трудности. Очевидно, что при таком подходе весь клиентский код, использующий наш метод, будет получать запрос, к которому уже применены новые условия. Почему так получилось? Потому что мы...

Нарушаем принцип открытости-закрытости

Напомню, что принцип открытости-закрытости SOLID гласит:

Код должен быть открытым для дополнения и закрытым для изменения.

Мыизмениликод нашего метода таким образом, что он начал выдаватьдругиерезультаты.

А как сделать правильно?

Чтобы соблюсти принцип открытости-закрытости, нам нужно было бы предусмотреть возможность в случае необходимостидополнятькод таким образом, чтобы добавлять в него новые условия, не внося изменений в логику работы метода по умолчанию и не меняя его исходный код.

Для этого изменим код нашего метода следующим образом.

classClientClass{  /**  * @varActiveQueryFilter[]  */ public$filters= []; // Добавляем возможность сконфигурировать экземпляр класса массивомфильтров  // Много кода... publicfunctionbuildQuery():ActiveQueryImplementation { $query=ActiveRecordModel::find(); $query->active()->unfinished();   $this->applyFilters($query);// Применяем фильтры к запросуreturn$query; } privatefunctionapplyFilters(ActiveQueryImplementation&$query):void  {   foreach($this->filtersas$filter){     $filter->applyTo($query);    }  }  // Много кода...}

Определим интерфейсActiveQueryFitlerпредполагает единственный метод applyTo(), применяющий дополнительные условия к запросу в качестве побочного эффекта.

interfaceActiveQueryFilter{ publicfunctionapplyTo(ActiveQuery$query):void;}

Теперь для добавления в запрос новых условий нам достаточно добавить соответствующую реализацию интерфейсаActiveQueryFilter.

classNewConditionsAAndBFilterimplementsActiveQueryFilter{ publicfunctionapplyTo(ActiveQuery$query):void  {    $query->newCondtionA()->newConditionB();  }}

Что мы имеем в итоге

• Мы решили стоящую перед нами задачу,дополнивпервоначальный метод всего одним вызовом (минимальное вмешательство в первоначальный код).

• Поведение по умолчанию исходного метода не изменилось.

• Вызываемый из исходного метода новый методapplyFilters() не реализовывает собственной логики вся логика делегируется классам фильтров. Таким образом, мы оставили неизменным и поведение всего исходного класса.

Привет, сообщество!

Это первый выпуск новостей в 2021. Начало года вышло продуктивным. Мы начали активно релизить пакеты Yii 3, есть значительный прогресс с пока не релизнутыми пакетами. Улучшили инструментарий разработки, много всего исправили, убили лишние пакеты. И всё это параллельно с поддержкой Yii 2 и решением проблем с финансированием.

Команда и фонд

Несмотря на то, что 2020 был через край долбанутым, для Yii всё вышло неплохо. Удалось договориться о продлении поддержки Yii 1.1 и других вещах в обмен на единовременное или постоянное пополнение фонда.

Эти соглашения и, конечно же,наши любимые спонсоры, позволили команде меньше работать над коммерческими проектами и больше над фреймворком. Фонд удалось использовать полностью.

Я был чрезвычайно воодушевлён возросшей скоростью разработки, окунулся в неё с головой и немного подзабыл о финансовой части. В январе меня ждал неприятный сюрприз. Оказывается, что забыл я про очень важный факт. А именно, что немаленькая часть средств фонда поступила не рекуррентными платежами. Соответственно, бюджета на всё не хватило. Чтобы не случилось полной катастрофы, я перестал забирать деньги фонда с OpenCollective и начал активно искать партнёров среди компаний, которые используют Yii и PHP. Результаты пока спорные, но, надеюсь, всё наладится.

Если хотите пообщаться на тему партнёрства, пишите вsam@rmcreative.ru.

Yii 2

Вышел Yii 2.0.41. Сильно помогли с релизомPawe Brzozowski, недавно присоединившийся к команде Yii 2, иRobert Korulczykс его тщательными ревью всего вливаемого в master кода. Много часов было потрачено на безопасность фреймворка. Удалось перебрать текущие сообщения о предполагаемых уязвимостях иулучшить безопасность.

