From b5c396bd41ce578c01998a0eb45f842628edde4c Mon Sep 17 00:00:00 2001 From: Luciano Baraglia Date: Tue, 11 Nov 2014 13:12:20 -0300 Subject: [PATCH 1/4] Spanish Guide minor changes [skip ci] --- docs/guide-es/rest-authentication.md | 64 ++++++++++++++++++---------- docs/guide/rest-authentication.md | 2 +- 2 files changed, 43 insertions(+), 23 deletions(-) diff --git a/docs/guide-es/rest-authentication.md b/docs/guide-es/rest-authentication.md index 4bb4579bb3..ce046ff270 100644 --- a/docs/guide-es/rest-authentication.md +++ b/docs/guide-es/rest-authentication.md @@ -1,28 +1,41 @@ Autenticación -============== +============= -A diferencia de las aplicaciones Web, las API RESTful son usualmente sin estado (stateless), lo que permite que las sesiones o las cookies no sean usadas. Por lo tanto, cada petición debe llevar alguna suerte de credenciales de autenticación, porque la autenticación del usuario no puede ser mantenida por las sesiones o las cookies. Una práctica común es enviar una pieza (token) secreta de acceso con cada petición para autenticar al usuario. Dado que una pieza de autenticación puede ser usada para identificar y autenticar solamente a un usuario, **el API de peticiones tiene que ser siempre enviado vía HTTPS para prevenir ataques que intervengan en la transmisión "man-in-the-middle" (MitM) **. -> Tip: Sin estado (stateless) se refiere a un protocolo en el que cada petición es una transacción independiente del resto de peticiones y la comunicación consiste en pares de peticion y respuesta, por lo que no es necesario retener información en la sesión. +A diferencia de las aplicaciones Web, las API RESTful son usualmente sin estado (stateless), lo que permite que las sesiones o las cookies no sean usadas. +Por lo tanto, cada petición debe llevar alguna suerte de credenciales de autenticación, porque la autenticación del usuario no puede ser mantenida por las sesiones o las cookies. +Una práctica común es enviar una pieza (token) secreta de acceso con cada petición para autenticar al usuario. Dado que una pieza de autenticación +puede ser usada para identificar y autenticar solamente a un usuario, **el API de peticiones tiene que ser siempre enviado vía HTTPS para prevenir ataques que intervengan en la transmisión "man-in-the-middle" (MitM) **. -Hay muchas maneras de enviar una pieza (token) de acceso: +Hay muchas maneras de enviar una token (pieza) de acceso: -* [Autorización Básica HTTP (HTTP Basic Auth)](http://en.wikipedia.org/wiki/Basic_access_authentication): la pieza de acceso es enviada como nombre de usuario. Esto sólo debe de ser usado cuando la pieza de acceso puede ser guardada de forma segura en la parte del API del consumidor. Por ejemplo, el API del consumidor es un programa ejecutándose en un servidor. +* [Autorización Básica HTTP](http://en.wikipedia.org/wiki/Basic_access_authentication): la pieza de acceso + es enviada como nombre de usuario. Esto sólo debe de ser usado cuando la pieza de acceso puede ser guardada + de forma segura en la parte del API del consumidor. Por ejemplo, el API del consumidor es un programa ejecutándose en un servidor. * Parámetro de la consulta: la pieza de acceso es enviada como un parámetro de la consulta en la URL de la API, p.e., - `https://example.com/users?access-token=xxxxxxxx`. Debido que muchos servidores dejan los parámetros de consulta en los logs del servidor esta aproximación suele ser usada principalmente para servir peticiones `JSONP` que no usen las cabeceras HTTP para enviar piezas de acceso. -* [OAuth 2](http://oauth.net/2/): la pieza de acceso es obtenida por el consumidor por medio de una autorización del servidor y enviada al API del servidor según el protocolo OAuth 2 [Piezas HTTP de la portadora (HTTP Bearer Tokens)](http://tools.ietf.org/html/rfc6750). + `https://example.com/users?access-token=xxxxxxxx`. Debido que muchos servidores dejan los parámetros de consulta en los logs del servidor, + esta aproximación suele ser usada principalmente para servir peticiones `JSONP` + que no usen las cabeceras HTTP para enviar piezas de acceso. +* [OAuth 2](http://oauth.net/2/): la pieza de acceso es obtenida por el consumidor por medio de una autorización del servidor + y enviada al API del servidor según el protocolo OAuth 2 [tokens HTTP del portador] (http://tools.ietf.org/html/rfc6750). Yii soporta todos los métodos anteriores de autenticación. Puedes crear nuevos métodos de autenticación de una forma fácil. Para activar la autenticación para tus APIs, sigue los pasos siguientes: -1. Configura la propiedad [[yii\web\User::enableSession|enableSession]] de el componente `user` de la aplicación a false. -2. Especifica cuál método de autenticación planeas