一、什么是闭包

闭包（Closures），又叫做匿名函数，也就是没有定义名字的函数，允许临时创建一个没有指定名称的函数，常用作回调函数（callable）参数的值。

1. 闭包和匿名函数在 PHP5.3 中被引入。
2. 闭包是指在创建时封装函数周围状态的函数，即使闭包所在的环境不存在了，闭包封装的状态依然存在。
3. 闭包使用的语法和普通函数相同，但是本质上它是伪装成函数的对象，是 Closure 类的实例。闭包和字符串或整数一样，是一等值类型。
4. PHP 闭包是对象，可以使用 $this 关键字获取闭包的内部状态。
5. 闭包的默认状态里面有一个__invoke() 魔术方法和 bindTo() 方法。我们可以使用 bindTo() 方法把 Closure 对象内部状态绑定到其他对象上。bindTo() 方法的第二个参数可以指定绑定闭包的那个对象所属的 PHP 类，我们就可以访问这个类的受保护和私有的成员变量。

1. 闭包示例

<?php
  
echo preg_replace_callback('~-([a-z])~', function ($match) {
    return strtoupper($match[1]);
}, 'hello-world');

// 输出 helloWorld
?>

2. 闭包作为变量

闭包函数也可以作为变量的值来使用。PHP 会自动把此种表达式转换成内置类 Closure 的对象实例。把一个 closure 对象赋值给一个变量的方式与普通变量赋值的语法是一样的，最后也要加上分号。

<?php

$closure = function($name)
{
    printf("Hello %s\r\n", $name);
};

$closure('World');
$closure('PHP');

?>

我们之所以可以调用 $closure 变量，是因为这个变量的值是一个闭包，闭包对象实现了__invoke() 魔术方法，只要后面跟着 ()，PHP 就会查找__invoke() 方法。

3. 闭包变量的作用域

闭包可以从父作用域中继承变量，变量必须在函数或类的头部声明。任何此类变量都应该用 use 语言结构传递进去。

PHP 7.1 起，不能传入此类变量： superglobals、 $this 或者和参数重名。

<?php
  
$message = 'hello';

// 没有 "use"
$example = function () {
    return $message;
};

echo $example(); // 输出 Undefined variable: message。

// 继承 $message
$example = function () use ($message) {
    return $message;
};

echo $example(); // 输出 hello

// 继承变量的值是定义时，而非调用时。
$message = 'world';

echo $example(); // 输出 hello

// 重新赋值
$message = 'hello';

// 重新定义
$example = function () use (&$message) {
    var_dump($message);
};

echo $example(); // 输出 hello

// 父级作用域的值变更，因为使用的是引用，所以闭包内部也会引起变化。
// is reflected inside the function call
$message = 'world'; 

echo $example(); // 输出 world

// 闭包也可以接受参数
$example = function ($arg) use ($message) {
    var_dump($arg . ' ' . $message);
};

$example("hello"); // 输出 hello world
?>

4. 闭包和作用域

从父作用域中继承变量与使用全局变量是不同的。

全局变量存在于一个全局的范围，无论当前在执行的是哪个函数。

闭包的父作用域是定义该闭包的函数（不一定是调用它的函数）。示例如下：

<?php

// 一个基本的购物车，包括一些已经添加的商品和每种商品的数量。
// 其中有一个方法用来计算购物车中所有商品的总价格，该方法使用了一个 closure 作为回调函数。

class Cart
{
    const PRICE_BUTTER  = 1.00;
    const PRICE_MILK    = 3.00;
    const PRICE_EGGS    = 6.95;

    protected   $products = array();
    
    public function add($product, $quantity)
    {
        $this->products[$product] = $quantity;
    }
    
    public function getQuantity($product)
    {
        return isset($this->products[$product]) ? $this->products[$product] :
               FALSE;
    }
    
    public function getTotal($tax)
    {
        $total = 0.00;
        // 闭包使用了父函数的环境变量 $tax, 和 $total
        $callback = function ($quantity, $product) use ($tax, &$total){
                $pricePerItem = constant(__CLASS__ . "::PRICE_" .strtoupper($product));
                $total += ($pricePerItem * $quantity) * ($tax + 1.0);
        };
        
        array_walk($this->products, $callback);
        return round($total, 2);;
    }
}

$my_cart = new Cart;

// 往购物车里添加条目
$my_cart->add('butter', 1);
$my_cart->add('milk', 3);
$my_cart->add('eggs', 6);

// 打出出总价格，其中有 5% 的销售税.
print $my_cart->getTotal(0.05) . "\n"; // 最后结果是 54.29
?>

5. 自动绑定 $this

闭包会自动绑定所在对象中的 $this，也就是说在闭包中可以访问到所在的对象。

<?php

class Test
{
    public function testing()
    {
        return function() {
            var_dump($this);
        };
    }
}