Yii 3

Прежде всего, релизы:

• Event dispatcher 1.0.0

• Test support 1.1.0 and 1.2.0

• CSRF 1.0.0

• Auth 2.0.0

• JWT auth 1.0.0

• Strings 1.2.0and2.0.0

• Arrays 1.0.0

• Cache and its drivers 1.0.0

• Request body parser 1.0.0

• Files 1.0.0

• Var dumper 1.0.0

• Log and its drivers 1.0.0

В каждом пакете есть документация, отличное покрытие тестами, код вычищен и, конечно же, публичное API достаточно стабилен.

Ну а теперь время рассмотреть интересные изменения с предыдущего выпуска новостей. Для удобства изменения сгруппируем по пакетам.

Arrays

• ДобавленArrayHelper::pathExists().

• ДобавленArrayHelper::group(). Это алиасArrayHelper::index().

• Удалены модификаторы.

Data

• Добавлен DeletableInterface.

• ВPaginatorInterfaceи реализации добавленgetSort().

• Класс Sort теперь инстанциируется через статические методы-конструкторы, меняющие режим работы.

Auth

• IdentityRepositoryInterface::findIdentityByToken()был выделен вIdentityWithTokenRepositoryInterface. Также, теперь можно настроить токен.

• Был отрефакторен пакет аутентификации JWT.

Config plugin

После большого количества попыток улучшитьComposer config pluginстало очевидно что он стал слишком сложным: AST, мёрж конфигов и всё что там творилось под капотом. Мы приняли решение сделать его менее зависимым от пакетов yiisoft и сделатьновый, более простой и производительный, пакет.

Все шаблоны приложений уже были переведены на новые конфиги. Скорее всего нужно будет исправлять баги и повышать удобство использования пакета.

Error handler

• Рефакторинг, ридми.

• Поддержка Xdebug 3 для получения более подробных стектрейсов.

• ExceptionResponder, при помощи которого можно формировать HTTP-ответ в зависимости от пойманной ошибки. Это может быть полезно для исключений вродеNotFoundException. Будут ли такие исключения из коробки пока обсуждаем.

• Renderer-ы теперь могут отдавать HTTP-заголовки, добавлен renderer, который выводит ошибку в заголовках. Полезно если показывать ошибки текстом неудобно. Например, для некоторых API или при генерации картинок.

• Элементы stacktrace для классов изvendorтеперь отображаются отдельной группой и по умолчанию свёрнуты. Так как ошибки обычно в самом приложении, это позволяет не отвлекаться на нерелевантную информацию.

Обработка ошибок в общем

• В пакетyiisoft/yii-eventдобавленрежим отладки. В нём проверяются все обработчики событий сразу.

• Улучшены ошибки DI контейнера.

Strings

• ДобавленNumericHelper::isInteger().

• Добавлена поддержкаboolвNumericHelper::normalize().

• Был переработан матчинг по wildcard. Вместо довольно большого количества опций добавили**, совпадающий, в том числе, с сепараторами.

Var dumper

• Улучшена поддержка PHP 8.

• VarDumper::dump()теперь, по умолчанию, подсвечиваем код.

• УдалёнVarDumper::asPhpString().

• Весь специфичный для Yii debugger код был перенесён в сам пакет.

• Покрыты все найденные интересные случаи при экспорте замыканий.

• При установке пакета становятся автоматически доступныd()иdd().

Html

Пакет был значительно переработан. Главных изменений два:

1. Вывод по умолчанию экранируется.

2. Теги реализованы как отдельные объекты, создаваемые через статические методы-фабрики из Html. Для пользователя это значит, что конфигурация теперь производится через вызов методов. То есть теперь IDE это дополняют и проверяют.

Валидатор

Много рефакторинга. Самое интересное:

• Из Rule выделены интерфейсы.

• Из Validator убрано состояние.

• Реализована валидация вложенных структур.

• Улучшена реализация перевода ошибок

• Возможность определять правила валидации прямо в валидируемом объекте.

• Можно валидировать любые данные, не обязательно DataSetInterface.

• Правило InRange разделено на InRange и Subset.

Формы

• Атрибут "required" теперь добавляется к input-ам на основе правил валидации.

• Из-за изменений в валидаторепоменялся способ валидации форм.

Перевод сообщений

Почти готов к релизу. Можете почитатьего readme.

Mailer

Mailerиадаптер для SwiftMailerбыли вычищены и отрефакторены. Добавлена документация. Релизнем как только будут готовы зависимости.