usar configurando la funcionalidad `authenticator` en las clases de la controladora REST. -3. Implementa [[yii\web\IdentityInterface::findIdentityByAccessToken()]] en tu [[yii\web\User::identityClass|clase de identidad de usuario]]. +1. Configura el componente `user` de la aplicación: + - Define la propiedad [[yii\web\User::enableSession|enableSession]] como `false`. + - Define la propiedad [[yii\web\User::loginUrl|loginUrl]] como `null` para mostrar un error HTTP 403 en vez de redireccionar a la pantalla de login. +2. Especifica cuál método de autenticación planeas usar configurando el comportamiento (behavior) `authenticator` en tus + clases de controladores REST. +3. Implementa [[yii\web\IdentityInterface::findIdentityByAccessToken()]] en tu [[yii\web\User::identityClass|clase de identidad de usuarios]]. -El paso 1 no es necesario pero sí recomendable para las APIs RESTful, pues son sin estado (stateless). Cuando [[yii\web\User::enableSession|enableSession]] -es false, el estado de autenticación del usuario puede NO ser mantenido (persisted) durante varias peticiones usando sesiones. Si embargo, la autenticación puede ser realizada para cada petición, la cual es realizada por los pasos 2 y 3. +El paso 1 no es necesario pero sí recomendable para las APIs RESTful, pues son sin estado (stateless). +Cuando [[yii\web\User::enableSession|enableSession]] es false, el estado de autenticación del usuario puede NO persistir entre peticiones usando sesiones. +Si embargo, la autenticación será realizada para cada petición, lo que se consigue en los pasos 2 y 3. -> Tip: Puede configurar [[yii\web\User::enableSession|enableSession]] del componente de la aplicación `user` en la configuración de las aplicaciones si estás desarrollando APIs RESTful en términos de un aplicación. Si desarrollas un módulo de las APIs RESTful, puedes poner la siguiente línea en el método del módulo `init()`, tal y como sigue: +> Tip: Puedes configurar [[yii\web\User::enableSession|enableSession]] del componente de la aplicación `user` en la configuración + de las aplicaciones si estás desarrollando APIs RESTful en términos de un aplicación. Si desarrollas un módulo de las APIs RESTful, + puedes poner la siguiente línea en el método del módulo `init()`, tal y como sigue: > ```php public function init() { @@ -31,7 +44,7 @@ public function init() } ``` -Por ejemplo, para usar HTTP Basic Auth, puedes configurar `authenticator` como sigue, +Por ejemplo, para usar HTTP Basic Auth, puedes configurar el comportamiento `authenticator` como sigue, ```php use yii\filters\auth\HttpBasicAuth; @@ -46,7 +59,7 @@ public function behaviors() } ``` -Si quires implementar las tres autenticaciones explicadas antes, puedes usar `CompositeAuth` de la siguiente manera, +Si quieres implementar los tres métodos de autenticación explicados antes, puedes usar `CompositeAuth` de la siguiente manera, ```php use yii\filters\auth\CompositeAuth; @@ -69,10 +82,12 @@ public function behaviors() } ``` -Cada elemento en `authMethods` debe de ser el nombre de un método de autenticación de una clase o un array de configuración. +Cada elemento en `authMethods` debe de ser el nombre de una clase de método de autenticación o un array de configuración. -La implementación de `findIdentityByAccessToken()` es específico de la aplicación. Por ejemplo, en escenarios simples cuando cada usuario sólo puede terner una pieza (token) de acceso, puedes almacenar la pieza de acceso en la columna `access_token` en la tabla de usuario. El método debe de ser inmediatamente implementado en la clase `User` como sigue, +La implementación de `findIdentityByAccessToken()` es específico de la aplicación. Por ejemplo, en escenarios simples +cuando cada usuario sólo puede tener un token de acceso, puedes almacenar este token en la columna `access_token` +en la tabla de usuario. El método debe de ser inmediatamente implementado en la clase `User` como sigue, ```php use yii\db\ActiveRecord; @@ -87,15 +102,20 @@ class User extends ActiveRecord implements IdentityInterface } ``` -Después que la autenticación es activada, tal y como se describe arriba, para cada petición de la API, la controladora solicitada puede intentar autenticar al usuario en su paso `beforeAction()`. +Después que la autenticación es activada, tal y como se describe arriba, para cada petición de la API, el controlador solicitado +puede intentar autenticar al usuario en su evento `beforeAction()`. -Si la autenticación ocurre, la controladora puede realizar otras comprobaciones (como son límite del ratio, autorización) y entonces ejecutar la acción. La identidad del usuario autenticado puede ser recogida via `Yii::$app->user->identity`. +Si la autenticación tiene