$object = new Test;
$function = $object->testing();
$function(); // 输出 object(Test)#1 (0) {}

6. 静态匿名函数

静态的匿名函数中，不能使用 $this。

<?php

class Foo
{
    function __construct()
    {
        $func = static function() {
            var_dump($this);
        };
        $func();
    }
};

new Foo(); // Using $this when not in object context

7. 静态闭包无法绑定到对象上

<?php

$func = static function() {
    echo  "hello";
};

$func = $func->bindTo(new StdClass);

$func(); //Cannot bind an instance to a static closure

二、闭包绑定到对象

闭包最开始主要是作为会调函数使用的，但是随着 php 语言的发展，有更多高级的用途，比如在 laravel 框架中，middleware，route 都主要的使用了闭包，通过绑定的方式能让开发人员在写业务逻辑的时候更加灵活。

Closure 类，包含两个方法：

1. Closure::bind： 复制一个闭包，绑定指定的 $this 对象和类作用域。
2. Closure::bindTo： 复制当前闭包对象，绑定指定的 $this 对象和类作用域。

Closure {   
    // closure：表示需要绑定的闭包对象。
    // newthis：表示需要绑定到闭包对象的对象，或者 NULL 创建未绑定的闭包。
    // newscope：表示想要绑定给闭包的类作用域，可以传入类名或类的示例，默认值是'static'，表示不改变。
    public static Closure bind (Closure $closure , object $newthis [, mixed $newscope = 'static' ])  
    public Closure bindTo (object $newthis [, mixed $newscope = 'static' ])  
}

可以看下具体的例子，在闭包中可以调用预期绑定对象中的成员，创建闭包之后，再绑定到具体的对象上。

class Animal {  
    private static $cat = "cat";  
    private $dog = "dog";  
    public $pig = "pig";  
}  

/*  
 * 获取Animal类静态私有成员属性 
 */  
$cat = static function() {  
    return Animal::$cat;  
};  

/*  
 * 获取Animal实例私有成员属性 
 */  
$dog = function() {
    return $this->dog;  
};  

/*  
 * 获取Animal实例公有成员属性 
 */  
$pig = function() {  
    return $this->pig;  
};  

$bindCat = Closure::bind($cat, null, new Animal());// 给闭包绑定了Animal实例的作用域，但未给闭包绑定$this对象  
$bindDog = Closure::bind($dog, new Animal(), 'Animal');// 给闭包绑定了Animal类的作用域，同时将Animal实例对象作为$this对象绑定给闭包  
$bindPig = Closure::bind($pig, new Animal());// 将Animal实例对象作为$this对象绑定给闭包,保留闭包原有作用域  
echo $bindCat(),'<br>';// 根据绑定规则，允许闭包通过作用域限定操作符获取Animal类静态私有成员属性  
echo $bindDog(),'<br>';// 根据绑定规则，允许闭包通过绑定的$this对象(Animal实例对象)获取Animal实例私有成员属性  
echo $bindPig(),'<br>';// 根据绑定规则，允许闭包通过绑定的$this对象获取Animal实例公有成员属性

// bindTo与bind类似，是面向对象的调用方式，这里只举一个，其他类比就可以
$bindCat = $cat->bindTo(null, 'Animal');
$bindDog = $dog->bindTo(new Animal(), 'Animal');
$bindPig = $pig->bindTo(new Animal());

再看一下官方的例子，该例子展示了闭包更换绑定对象，从而改变其所处的环境：

class A {
  
    function __construct($val) {
        $this->val = $val;
    }
  
    function getClosure() {
        //返回绑定了该对象和作用域的闭包
        return function() { 
          return $this->val; 
        };
    }
}

// 创建对象 ob1
$ob1 = new A(1);

// 创建对象 ob2
$ob2 = new A(2);

// 获取对象 ob1 中的闭包 c1
$cl = $ob1->getClosure();
// 执行闭包
echo $cl(), "\n";

// 将 c1 绑定到 ob2
$cl = $cl->bindTo($ob2);
// 执行闭包
echo $cl(), "\n";

四、参考资料

• https://www.php.net
• https://blog.csdn.net/wuxing26jiayou/article/details/51067190

一、写在前面

以前做过好几个站点涉及到社会化登录，主要使用的是 google，facebook。项目均采用 laravel 开发，使用官方插件 "laravel/socialite" 就 ok 了，如果遇到 socialite 中没有的 provider，则需前往 provider manager 仓库安装具体的 provider 了。

作为 web 项目，三方登录的 package 是比较成熟的，一般来说在网页上创建一个三方登录的按钮，跳转到第三方平台上登录，成功之后会跳转到项目站点预设的 callback 路径，在 callback 方法中做用户在三方平台登录之后在本站的认证操作。