DB и ActiveRecord

В обоих пакетах были исправления, оба ещё больше покрыли тестами. Wilmer, член команды, который занимался этими пакетами, уже проверил из в бою на Telegram боте с 120 тысячами запросов в сутки.

Оба пакета изначально были портированы из Yii 2 почти как есть. Была убрана магия, добавлены типы, покрытие тестами доведено почти до 100%. Но, несмотря на то что пакеты стали даже лучше, чем Yii 2, дизайн сохранился примерно в том же виде. Нам предстоит трудный выбор, релизить ли первую версию как есть или же сначала затеять гигантский рефакторинг.

Скорее всего выберем первое.

yii-web

• Middleware теперь иммутабельны.

User

Значительно переделали пакет:

• Один

• Два

• Три

Всё ещё не до конца довольны. Скорее всего будем переделывать ещё.

Bootstrap и Bulma

• Убили пакет Bootstrap 4.

• В Bootstrap добавили виджет Toast.

• В Bulma добавили виджет Panel

• Все методы конфигурации сделали иммутабельными.

• Оба пакета адаптированы к изменениям в пакете HTML.

Консоль

Появиласьвозможность добавлять команды со своим именем.

Debugger

Есть прогресс как в API, так и на фронтенде.

• Сбор данных стал ещё более стабильным.

• Начали собирать данные с роутера.Для этого используется container proxy, что позволило совсем не менять сам пакет роутера.

• Добавлена консольная команда для сброса собранных данных.

• На фронтенде добавили сортировку в списке запросов.

Docker

Добавлена поддержка PHP 8.

Инструментарий разработки фреймворка

Улучшилиинструментарийчтобы можно было удобно работать даже не поставив все пакеты. Улучшили точность фиксера зависимостей. Добавили новую командыrelease/what. Она подсказываем какой пакет релизить следующим. Приоритет отдаётся пакетам без нестабильных зависимостей и, при этом, блокирующих как можно больше релизов других пакетов.

Шаблоны приложений

• К веб-шаблонам применён view injection.

• Layout влит в один файл.

• Решили называть роут индексной страницы "home".

• Применили новый yiisoft/config.

• Реализовали концепт application runner.

• Добавили проверку обработчиков событий.

• Убрали демо-части изapp-apiвdemo-api.

• Перестали создавать формы при помощи контейнера.

Новая и обновлённая документация

• DI container readme

• 010 - Code Style

• 017 - Tags

• 018 - Widgets

• 019 - View code style

• Configuring SSL peer validation

• Handling errors

• Mailing

Почитать-посмотреть

• Building E-commerce website with Yii2.

• Вышел RoadRunner 2.

• 647 проектов на YiiPowered.

• Черновик интерактивного шелла для Yii 3.

• Пакет для превращения в ссылки email-ов и URL-ов в тексте.

• Does it belong in the application or domain layer?.

• Object properties and immutability.

• Contract tests.

Спасибо!

Хочу сказать спасибо всем спонсорам и разработчикам, благодаря которым стала возможна разработка Yii 3. Вместе у нас всё получится.

Я понял, что ранее не писал о компаниях, которые поддерживают разработку Yii. Вот самые большие спонсоры с коротким описанием:

• CraftCMS- Отличная OpenSource CMS на Yii2.

• Onetwist Software- Услуги качественной разработки приложений.

• SkillShare- Обучение новым навыкам.

• Betteridge- Ювелирные изделия.

• dmstr- Облачные решения на основе Docker.

• HumHub- OpenSource решения для общения команды.

• JetBrains- Отличные инструменты для разработки.

• Skin.Club- Рынок скинов для CS:GO.

• ЭФКО- фудтех, производство продуктов питания, и венчурные инвестиции. С недавнего времени ещё и ЭФКО-тех, отдельная растущая сервисная IT-компания, которая планирует заниматься не только внутренними проектами ЭФКО.

Кроме перечисленных нас поддерживаютотдельные разработчики и другие компании.

Отдельное спасибо тем, кто помог Yii 3 кодом:

• Wilmer Arambula.

• Rustam Mamadaminov.

• Viktor Babanov.

• Valerii Gorbachev.

• Evgeniy Zyubin.

• Roman Tsurkanu.

• Aleksei Gagarin.

• Dmitry Derepko.

• Alexander Nekrasov.

• yiiliveext.

• Sergei Predvoditelev.

• mj4444ru.

• Michael Hrtl.

• Vitalii Shkolin.

• Insolita.