éxito, el controlador realizará otras comprobaciones (como son límite del ratio, autorización) +y entonces ejecutar la acción. La identidad del usuario autenticado puede ser recuperada via `Yii::$app->user->identity`. -Si la autenticación falla, una respuesta con estado HTTP 401 puede ser devuelta junto con otras cabeceras apropiadas (como son la cabecera para autenticación básica HTTP `WWW-Authenticate` ). +Si la autenticación falla, una respuesta con estado HTTP 401 será devuelta junto con otras cabeceras apropiadas (tal como la cabecera para autenticación básica HTTP `WWW-Authenticate`). ## Autorización -Después de que un usuario se ha autenticado, probablementer querrás comprobar si él o ella tiene los permisos para realizar la acción pedida para el recurso pedido. Este proceso es llamado *autorización (authorization)* y está cubierto en detalle en la [Sección de Autorización](security-authorization.md). +Después de que un usuario se ha autenticado, probablementer querrás comprobar si él o ella tiene los permisos para realizar +la acción solicitada. Este proceso es llamado *autorización (authorization)* y está cubierto en detalle en la [Sección de Autorización](security-authorization.md). -Si tus controladoras extienden de [[yii\rest\ActiveController]], puedes sobreescribir (override) el método [[yii\rest\Controller::checkAccess()|checkAccess()]] para realizar la comprobación de la autorización. El método será llamado por las acciones contenidas en [[yii\rest\ActiveController]]. +Si tus controladores extienden de [[yii\rest\ActiveController]], puedes sobreescribir +el método [[yii\rest\Controller::checkAccess()|checkAccess()]] para realizar la comprobación de la autorización. +El método será llamado por las acciones contenidas en [[yii\rest\ActiveController]]. diff --git a/docs/guide/rest-authentication.md b/docs/guide/rest-authentication.md index b91214bd11..11541180c9 100644 --- a/docs/guide/rest-authentication.md +++ b/docs/guide/rest-authentication.md @@ -11,7 +11,7 @@ via HTTPS to prevent man-in-the-middle (MitM) attacks**. There are different ways to send an access token: * [HTTP Basic Auth](http://en.wikipedia.org/wiki/Basic_access_authentication): the access token - is sent as the username. This is should only be used when an access token can be safely stored + is sent as the username. This should only be used when an access token can be safely stored on the API consumer side. For example, the API consumer is a program running on a server. * Query parameter: the access token is sent as a query parameter in the API URL, e.g., `https://example.com/users?access-token=xxxxxxxx`. Because most Web servers will keep query From bb216655c4a26a8f842de8721f4138fa04f02243 Mon Sep 17 00:00:00 2001 From: Luciano Baraglia Date: Tue, 11 Nov 2014 13:28:37 -0300 Subject: [PATCH 2/4] More Spanish guide small changes [skip ci] --- docs/guide-es/rest-error-handling.md | 22 ++++++++++++++-------- 1 file changed, 14 insertions(+), 8 deletions(-) diff --git a/docs/guide-es/rest-error-handling.md b/docs/guide-es/rest-error-handling.md index 409c7b5081..a8b1dda1ff 100644 --- a/docs/guide-es/rest-error-handling.md +++ b/docs/guide-es/rest-error-handling.md @@ -1,8 +1,12 @@ Manejo de errores -============== +================= -Cuando se maneja una petición del API RESTful, si ocurre un error en la petición del usuario o si algo inesperado ocurre en el servidor, simplemente puedes lanzar una excepción para notificar al usuario que algo erróneo ocurrió. -Si puedes identificar la causa del error (p.e., el recurso pedido no existe), debes considerar lanzar una excepción con el apropiado códig HTTP de estado (p.e., [[yii\web\NotFoundHttpException]] representa un código de estado 404). Yii enviará la respuesta a continuación con el correspondiente código de estado HTTP y el texto. Yii puede incluir también la representación serializada de la excepción en el cuerpo de la respuesta. Por ejemplo: +Cuando se maneja una petición de API RESTful, si ocurre un error en la petición del usuario o si algo inesperado +ocurre en el servidor, simplemente puedes lanzar una excepción para notificar al usuario que algo erróneo ocurrió. +Si puedes identificar la causa del error (p.e., el recurso solicitado no existe), debes considerar lanzar una excepción +con el código HTTP de estado apropiado (p.e., [[yii\web\NotFoundHttpException]] representa un código de estado 404). +Yii enviará la respuesta a continuación con el correspondiente código de estado HTTP y el texto. Yii puede incluir también +la representación serializada de la excepción en el cuerpo de la respuesta. Por ejemplo: ``` HTTP/1.1 404 Not Found @@ -22,7 +26,7 @@ Content-Type: application/json; charset=UTF-8 