- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
编辑:请参阅下面的我自己的解决方案,在撰写本文时,该解决方案可以正常运行但不完善。希望得到一些批评和反馈,如果我得到一些我认为非常可靠的东西,那么我将为面临同样挑战的其他人制作一篇指导博客文章。
我已经为此苦苦挣扎了好几天,我希望有人能让我知道我是否走在正确的道路上。
我有一个带有 FOSRestBundle Web 服务的系统,目前我正在其中使用 FOSUserBundle 和 HWIOAuthBundle 来验证用户身份。
我想为 Web 服务设置无状态 API key 身份验证。
我已通读 http://symfony.com/doc/current/cookbook/security/api_key_authentication.html这看起来很容易实现,我还安装了 UecodeApiKeyBundle,它似乎主要只是这本书页面的实现。
我的问题很棘手……现在怎么办?书页和 bundle 都涵盖了通过 API key 对用户进行身份验证,但没有涉及用户登录、生成 API key 、允许用户注册等流程。我真正想要的是用于登录的简单 API 端点,我的应用程序开发人员可以使用的注册和注销。例如/api/v1/login 等。
我想我可以处理注册......不过登录让我很困惑。根据一些额外的阅读,在我看来,登录需要做的是:
在 api/v1/login 创建一个接受 POST 请求的 Controller 。这请求将类似于 { _username: foo, _password: bar } 或类似于 { facebook_access_token: foo.或者,Facebook 登录可能需要不同的操作,例如/user/login/facebook,并且只需重定向到 HWIOAuthBundle 路径}。
如果请求包含_username和_password参数,那么我需要将请求转发到登录检查(我不确定这一点一。我可以自己处理这个表格吗?或者,我应该手动检查针对数据库的用户名和密码?)
添加登录事件监听器,如果用户认证成功,为用户生成一个 api key (当然,只有当我自己不检查时才需要这样做)
在 POST 请求的响应中返回 API key (这会破坏重定向后获取策略,但除此之外我没有看到任何问题与它)我认为这消除了重定向到登录检查选项我上面列出了。
正如你可能看到的,我很困惑。这是我的第一个 Symfony2 项目,关于安全性的书页听起来很简单……但似乎掩盖了一些细节,这让我非常不确定如何继续。
提前致谢!
================================================== ==============
编辑:
我已经安装了与相关食谱文章几乎相同的 API key 身份验证:http://symfony.com/doc/current/cookbook/security/api_key_authentication.html
为了处理用户的登录,我创建了一个自定义 Controller 方法。我怀疑这是否完美,我很想听到一些关于如何改进它的反馈,但我确实相信我走在正确的道路上,因为我的流程现在正在运行。这是代码(请注意,仍处于开发早期......我还没有查看 Facebook 登录,仅查看简单的用户名/密码登录):
class SecurityController extends FOSRestController
{
/**
* Create a security token for the user
*/
public function tokenCreateAction()
{
$request = $this->getRequest();
$username = $request->get('username',NULL);
$password = $request->get('password',NULL);
if (!isset($username) || !isset($password)){
throw new BadRequestHttpException("You must pass username and password fields");
}
$um = $this->get('fos_user.user_manager');
$user = $um->findUserByUsernameOrEmail($username);
if (!$user instanceof \Acme\UserBundle\Entity\User) {
throw new AccessDeniedHttpException("No matching user account found");
}
$encoder_service = $this->get('security.encoder_factory');
$encoder = $encoder_service->getEncoder($user);
$encoded_pass = $encoder->encodePassword($password, $user->getSalt());
if ($encoded_pass != $user->getPassword()) {
throw new AccessDeniedHttpException("Password does not match password on record");
}
//User checks out, generate an api key
$user->generateApiKey();
$em = $this->getDoctrine()->getEntityManager();
$em->persist($user);
$em->flush();
return array("apiKey" => $user->getApiKey());
}
}
这似乎工作得很好,用户注册的处理方式也类似。