近期，电商站点做 app，需要适配 app，一共要接入三个站点：facebook，google 和 paypal，本来以为 social 包就能处理，结果发现差异较大，浪费了不少的功夫，因此这里做点小结。

二、Facebook 登录

facebook 是最容易对接的，也是直接能用 socialite 包拿到用户数据的，app 那边登录之后，可以拿到 access_token，并传输到后端，后端拿到 access_token 后直接可以拿到用户的基本数据：

$userInfo = Socialite::driver($provider)->userFromToken($code);
$id = $userInfo->getId();
$name = $userInfo->getName();
$email = $userInfo->getEmail() ? $userInfo->getEmail() : $id;

三、google 登录

socialite 完全不能用，网上的文章也不靠谱。参考 google 官方文档 下载 google sdk 解决。

在所有工作开展之前，需要到 google 平台上增加项目，并对项目进行设置，此处略去不表。

用户在 google 登录之后，获得了名叫 id_token 的东西，客户端将 id_token 发送到后台服务器，服务器使用 id_token 获取用户信息。

这个 id_token，是和 access_token 是类似的东西，有效期内可以使用多次，还可以通过浏览器进行测试：

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

在多次尝试 socialite 库解析用户数据无效之后，通过浏览器测试确认了 token 所携带的数据内容，也确认了 socilalite 代码所提供的方法不能解析出用户，不知道为何同样是 oauth2，为何 google 对于 android 和 web 提供的方法不一致。

此处需要使用到 google 的 PHP sdk：composer require google/apiclient:"^2.0"

$client_id = config('service.google.client_id');

$client = new Google_Client(['client_id' => $client_id]);

try {
    $payload = $client->verifyIdToken($code);
  
    if ($payload) {
        return $payload;
  } else {
      throw new UnauthorizedHttpException("the token is invalid", 40110);
  }
} catch (\Throwable $exception) {
    throw new UnauthorizedHttpException("error when verify token from google", 40111);
}

四、paypal 登录

socialite 完全不能用，网上的文章也不靠谱。经过反复折腾，看了paypal 无数的 API 文档，SDK 使用说明，没有找到对路的办法，最终参考 paypal connect 官方文档解决，就是一个字，累。

在没有找到 Paypal connect 文档之前，在 paypal 的各种 api 文档中都检索不出头绪来。每次还需要客户端给生成一个 token，想着拿到的应该类似 facebook 或者 google 的 access_token，用 socialite 库直接读出来就好，万万没想到，这货却是一个 auth_code，需要在 server 端到 paypal server 上换一个 access_token，然后才能拿到用户信息。

先是按照官方文档的例子，用 postman 测试了下，确认了 api，最终使用了 PayPal-PHP-SDK，不过这货也是一个坑，官方已经设置为 readonly 了，基本上已经弃用，方法中的 api 接口都是旧的，不过请求的格式没太大变化，因此可以继承一下官方类来换取 access_token 和解析用户数据，等有空了，可以自己实现并维护一个库。

获取 access_token:

public static function getAccessToken($params, $apiContext)
    {
        static $allowedParams = array('grant_type' => 1, 'code' => 1);

        if (!array_key_exists('grant_type', $params)) {
            $params['grant_type'] = 'authorization_code';
        }

        $clientId = $apiContext->getCredential()->getClientId();
        $clientSecret = $apiContext->getCredential()->getClientSecret();

        $json = self::executeCall(
            "/v1/oauth2/token",
            "POST",
            http_build_query(array_intersect_key($params, $allowedParams)),
            array(
                'Content-Type' => 'application/x-www-form-urlencoded',
                'Authorization' => 'Basic ' . base64_encode($clientId . ":" . $clientSecret)
            ),
            $apiContext
        );

        $data = json_decode($json);

        return $data->access_token;
    }

获取用户信息：

public static function getUserInfo($params, $apiContext = null)
{
    static $allowedParams = array('schema' => 1);

    $params = is_array($params) ? $params : array();

    if (!array_key_exists('schema', $params)) {
        $params['schema'] = 'paypalv1.1';
    }

    $requestUrl = "/v1/identity/oauth2/userinfo?"
        . http_build_query(array_intersect_key($params, $allowedParams));

    $json = self::executeCall(
        $requestUrl,
        "GET",
        "",
        array(
            'Authorization' => "Bearer " . $params['access_token'],
            'Content-Type' => 'x-www-form-urlencoded'
        ),
        $apiContext
    );

    $ret = new UserInfo();

    $ret->fromJson($json);

    return $ret;
}

顺便，参考官方文档，写了个简单的页面，并在页面上放置一个跳转按钮，自己获取 auth_code, 这样再也不用依赖客户端的同事给生 code 了，大大简化了开发和测试流程。