La siguiente lista sumariza los códigos de estado HTTP que son usados por el framework REST: * `200`: OK. Todo ha funcionado como se esperaba. -* `201`: El recurso ha creado con éxito en respuesta a la petición `POST`. La cabecera de situación `Location` contiene la URL apuntando al nuevo recurso creado. +* `201`: El recurso ha creado con éxito en respuesta a la petición `POST`. La cabecera de situación `Location` contiene la URL apuntando al nuevo recurso creado. * `204`: La petición ha sido manejada con éxito y el cuerpo de la respuesta no tiene contenido (como una petición `DELETE`). * `304`: El recurso no ha sido modificado. Puede usar la versión en caché. * `400`: Petición errónea. Esto puede estar causado por varias acciones de el usuario, como proveer un JSON no válido en el cuerpo de la petición, proveyendo parámetros de acción no válidos, etc. @@ -33,12 +37,14 @@ La siguiente lista sumariza los códigos de estado HTTP que son usados por el fr * `415`: Tipo de medio no soportado. El tipo de contenido pedido o el número de versión no es válido. * `422`: La validación de datos ha fallado (en respuesta a una petición `POST` , por ejemplo). Por favor, comprobad en el cuerpo de la respuesta el mensaje detallado. * `429`: Demasiadas peticiones. La petición ha sido rechazada debido a un limitación de rango. -* `500`: Error interno del servidor. Esto puede estar causado por errores internos del programa. +* `500`: Error interno del servidor. Esto puede estar causado por errores internos del programa. ## Personalizando la Respuesta al Error -A veces puedes querer personalizar el formato de la respuesta del error por defecto . Por ejemplo, en lugar de depender del uso de diferentes estados HTTP para indicar los diferentes errores, puedes querer usar siempre el estado HTTP 200 y encajonar el código de estado HTTP en la respuesta, tal y como se ve en lo que sigue, +A veces puedes querer personalizar el formato de la respuesta del error por defecto . Por ejemplo, en lugar de depender +del uso de diferentes estados HTTP para indicar los diferentes errores, puedes querer usar siempre el estado HTTP 200 +y encapsular el código de estado HTTP real como parte de una estructura JSON en la respuesta, como se muestra a continuación, ``` HTTP/1.1 200 OK @@ -58,7 +64,7 @@ Content-Type: application/json; charset=UTF-8 } ``` -Para lograr este objetivo, puedes responder al evento `beforeSend` de el componente `response` en la configuración de la aplicación: +Para lograr este objetivo, puedes responder al evento `beforeSend` del componente `response` en la configuración de la aplicación: ```php return [ @@ -81,5 +87,5 @@ return [ ]; ``` -El anterior código puede reformatear la respuesta (para ambas respuestas, exitosa o fallida) de forma aclaratoria cuando +El anterior código reformateará la respuesta (sea exitosa o fallida) como se explicó cuando `suppress_response_code` es pasado como un parámetro `GET`. From 4fb47a23d44db7fafe060d95ca0ea02a69e07a57 Mon Sep 17 00:00:00 2001 From: Luciano Baraglia Date: Wed, 12 Nov 2014 10:22:40 -0300 Subject: [PATCH 3/4] Spanish guide minor fix [skip ci] --- docs/guide-es/rest-rate-limiting.md | 28 +++++++++++++++++++--------- 1 file changed, 19 insertions(+), 9 deletions(-) diff --git a/docs/guide-es/rest-rate-limiting.md b/docs/guide-es/rest-rate-limiting.md index 803e39f778..8545eba55d 100644 --- a/docs/guide-es/rest-rate-limiting.md +++ b/docs/guide-es/rest-rate-limiting.md @@ -1,20 +1,28 @@ Limitando el ratio (rate) -============= +========================= -Para prevenir el abuso, puedes considerar añadir un *límitación del ratio* (*rate limiting*) para tus APIs. Por ejemplo, puedes querer limitar el uso del API de cada usuario que no sea como mucho 100 llamadas al API dentro de un periodo de 10 minutos. Si demasiadas peticiones son recibidas de un usuario dentro del periodo de tiempo declarado , una respuesta con código de estado 429 (significa "Demasiadas peticiones") puede ser devuelto. +Para prevenir el abuso, puedes considerar añadir un *límitación del ratio (rate limiting)* para tus APIs. Por ejemplo, +puedes querer limitar el uso del API de cada usuario a un máximo de 100 llamadas al API dentro de un periodo de 10 minutos. +Si se reciben demasiadas peticiones de un usuario dentro del periodo de tiempo declarado, deveríá devolverse una respuesta con código de estado 429 (que significa "Demasiadas peticiones"). Para activar la limitación de ratio, la clase [[yii\web\User::identityClass|user identity class]] debe implementar [[yii\filters\RateLimitInterface]]. Este interface requiere la implementación de tres métodos: * `getRateLimit()`: devuelve el número máximo de peticiones permitidas y el periodo