对我来说有趣的是,我从说明书中实现的 api key 身份验证方法似乎忽略了 security.yml 文件中的 access_control 设置,在说明书中,他们概述了如何仅为特定路径生成 token ,但我没有'不喜欢这个解决方案,所以我实现了自己的(也有点差)解决方案,不检查我用来验证用户身份的路径
api_login:
pattern: ^/api/v1/user/authenticate$
security: false
api:
pattern: ^/api/*
stateless: true
anonymous: true
simple_preauth:
authenticator: apikey_authenticator
我确信还有更好的方法来做到这一点,但同样......不确定它是什么。
最佳答案
您正在尝试使用用户名和登录名实现无状态身份验证。这几乎是what the Oauth2 authentication passsword grant does 。这是非常标准的,所以我建议您使用 Bundle,而不是尝试自己实现它,例如 FOSOauthServerBundle 。它可以使用 FOSUserBundle 作为其用户提供者,并且比自制的解决方案更干净、更安全、更易于使用。
要注册用户,您可以在 API 中创建一个注册操作(例如,在 REST API 中,我将使用 POST - api/v1/users),并在 Controller 方法中复制并粘贴 FOSUserBundle 中的代码: RegistrationController(当然可以根据您的需要进行调整)。
我在 REST API 中做到了这一点,它非常有效。
关于symfony - Symfony2 中使用 FOSUserBundle(和 HWIOauthBundle)进行简单 API key 身份验证,填补了空白,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22723927/
我正在努力实现以下目标, 假设我有字符串: ( z ) ( A ( z ) ( A ( z ) ( A ( z ) ( A ( z ) ( A ) ) ) ) ) 我想编写一个正则
给定: 1 2 3 4 5 6
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
大家好,我卡颂。 Svelte问世很久了,一直想写一篇好懂的原理分析文章,拖了这么久终于写了。 本文会围绕一张流程图和两个Demo讲解,正确的食用方式是用电脑打开本文,跟着流程图、Demo一
身份证为15位或者18位,15位的全为数字,18位的前17位为数字,最后一位为数字或者大写字母”X“。 与之匹配的正则表达式: ?
我们先来最简单的,网页的登录窗口; 不过开始之前,大家先下载jquery的插件 本人习惯用了vs2008来做网页了,先添加一个空白页 这是最简单的的做法。。。先在body里面插入 <
1、MySQL自带的压力测试工具 Mysqlslap mysqlslap是mysql自带的基准测试工具,该工具查询数据,语法简单,灵活容易使用.该工具可以模拟多个客户端同时并发的向服务器发出
前言 今天大姚给大家分享一款.NET开源(MIT License)、免费、简单、实用的数据库文档(字典)生成工具,该工具支持CHM、Word、Excel、PDF、Html、XML、Markdown等
Go语言语法类似于C语言,因此熟悉C语言及其派生语言( C++、 C#、Objective-C 等)的人都会迅速熟悉这门语言。 C语言的有些语法会让代码可读性降低甚至发生歧义。Go语言在C语言的
我正在使用快速将 mkv 转换为 mp4 ffmpeg 命令 ffmpeg -i test.mkv -vcodec copy -acodec copy new.mp4 但不适用于任何 mkv 文件,当
我想计算我的工作簿中的工作表数量,然后从总数中减去特定的工作表。我错过了什么?这给了我一个对象错误: wsCount = ThisWorkbook.Sheets.Count - ThisWorkboo
我有一个 perl 文件,用于查看文件夹中是否存在 ini。如果是,它会从中读取,如果不是,它会根据我为它制作的模板创建一个。 我在 ini 部分使用 Config::Simple。 我的问题是,如果
尝试让一个 ViewController 通过标准 Cocoa 通知与另一个 ViewController 进行通信。 编写了一个简单的测试用例。在我最初的 VC 中,我将以下内容添加到 viewDi
我正在绘制高程剖面图,显示沿路径的高程增益/损失,类似于下面的: Sample Elevation Profile with hand-placed labels http://img38.image
嗨,所以我需要做的是最终让 regStart 和 regPage 根据点击事件交替可见性,我不太担心编写 JavaScript 函数,但我根本无法让我的 regPage 首先隐藏。这是我的代码。请简单
我有一个非常简单的程序来测量一个函数花费了多少时间。 #include #include #include struct Foo { void addSample(uint64_t s)
我需要为 JavaScript 制作简单的 C# BitConverter。我做了一个简单的BitConverter class BitConverter{ constructor(){} GetBy
已关闭。这个问题是 not reproducible or was caused by typos 。目前不接受答案。 这个问题是由拼写错误或无法再重现的问题引起的。虽然类似的问题可能是 on-top
我是 Simple.Data 的新手。但我很难找到如何进行“分组依据”。 我想要的是非常基本的。 表格看起来像: +________+ | cards | +________+ | id |
我现在正在开发一个 JS UDF,它看起来遵循编码。 通常情况下,由于循环计数为 2,Alert Msg 会出现两次。我想要的是即使循环计数为 3,Alert Msg 也只会出现一次。任何想法都
我是一名优秀的程序员,十分优秀!