五、结尾

小小的功能，写了两天，我也是醉了，究其原因有如下三点：

第一，是思想中过于依赖 socialite 库，以为这货考虑了 android 这样的客户端请求的情形，结果浪费了不少测试的事件。

第二，不得不吐槽 paypal 的官方文档了，可能因为 paypal 主要是做支付的，在 developer.paypal.com 中检索内容，很难检索到相关内容，最终还是产品的同事给了个链接

导入一个已存在的安卓项目，由于项目的开发环境和本地的开发环境可能存在不一致，导致导入项目时编译报错，遇到这样的问题，该如何解决呢？

基本的思路就是，修改要导入的安卓项目的配置文件，使其和本地的开发环境配置保持一致。

主要的配置文件有三个：

1. 项目根目录下的 build.gradle
2. app 目录下的 build.gradle
3. gradle/wrapper/gradle-wrapper.properties

修改好之后，进行编译即可。当然随着项目的不同，可能导入的项目由于缺少依赖还会遇到一些错误，只能具体问题具体的解决了。

iMovie 入门教程：视频编辑的利器

你不应该使用root用户在容器中启动程序，或者类似的特权用户，你应该在Dockerfile中创建一个普通用户，并且制定一个特别的uid和gid，然后用这个账户来启动进程，这样更加容易限制容器访问资源的权限。

预览

根据Linux的最低权限原则，一个程序应该只能访问他运行所必须的资源。这是一件非常严肃的事情。运行在系统上可能是一个病毒也可能是一个包含bug的程序，会对他能访问到的资源造成破坏。为了保证系统的安全稳定，你应该限制应用能够访问的资源和能够获取的权限。

许多容器化的程序并不要求使用root权限，docker本身也不要求使用root权限，所以编写一个安全和服用的镜像，不能期望容器将来会使用root权限运行，为了易于控制权限，你也不应该在镜像中使用root。

为什么

在使用Docker的时候，你需要清楚，容器中的进程和宿主机器上的其进程是没有区别的，他们使用的是同一个内核，受同一个内核管理权限，如果说容器中的进程是root权限，那么也就意味这这个进程在宿主机器上其实也是root权限。如果资源被挂载到容器中，那么意味着容器中的进程能够获取，修改，删除这些资源,因为它是root权限。

如果你要创建一个镜像，那么你就应该在Dockerfile中创建一个默认的用户，而不是使用默认的root。这样更加容器控制权限。我们举一个root容器的例子，看一下他的危害:

我在宿主机器的root目录下创建一个隐私文件，我使用root用户创建，只有root权限的用户才能访问这个文件

[email protected]:~$ sudo -s
[email protected]:~# cd /root
[email protected]:~# echo "top secret stuff" >> ./secrets.txt 
[email protected]:~# chmod 0600 secrets.txt
[email protected]:/root# ls -l
total 4
-rw------- 1 root root 17 Sep 26 20:29 secrets.txt
[email protected]:/root# exit
exit
[email protected]:~$ cat /root/secrets.txt
cat: /root/secrets.txt: Permission denied

现在我退出root，使用一个普通的用户来创建一个Dockerfile:

FROM debian:stretch
CMD ["cat", "/tmp/secrets.txt"]
然后我编译运行这个镜像，并且将我们的隐私文件挂载进去:

[email protected]:~$ docker run -v /root/secrets.txt:/tmp/secrets.txt <img>
top secret stuff

即便我在宿主机器上的容器是marc,但是在容器中，我已经拥有root权限了,能够访问宿主机上root权限才能访问的资源文件。这也就是说任何人在DockerHub上下载这镜像，都会暴露自己的特权文件(当然，还取决于你怎么它)。

建议
我建议在创建Dockerfile的时候创建一个普通用户，并且指定uid和gid。使用这个普通用户来启动容器。

FROM <base image>
RUN groupadd -g 999 appuser && \
    useradd -r -u 999 -g appuser appuser
    USER appuser
    ... <rest of Dockerfile> ...

在上面的例子，我们能够非常用户控制容器用户和用户的权限。

更具上面的例子，我修改一下Dockerfile

FROM debian:stretch
RUN groupadd -g 999 appuser && \
    useradd -r -u 999 -g appuser appuser
    USER appuser
    CMD ["cat", "/tmp/secrets.txt"]

再次上之前那样运行容器

[email protected]:~$ docker run -v /root/secrets.txt:/tmp/secrets.txt <img>
cat: /tmp/secrets.txt: Permission denied

这次隐私文件得到了保护。

复用其他容器

Docker容器非常有好的地方是他可以能够复用，你能够使用FROM来使用一个已经存在的容器。你能够创建你自己的用户，或者是root用户（前提是你确实需要root用户）。如果某些镜像中默认使用了root用户，你可以在自己的Dockerfile中覆盖这个设置，使用你自己的创建的用户。