Call User aus Rest

**Kronos** · 15.12.2015, 21:28

Hallo,

mit dem Modul "restful-webservices" versuche ich aktuell, auf die User-Klasse zuzugreifen.
Leider erhalte ich (egal auf welchen Weg ich es versuche) diese Fehlermeldung:

HTML-Code:

15-Dec-2015 21:26:40 GMT] PHP Fatal error:  Cannot instantiate abstract class Contao\User in ...../system/modules/core/library/Contao/User.php on line 151

Was mache ich falsch?

Hier mein Code:

PHP-Code:


<?php

namespace myNamespace;



use \Haste\Http\Response\JsonResponse;

use \Contao\User;



class WebserviceLogin extends \RESTfulWebservices\RESTfulController

{

    public function get()

    {

        $arrData = array();



        $user = $_GET['user'];

        $password = $_GET['password'];



        if (!empty($user) && !empty($password)) {

           if (User::getInstance()->findBy('username', $user) == false) {

               

           }

        }



        // Add "Hello World!" to the json output

        $arrData['user'] = $_GET['user'];



        // Send response

        $objResponse = new JsonResponse();

        $objResponse->setContent($arrData, JSON_PRETTY_PRINT);

        $objResponse->send();

    }



    public function put()

    {

        // Code for PUT requests

    }



    public function post()

    {

        // Code for POST requests

    }



    public function delete()

    {

        // Code for DELETE requests

    }

}

**BugBuster** · 15.12.2015, 21:37

Falls du auf die Frontend User zugreifen willst, dann

PHP-Code:


FrontendUser->getInstance()..

ansonsten

PHP-Code:


BackendUser->getInstance()..

**Kronos** · 15.12.2015, 22:03

Ach, das wars!! Danke

Allerdings bin ich mir noch nicht sicher, ob die Methode auch so funktionieren kann... da ich für einen validen User immer "false" als Rückgabe erhalte.
Im Grunde möchte ich gerne, das übergebene PW mit dem übergebenen Benutzernamen in Contao prüfen, ob es diesen als Frontenduser gibt.
Gibts dafür ne Methode oder muss ich diese selber schreiben?

PHP-Code:


<?php

namespace myNamespace;



use \Haste\Http\Response\JsonResponse;

use \Contao\FrontendUser;



class WebserviceLogin extends \RESTfulWebservices\RESTfulController

{

    public function get()

    {

        $arrData = array();



        $user = $_GET['user'];

        $password = $_GET['password'];



        $frontendUser = FrontendUser::getInstance();



        if (!empty($user) && !empty($password)) {

           if ($frontendUser->findBy('username', $user)) {

                  $arrData['name'] = $frontendUser->name;

               $arrData['found'] = 'true';

           } else {

               $arrData['found'] = 'false';

           }

        }



        // Add "Hello World!" to the json output

        $arrData['user'] = $_GET['user'];



        // Send response

        $objResponse = new JsonResponse();

        $objResponse->setContent($arrData, JSON_PRETTY_PRINT);

        $objResponse->send();

    }



    public function put()

    {

        // Code for PUT requests

    }



    public function post()

    {

        // Code for POST requests

    }



    public function delete()

    {

        // Code for DELETE requests

    }

}

**Kronos** · 17.12.2015, 06:43

Hmm, niemand ne Idee?

**Spooky** · 17.12.2015, 06:59

Dein findBy Aufruf mutet mir etwas seltsam an, macht das Contao im regulären Modul auch so?

**fiedsch** · 17.12.2015, 07:02

Du holst zwar eine User mit dem Usernamen gemäß $_GET['user'] (besser \Input::get('user')) aber der ist nicht authentifiziert. Das Passwort holst Du auch aus dem Request, machst aber nichts damit.

Auch Dein $frontendUser = FrontendUser::getInstance(); zusammen mit $frontendUser->findBy('username', $user) erscheint mir etwas komisch:

FrontendUser::getInstance(); sollte Dir den angemeldeten Frontend User geben -- oder eben einen nicht angemeldeten "leeren" User, falls ein "Gast" die URL aufruft..

findBy('username', $user) ist eher eine Methode des UserModels um einen Record aus der Datenbank zu finden.