de tiempo (p.e., `[100, 600]` significa que como mucho puede haber 100 llamadas al API dentro de 600 segundos). -* `loadAllowance()`: devuelve el número de peticiones que quedan permitidas y el tiempo (fecha/hora) UNIX con el último límite del ratio que ha sido comprobado. -* `saveAllowance()`: guarda ambos, el número que quedan de peticiones permitidas y el actual tiempo (fecha/hora) UNIX . +* `loadAllowance()`: devuelve el número de peticiones que quedan permitidas y el tiempo (fecha/hora) UNIX + con el último límite del ratio que ha sido comprobado. +* `saveAllowance()`: guarda ambos, el número restante de peticiones permitidas y el tiempo actual (fecha/hora) UNIX . -Tu puedes usar dos columnas en la tabla de usuario para guardar la información de lo permitido y la fecha/hora (timestamp). Con ambas definidas, entonces `loadAllowance()` y `saveAllowance()` pueden ser implementadas para leer y guardar los valores de las dos columnas correspondientes al actual usuario autenticado. Para mejorar el desempeño, también puedes considerar almacenar esas piezas de información en caché o almacenamiento NoSQL. +Puedes usar dos columnas en la tabla de usuario para guardar la información de lo permitido y la fecha/hora (timestamp). Con ambas definidas, +entonces `loadAllowance()` y `saveAllowance()` pueden ser utilizados para leer y guardar los valores de las dos columnas correspondientes al actual usuario autenticado. +Para mejorar el desempeño, también puedes considerar almacenar esas piezas de información en caché o almacenamiento NoSQL. -Una vez que la clase de identidad implementa el requerido interface, Yii puede usar automáticamente [[yii\filters\RateLimiter]] configurado como una acción de filtrado para [[yii\rest\Controller]] y mejorar la comprobación del limitador de ratio. El limitador de ratio puede lanzar una [[yii\web\TooManyRequestsHttpException]] cuando el límite del ratio es excedido. +Una vez que la clase de identidad implementa la interfaz requerida, Yii utilizará automáticamente [[yii\filters\RateLimiter]] +configurado como un filtro de acción para que [[yii\rest\Controller]] compruebe el límite de ratio. El limitador de ratio +lanzará una excepeción [[yii\web\TooManyRequestsHttpException]] cuando el límite del ratio sea excedido. -Puedes configurar el limitador de ratio en tu clase REST de la controladora como sigue: +Puedes configurar el limitador de ratio +en tu clase controlador REST como sigue: ```php public function behaviors() @@ -25,10 +33,12 @@ public function behaviors() } ``` -Cuando la limitación de ratio está activada, por defecto cada respuesta puede ser enviada con las siguientes cabeceras de HTTP conteniendo la información actual del límite de ratio: +Cuando se activa el límite de ratio, por defecto todas las respuestas serán enviadas con la siguiente cabecera HTTP conteniendo +información sobre el límite actual de ratio: * `X-Rate-Limit-Limit`, el máximo número de peticiones permitidas en un periodo de tiempo * `X-Rate-Limit-Remaining`, el número de peticiones restantes en el periodo de tiempo actual * `X-Rate-Limit-Reset`, el número de segundos a esperar para pedir el máximo número de peticiones permitidas -Puedes desactivar estas cabeceras configurando [[yii\filters\RateLimiter::enableRateLimitHeaders]] a false, tal y como en el anterior ejemplo. +Puedes desactivar estas cabeceras configurando [[yii\filters\RateLimiter::enableRateLimitHeaders]] a false, +tal y como en el anterior ejemplo. From beae91979cb8f6b96cf0cbf3bf1ba94c0f02046d Mon Sep 17 00:00:00 2001 From: Luciano Baraglia Date: Wed, 12 Nov 2014 10:58:17 -0300 Subject: [PATCH 4/4] Spanish guide updates and fixes [skip ci] --- docs/guide-es/rest-controllers.md | 70 +++++++++++++++++++---------- docs/guide-es/rest-rate-limiting.md | 18 ++++---- docs/guide/rest-controllers.md | 2 +- 3 files changed, 57 insertions(+), 33 deletions(-) diff --git a/docs/guide-es/rest-controllers.md b/docs/guide-es/rest-controllers.md index abc4e36923..b16c9f8018 100644 --- a/docs/guide-es/rest-controllers.md +++ b/docs/guide-es/rest-controllers.md @@ -1,13 +1,20 @@ Controladores ============= -Después de crear las clases de recursos y especificar cómo debe ser el formato de datos de recursos, el siguiente paso es crear acciones del controlador para exponer los recursos a los usuarios a través de las APIs RESTful finales. +Después de crear las clases de recursos y especificar cómo debe ser el formato de datos de recursos, el siguiente paso +es crear acciones del controlador para exponer los recursos a los usuarios finales a través de las APIs RESTful. -Yii ofrece dos clases de controlador base para simplificar su trabajo de crear acciones REST: [[yii\rest\Controller]] y [[yii\rest\ActiveController]]. La diferencia entre estos dos controladores es que este último proporciona un conjunto predeterminado de acciones que están específicamente diseñadas para hacer frente a los recursos representados con [Active Record](db-active-record.md). Así que si usted está utilizando [Active Record](db-active-record.md) y se siente cómodo con las acciones integradas que proporciona, es posible considerar la prolongación de sus clases de controlador de [[yii\rest\ActiveController]], que le permitirá crear potentes APIs RESTful con un mínimo de código. +Yii ofrece dos clases controlador base para simplificar tu trabajo de crear acciones REST: +[[yii\rest\Controller]] y [[yii\rest\ActiveController]]. La diferencia entre estos dos controladores +es que este último proporciona un conjunto predeterminado de acciones que están específicamente diseñado para trabajar con +los recursos representados como [Active Record](db-active-record.md). Así que si estás utilizando [Active Record](db-active-record.md) +y te sientes cómodo con las acciones integradas provistas, podrías considerar extender tus controladores +de [[yii\rest\ActiveController]], lo que te permitirá crear potentes APIs RESTful con un mínimo de código. -Ambos [[yii\rest\Controller]] y [[yii\rest\ActiveController]] proporcionan las siguientes características, algunas de las cuales se describen en detalle en las siguientes secciones: +Ambos [[yii\rest\Controller]] y [[yii\rest\ActiveController]] proporcionan las siguientes características, +algunas de las cuales se describen en detalle en las siguientes secciones: -* Métodos de Validación HTTP; +* Método de Validación HTTP; * [Negociación de contenido y formato de datos](rest-response-formatting.md); * [Autenticación](rest-authentication.md); * [Límite de Rango](rest-rate-limiting.md). @@ -15,14 +22,20 @@ Ambos [[yii\rest\Controller]] y [[yii\rest\ActiveController]] proporcionan las s [[yii\rest\ActiveController]] además provee de las siguientes características: * Un conjunto de acciones comunes necesarias: `index`, `view`, `create`, `update`, `delete`, `options`; -* La autorización del usuario en cuanto a la acción solicitada y recursos. +* La autorización del usuario de acuerdo a la acción y recurso solicitado. -## Creando Clases Controladoras +## Creando Clases de Controlador -Al crear una nueva clase de controlador, una convención para nombrar la clase del controlador es utilizar el nombre del tipo de recurso y el uso en singular. Por ejemplo, para servir información de usuario, el controlador puede ser nombrado como `UserController`. +Al crear una nueva clase de controlador, una convención para nombrar la clase del controlador es utilizar +el nombre del tipo de recurso en singular. Por ejemplo, para servir información de usuario, +el controlador puede ser nombrado como `UserController`. -Creación de una nueva acción es similar a crear una acción para una aplicación Web. La única diferencia es que en lugar de hacer que el resultado utilicé una vista llamando al método `render()`, para las acciones REST regresá directamente los datos. El [[yii\rest\Controller::serializer|serializer]] y el [[yii\web\Response|response object]] se encargará de la conversión de los datos originales al formato solicitado. Por ejemplo, +Crear una nueva acción es similar a crear una acción para una aplicación Web. La única diferencia +es que en lugar de renderizar el resultado utilizando una vista llamando al método `render()`, para las acciones REST +regresas directamente los datos. El [[yii\rest\Controller::serializer|serializer]] y el +[[yii\web\Response|response object]] se encargarán de la conversión de los datos originales +al formato solicitado. Por ejemplo, ```php public function actionView($id) @@ -34,15 +47,20 @@ public function actionView($id) ## Filtros -La mayoría de las características API REST son proporcionadas por [[yii\rest\Controller]] que son implementadas por los terminos de los [filtros](structure-filters.md). +La mayoría de las características API REST son proporcionadas por [[yii\rest\Controller]] son implementadas en los términos de [filtros](structure-filters.md). En particular, los siguientes filtros se ejecutarán en el orden en que aparecen: -* [[yii\filters\ContentNegotiator|contentNegotiator]]: apoya la negociación de contenido, que se explica en la sección el [Formateo de respuestas](rest-response-formatting.md); -* [[yii\filters\VerbFilter|verbFilter]]: apoya métodos de validación HTTP; -* [[yii\filters\AuthMethod|authenticator]]: apoya autenticación de usuarios, que se explica en la sección [Autenticación](rest-authentication.md); -* [[yii\filters\RateLimiter|rateLimiter]]: apoya la limitación