• Leonid Chernenko.

• Anton Samoylenko.

• Mister 42.

• Evgeniy Tkachenko.

• Julian Schmidt.

• Artur Avdonin.

• l317crew.

• Arman Poghosyan.

• Dmitry Naumenko.

• Andrii Dembitskyi.

• Alexey Gevondyan.

• Milen Hristov.

• Sagittaracc.

• Marko Kaznovac.

• kriptonuz.

В digital-агентстве Convergent, где я работаю, в потоке множество проектов, и у каждого из них может быть собственная админка. Есть несколько окружений (дев, стейдж, лайв). А ещё есть разные внутрикорпоративные сервисы (как собственной разработки, так и сторонние вроде Redmine или Mattermost), которыми ежедневно пользуются сотрудники.

Наша команда всегда была распределённой между несколькими офисами, но с учётом событий последнего года все сотрудники перешли на удалёнку. Так мы столкнулись с необходимостью организовать всё многообразие внутренних и клиентских сервисов в единой системе.

В данной статье я хочу поделиться опытом создания собственной внутренней системы аутентификации на основе OpenResty, а также спецификации OAuth2. В качестве основного языка программирования мы используем PHP, а фреймворк Yii 2.

Суммирую необходимый функционал:

• Единое место управления всеми доступами. Здесь происходит выдача и отзыв доступов в административные панели сайтов и списки доменов;

• По умолчанию весь доступ запрещён, если не указано обратное (доступ к любым доменам контролируется с помощью OpenResty);

• Аутентификация для сотрудников;

• Аутентификация для клиентов.

Закрытый доступ к сайтам и инфраструктуре

Начну со схемы, как мы организовали инфраструктуру доступов.

Первое, что нужно было сделать, это закрыть доступ по умолчанию ко всем тестовым окружениям и инфраструктурным сервисам. Сотрудники в таком случае могут получить доступ ко всему путём добавления своего IP в вайтлист (об этом позже), а клиенты получают доступ точечно.

Фронт-контроллером в данном случае выступает OpenResty это модифицированная версия nginx, которая в т. ч. поддерживает из коробки язык Lua. На нём я написал прослойку, через которую проходят все HTTP(s)-запросы.

Вот так может выглядеть код скрипта аунтентификации (в упрощенном варианте):

function authenticationPrompt()    ngx.header.www_authenticate = 'Basic realm="Restricted by OpenResty"'    ngx.exit(401)endfunction hasAccessByIp()    local ip = ngx.var.remote_addr    local domain = ngx.var.host    local port = ngx.var.server_port    local res, err = httpc:request_uri(os.getenv("AUTH_API_URL") .. "/ip.php", {        method = "GET",        query = "ip=" .. ip .. '&domain=' .. domain .. '&port=' .. port,        headers = {          ["Content-Type"] = "application/x-www-form-urlencoded",        },        keepalive_timeout = 60000,        keepalive_pool = 10,        ssl_verify = false    })    if res ~= nil then        if (res.status == 200) then            session.data.domains[domain] = true            session:save()            return true        elseif (res.status == 403) then            return false        else            session:close()            ngx.say("Server error: " .. res.body)            ngx.exit(500)        end    else        session:close()        ngx.say("Server error: " .. err)        ngx.exit(500)    endendfunction hasAccessByLogin()    local header = ngx.var.http_authorization    local domain = ngx.var.host    local port = ngx.var.server_port    if (header ~= nil) then        header = ngx.decode_base64(header:sub(header:find(' ') + 1))        login, password = header:match("([^,]+):([^,]+)")        if login == nil then            login = ""        end        if password == nil then            password = ""        end        local res, err = httpc:request_uri(os.getenv("AUTH_API_URL") .. '/login.php', {            method = "POST",            body = "username=" .. login .. '&password=' .. password .. '&domain=' .. domain .. '&port=' .. port,            headers = {              ["Content-Type"] = "application/x-www-form-urlencoded",            },            keepalive_timeout = 60000,            keepalive_pool = 10,            ssl_verify = false        })        if res ~= nil then            if (res.status == 200) then                session.data.domains[domain] = true                session:save()                return true            elseif (res.status == 403) then                return false            else                session:close()                ngx.say("Server error: " .. res.body)                ngx.exit(500)            end        else            session:close()            ngx.say("Server error: " .. err)            ngx.exit(500)        end    else        return false    endendos = require("os")http = require "resty.http"httpc = http.new()session = require "resty.session".new()session:start()if (session.data.domains == nil) then    session.data.domains = {}endlocal domain = ngx.var.hostif session.data.domains[domain] == nil then    if (not hasAccessByIp() and not hasAccessByLogin()) then        session:close()        authenticationPrompt()    else        session:close()    endelse    session:close()end

