Yii框架401错误解决方法

Yii框架RESTful接口返回401错误，往往并非Token本身无效，而是认证流程根本未被触发——可能是QueryParamAuth默认要求的参数名是`access-token`（非下划线形式）导致URL传参不匹配，Apache服务器默认剥离Authorization头需通过`.htaccess`显式透传，或`loginByAccessToken()`未正确返回实现`IdentityInterface`的对象而直接返回null；这些隐蔽的配置与实现细节极易引发“看似认证失败、实则压根没开始认证”的问题，精准定位需分层排查：从请求参数、HTTP头传递，到认证类挂载、用户模型逻辑，层层验证才能真正解决。

Yii RESTful 接口返回 401，绝大多数情况不是 Token 本身无效，而是认证流程根本没走到验证逻辑 —— 请求连 QueryParamAuth 或 HttpBearerAuth 的 authenticate() 都没触发。

为什么 access-token 传对了还是 401？

Yii 默认的 QueryParamAuth 类把参数名硬编码为 access-token（带短横线），不是常见的 access_token（下划线）。如果你在 URL 里写成 ?access_token=xxx，$request->get('access-token') 拿不到值，直接走 handleFailure() 返回 401。

• 检查 vendor/yiisoft/yii2/filters/auth/QueryParamAuth.php 中的 $tokenParam 值，确认是否被改过
• 前端请求必须严格匹配：URL 中用 access-token=xxx，不能是 access_token、token 或其他别名
• 如果后端已改过 $tokenParam = 'access_token'，那前端也得同步改，否则两边对不上

Apache 下 Authorization 头被吃掉了

用 HttpBearerAuth 时，前端发 Authorization: Bearer xxx，但 Yii 收到的 $request->headers->get('Authorization') 是 null —— Apache 默认会剥离这个头。

• 在项目根目录 .htaccess 里加一行：SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1
• 确保该文件已启用重写（有 RewriteEngine on）且没被服务器禁用
• Nginx 用户不用配这个，但要确认 fastcgi_pass 配置里包含 fastcgi_param HTTP_AUTHORIZATION $http_authorization;

Token 被解析出来，但 loginByAccessToken() 返回 null

这说明认证“启动”了，但用户模型没认出这个 Token。常见原因不是密钥错，而是实现不匹配。

• loginByAccessToken() 必须返回一个实现了 IdentityInterface 的对象，不能只返回数组或 ID
• 检查该方法里是否用了错误的字段查库：比如数据库存的是 auth_key，但代码却查 access_token 字段
• 如果 Token 是 JWT，注意 Yii 默认不校验签名；若你手动用了 JWT::decode()，漏了 $key 或算法不匹配，也会静默失败
• 开发期可临时在 loginByAccessToken() 开头加 file_put_contents('/tmp/token.log', print_r([$token, $type], 1), FILE_APPEND) 看实际传入值

真正难排查的点在于：401 可能发生在三个不同位置——路由没匹配到认证规则、认证类根本没挂上、或者 loginByAccessToken() 内部抛异常但被吞掉。建议先在 behaviors() 里硬编码 dump Yii::$app->user->isGuest 和 $request->get('access-token')，再决定往哪一层深挖。

今天关于《Yii框架401错误解决方法》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于Yii框架的内容请关注golang学习网公众号！