de rango, que se explica en la sección [Límite de Rango](rest-rate-limiting.md). +* [[yii\filters\ContentNegotiator|contentNegotiator]]: soporta la negociación de contenido, que se explica en + la sección [Formateo de respuestas](rest-response-formatting.md); +* [[yii\filters\VerbFilter|verbFilter]]: soporta métodos de validación HTTP; +* [[yii\filters\AuthMethod|authenticator]]: soporta la autenticación de usuarios, que se explica en + la sección [Autenticación](rest-authentication.md); +* [[yii\filters\RateLimiter|rateLimiter]]: soporta la limitación de rango, que se explica en + la sección [Límite de Rango](rest-rate-limiting.md). -Estos filtros se declaran nombrándolos en el método [[yii\rest\Controller::behaviors()|behaviors()]]. Puede reemplazar este método para configurar los filtros individuales, desactivar algunos de ellos o añadir sus propios filtros. Por ejemplo, si sólo desea utilizar la autenticación básica HTTP, puede escribir el siguiente código: +Estos filtros se declaran nombrándolos en el método [[yii\rest\Controller::behaviors()|behaviors()]]. +Puede sobrescribir este método para configurar filtros individuales, desactivar algunos de ellos, o añadir los tuyos. +Por ejemplo, si sólo deseas utilizar la autenticación básica HTTP, puede escribir el siguiente código: ```php use yii\filters\auth\HttpBasicAuth; @@ -60,21 +78,24 @@ public function behaviors() ## Extendiendo `ActiveController` -Si su clase controlador extiende de [[yii\rest\ActiveController]], debe establecer su propiedad [[yii\rest\ActiveController::modelClass||modelClass]] a ser el nombre del recurso de la clase que va a servir a través de este controlador. La clase debe extender de [[yii\db\ActiveRecord]]. +Si tu clase controlador extiende de [[yii\rest\ActiveController]], debe establecer +su propiedad [[yii\rest\ActiveController::modelClass||modelClass]] con el nombre de la clase del recurso +que planeas servir a través de este controlador. La clase debe extender de [[yii\db\ActiveRecord]]. ### Personalizando Acciones Por defecto, [[yii\rest\ActiveController]] provee de las siguientes acciones: -* [[yii\rest\IndexAction|index]]: lista de recursos pagina por pagina; -* [[yii\rest\ViewAction|view]]: retorna el detalle de un recurso específico; +* [[yii\rest\IndexAction|index]]: listar recursos página por página; +* [[yii\rest\ViewAction|view]]: devolver el detalle de un recurso específico; * [[yii\rest\CreateAction|create]]: crear un nuevo recurso; * [[yii\rest\UpdateAction|update]]: actualizar un recurso existente; * [[yii\rest\DeleteAction|delete]]: eliminar un recurso específico; -* [[yii\rest\OptionsAction|options]]: retorna los métodos HTTP soportados. +* [[yii\rest\OptionsAction|options]]: devolver los métodos HTTP soportados. -Todas esta acciones se declaran a través del métodos [[yii\rest\ActiveController::actions()|actions()]]. Usted puede configurar todas estas acciones o desactivar alguna de ellas reescribiendo el método `actions()`, como se muestra a continuación, +Todas esta acciones se declaran a través de método [[yii\rest\ActiveController::actions()|actions()]]. +Puedes configurar estas acciones o desactivar alguna de ellas sobrescribiendo el método `actions()`, como se muestra a continuación, ```php public function actions() @@ -96,12 +117,14 @@ public function prepareDataProvider() } ``` -Por favor, consulte las referencias de clases para la clase de acción individuales para aprender las opciones de configuración que se dispone. +Por favor, consulta las referencias de clases de acciones individuales para aprender las opciones de configuración disponibles para cada una. ### Realizando Comprobación de Acceso -Al exponer los recursos a través de RESTful APIs, a menudo es necesario comprobar si el usuario actual tiene permiso para acceder y manipular el recurso solicitado. Con [[yii\rest\ActiveController]], puede hacerse reemplazando el método [[yii\rest\ActiveController::checkAccess()|checkAccess()]] con lo siguiente, +Al exponer los recursos a través de RESTful APIs, a menudo es necesario comprobar si el usuario actual tiene permiso +para acceder y manipular el/los recurso solicitado/s. Con [[yii\rest\ActiveController]], esto puede lograrse +sobrescribiendo el método [[yii\rest\ActiveController::checkAccess()|checkAccess()]] como a continuación, ```php /** @@ -123,6 +146,7 @@ public function checkAccess($action, $model = null, $params = []) } ``` -El método `checkAccess()` será llamado por defecto en las acciones predeterminadas de [[yii\rest\ActiveController]]. Si crea nuevas acciones y también desea llevar a cabo la comprobación de acceso, debe llamar a este método de forma explícita en las nuevas acciones. +El método `checkAccess()` será llamado por defecto en las acciones predeterminadas de [[yii\rest\ActiveController]]. Si creas +nuevas acciones y también deseas llevar a cabo la comprobación de acceso, debe llamar a este método de forma explícita en las nuevas acciones. -> Consejo: Usted puede implementar `checkAccess()` mediante el uso del [Componente Role-Based Access Control (RBAC)](security-authorization.md). +> Consejo: Puedes implementar `checkAccess()` mediante el uso del [Componente Role-Based Access Control (RBAC)](security-authorization.md). diff --git a/docs/guide-es/rest-rate-limiting.md b/docs/guide-es/rest-rate-limiting.md index 8545eba55d..23ca26b8b1 100644 --- a/docs/guide-es/rest-rate-limiting.md +++ b/docs/guide-es/rest-rate-limiting.md @@ -1,16 +1,16 @@ -Limitando el ratio (rate) +Limitando el rango (rate) ========================= -Para prevenir el abuso, puedes considerar añadir un *límitación del ratio (rate limiting)* para tus APIs. Por ejemplo, +Para prevenir el abuso, puedes considerar añadir un *límitación del rango (rate limiting)* para tus APIs. Por ejemplo, puedes querer limitar el uso del API de cada usuario a un máximo de 100 llamadas al API dentro de un periodo de 10 minutos. Si se reciben demasiadas peticiones de un usuario dentro del periodo de tiempo declarado, deveríá devolverse una respuesta con código de estado 429 (que significa "Demasiadas peticiones"). -Para activar la limitación de ratio, la clase [[yii\web\User::identityClass|user identity class]] debe implementar [[yii\filters\RateLimitInterface]]. +Para activar la limitación de rango, la clase [[yii\web\User::identityClass|user identity class]] debe implementar [[yii\filters\RateLimitInterface]]. Este interface requiere la implementación de tres métodos: * `getRateLimit()`: devuelve el número máximo de peticiones permitidas y el periodo de tiempo (p.e., `[100, 600]` significa que como mucho puede haber 100 llamadas al API dentro de 600 segundos). * `loadAllowance()`: devuelve el número de peticiones que quedan permitidas y el tiempo (fecha/hora) UNIX - con el último límite del ratio que ha sido comprobado. + con el último límite del rango que ha sido comprobado. * `saveAllowance()`: guarda ambos, el número restante de peticiones permitidas y el tiempo actual (fecha/hora) UNIX . Puedes usar dos columnas en la tabla de usuario para guardar la información de lo permitido y la fecha/hora (timestamp). Con ambas definidas, @@ -18,10 +18,10 @@ entonces `loadAllowance()` y `saveAllowance()` pueden ser utilizados para leer y Para mejorar el desempeño, también puedes considerar almacenar esas piezas de información en caché o almacenamiento NoSQL. Una vez que la clase de identidad implementa la interfaz requerida, Yii utilizará automáticamente [[yii\filters\RateLimiter]] -configurado como un filtro de acción para que [[yii\rest\Controller]] compruebe el límite de ratio. El limitador de ratio -lanzará una excepeción [[yii\web\TooManyRequestsHttpException]] cuando el límite del ratio sea excedido. +configurado como un filtro de acción para que [[yii\rest\Controller]] compruebe el límite de rango. El limitador de rango +lanzará una excepeción [[yii\web\TooManyRequestsHttpException]] cuando el límite del rango sea excedido. -Puedes configurar el limitador de ratio +Puedes configurar el limitador de rango en tu clase controlador REST como sigue: ```php @@ -33,8 +33,8 @@ public function behaviors() } ``` -Cuando se activa el límite de ratio, por defecto todas las respuestas serán enviadas con la siguiente cabecera HTTP conteniendo -información sobre el límite actual de ratio: +Cuando se activa el límite de rango, por defecto todas las respuestas serán enviadas con la siguiente cabecera HTTP conteniendo +información sobre el límite actual de rango: * `X-Rate-Limit-Limit`, el máximo número de peticiones permitidas en un periodo de tiempo * `X-Rate-Limit-Remaining`, el número de peticiones restantes en el periodo de tiempo actual diff --git a/docs/guide/rest-controllers.md b/docs/guide/rest-controllers.md index ce0289a6fe..f84751a08f 100644 --- a/docs/guide/rest-controllers.md +++ b/docs/guide/rest-controllers.md @@ -59,7 +59,7 @@ In particular, the following filters will be executed in the order they are list the [Rate Limiting](rest-rate-limiting.md) section. These named filters are declared in the [[yii\rest\Controller::behaviors()|behaviors()]] method. -You may override this method to configure individual filters, disable some of them, or add your own filters. +You may override this method to configure individual filters, disable some of them, or add your own filters. For example, if you only want to use HTTP basic authentication, you may write the following code: ```php