Алгоритм работы скрипта довольно простой:

• Поступает HTTP-запрос от пользователя;

• OpenResty запускает скрипт auth.lua;

• Скрипт определяет запрашиваемый домен и отправляет два запроса на внешний бэкенд;

• Первый на проверку IP-адреса пользователя в базу;

• Если IP отсутствует, выводит браузерное окно для ввода логина и пароля, отправляет второй запрос на проверку доступа;

• В любой другой ситуации выводит окно Вход.

На GitHub я выложил рабочий пример, который можно быстро развернуть с помощью Docker.

Немного расскажу о том, как выглядит управление в нашей системе.

Отмечу, что IP-адреса попадают в базу при аутентификации пользователя. Это сделано специально для сотрудников. Такие адреса помечают как временные и доступные ограниченное время, после чего они удаляются.

В случаях, когда нужно разрешить межсерверное взаимодействие, через панель управления можно добавить IP-адреса вручную.

Для клиентов же создаются простые доступы по паре логин-пароль. Такие доступы ограничиваются в пределах определенных доменных адресов.

Управление базой сотрудников подтягивается в ID через синхронизацию с другой внутренней системой. Каждый новый сотрудник при добавлении в нашу CRM автоматически получает учётную запись в ID, а также все нужные письма с доступами и инструкциями для последующей настройки и работы.

Каждый день мы начинаем работу с данной аутентификации, таким образом добавляя свой IP-адрес в белый список для получения доступа к инфраструктуре.

Двухфакторная аутентификация

Для обеспечения двухфакторной аутентификации для сотрудников решено было добавить Google Authenticator. Такой механизм защиты позволяет больше обезопасить себя от утечки доступов. Для PHP есть готовая библиотека sonata-project/GoogleAuthenticator. Пример интеграции можно посмотреть здесь.

Интересный нюанс, с которым мы столкнулись в процессе, это зависимость генерируемого кода от времени на устройстве пользователя. Выяснилось, что у некоторых сотрудников время на смартфоне немного отличалось от реального.

OAuth и OpenID

Третье, и не менее важное для нас, создание OAuth-сервера. За основу мы взяли модуль thephpleague/oauth2-server. Для Yii 2 готового решения не было, поэтому написали собственную имплементацию сервера. OAuth2 достаточно обширная тема, расписывать её работу в данной статье не буду. Библиотека имеет хорошую документацию. Также она поддерживает различные фреймворки, включая Laravel и Symfony.

Таким образом, любой сторонний сервис, который поддерживает кастомные OAuth2 конфигурации, достаточно просто подключается к нашей системе. Значимой фишкой такой интеграции стало подключение нашего ID к Mattermost. Последний в бесплатной версии поддерживает только аутентификацию с помощью GitLab, которую удалось эмулировать через наш сервис.

Также для всех наших проектов на Yii был разработан модуль для подключения ID. Это позволило вынести всё управление доступами в админпанели для сотрудников в централизованное место. Кстати, если интересно, я писал статью о модульном подходе, который мы применили в нашем digital-агентстве.

Заключение

Процесс адаптации компании под новую систему был относительно сложный, т. к. это потребовало доработки инфраструктуры и обучения работе с системой всех сотрудников компании. Просто так сказать вот у нас теперь ID, пользуйтесь им не получится, конечно, поэтому весь процесс миграции был очень тщательно задокументирован, а я выступал в качестве технической поддержки первые пару месяцев. Сейчас, спустя время, все процессы наладились, были внесены корректировки и добавлены новые фичи (например, автоматические письма новым сотрудникам с доступами и инструкциями).

Самое главное получилось создать для сотрудников единую учётную запись для всех внутренних и внешних систем, которыми пользуемся в работе, а также автоматизировать процесс получения этой учётной записи и всей нужной информации сразу же в первый день работы новых сотрудников.

Ссылки по теме

• Мой пример Basic Digest аутентификации на Lua и OpenResty

• GoogleAuthenticator на PHP

• OAuth2 сервер на PHP