M.E. fehlt bei allem noch die Anmeldung/Authentifizierung/Autorisierung.

**Kronos** · 17.12.2015, 08:28

Okay, ich dachte dass ich mit findBy den User über die DB finde, ob der überhaupt existiert.
Macht der Core in Contao in der User.php oder Frontenduser.php genauso.
Daher dachte ich, dass ich den selben Weg gehen kann.

Mit welchen Methoden kann ich eurer Meinung nach, mit User und PW prüfen, ob es sich um einen validen User handelt, der in der DB existiert?
Kann ich dazu eine Methode verwenden, die Contao bereitstellt oder muss ich dafür was eigenes schreiben?

Danke!

**the_scrat** · 17.12.2015, 09:06

Also FrontendUser::getInstance() ist schonmal gänzlich falsch, da dies nur für das aktuell eingeloggte Mitglied gilt. Und dieser sollte, sofern nicht schon eingeloggt immer false zurückgeben.

Ich denke das hier ist besser dafür geeignet

PHP-Code:


$objMember = \MemberModel::findBy('username',$user);

Und das Passwort prüfen kannst du mit

PHP-Code:



$password = \Encryption::hash($password);

if(\Encryption::verify($password, $objMember->password))
{
$arrData['found'] = 'true';
}
else
{
$arrData['found'] = 'false';
}

So oder so ähnlich, aber FrontendUser::getInstance() ist definitiv falsch

**Spooky** · 17.12.2015, 09:46

Zitat von the_scrat

aber FrontendUser::getInstance() ist definitiv falsch

Hab' gerade nachgesehen, Contao macht es eigentlich doch genau so. Die Klasse \Contao\User (wovon \Contao\FrontendUser ableitet) hat eine public function findBy(…).

**the_scrat** · 17.12.2015, 09:48

Richtig, da findet aber der komplette Loginvorgang auch im Contao statt. Wofür braucht es denn dann eine REST API wenn der User eh im Contao unterwegs ist bzw. sich dort einloggt, dann brauch ich doch auch keine Prüfung mehr ob es den user gibt oder das passwort stimmt, denn das weiß ich ja, sobald FrontendUser::getInstance() nicht falsch ist.

**Spooky** · 17.12.2015, 10:08

\FrontendUser::getInstance() ist ja nie null oder false. Die Funktion erzeugt nur eine Instanz des FrontendUser Objekts - mehr nicht. Ob ein User eingelogged ist oder nicht ist damit noch nicht geklärt.

**the_scrat** · 17.12.2015, 10:14

Stimmt, hast recht, über die reine Instanz ist das nicht geklärt.

Das funktioniert genauso wie das MemberModel (wusste ich bisher garnicht).

PHP-Code:


\FrontendUser::getInstance()->findBy('username',$user);

**Kronos** · 17.12.2015, 20:41

Habs hinbekommen.
Danke für die Hinweise und Tipps...

Hiermit funktioniert es:

PHP-Code:


$objMember = \MemberModel::findBy('username', $user); 

            $isAuthenticated = false;

            $isDisabled = false;

            

            // The password has been generated with crypt()

            if (\Encryption::test($objMember->password)) {

                $isAuthenticated = (crypt($password, $objMember->password) == $objMember->password);

            }

**fiedsch** · 18.12.2015, 05:56

Anregung: vielleicht magst Du Fehlversuche beim Login noch mitzählen und dann genauso wie beim normalen Login das Konto für eine gewisse Zeit sperren. Ansonsten könnte ein Angreifer bei deiner Webservice umbegrenzt Passwörter probieren. Den Code dazu solltest Du fast 1:1 aus system/modules/core/library/Contao/user.php aus der Methode login() abschauen.

**Kronos** · 18.12.2015, 06:05

Zitat von fiedsch

Anregung: vielleicht magst Du Fehlversuche beim Login noch mitzählen und dann genauso wie beim normalen Login das Konto für eine gewisse Zeit sperren. Ansonsten könnte ein Angreifer bei deiner Webservice umbegrenzt Passwörter probieren. Den Code dazu solltest Du fast 1:1 aus system/modules/core/library/Contao/user.php aus der Methode login() abschauen.

Stimmt, das ist ne gute Idee... werd ich noch mit einbauen, danke!