symfony - Symfony2 中使用 FOSUserBundle(和 HWIOauthBundle)进行简单 API key 身份验证，填补了空白

Question

编辑:请参阅下面的我自己的解决方案，在撰写本文时，该解决方案可以正常运行但不完善。希望得到一些批评和反馈，如果我得到一些我认为非常可靠的东西，那么我将为面临同样挑战的其他人制作一篇指导博客文章。

我已经为此苦苦挣扎了好几天，我希望有人能让我知道我是否走在正确的道路上。

我有一个带有 FOSRestBundle Web 服务的系统，目前我正在其中使用 FOSUserBundle 和 HWIOAuthBundle 来验证用户身份。

我想为 Web 服务设置无状态 API key 身份验证。

我已通读 http://symfony.com/doc/current/cookbook/security/api_key_authentication.html这看起来很容易实现，我还安装了 UecodeApiKeyBundle，它似乎主要只是这本书页面的实现。

我的问题很棘手……现在怎么办？书页和 bundle 都涵盖了通过 API key 对用户进行身份验证，但没有涉及用户登录、生成 API key 、允许用户注册等流程。我真正想要的是用于登录的简单 API 端点，我的应用程序开发人员可以使用的注册和注销。例如/api/v1/login 等。

我想我可以处理注册......不过登录让我很困惑。根据一些额外的阅读，在我看来，登录需要做的是:

• 在 api/v1/login 创建一个接受 POST 请求的 Controller 。这请求将类似于 { _username: foo, _password: bar } 或类似于 { facebook_access_token: foo.或者，Facebook 登录可能需要不同的操作，例如/user/login/facebook，并且只需重定向到 HWIOAuthBundle 路径}。

• 如果请求包含_username和_password参数，那么我需要将请求转发到登录检查(我不确定这一点一。我可以自己处理这个表格吗？或者，我应该手动检查针对数据库的用户名和密码？)

• 添加登录事件监听器，如果用户认证成功，为用户生成一个 api key (当然，只有当我自己不检查时才需要这样做)

• 在 POST 请求的响应中返回 API key (这会破坏重定向后获取策略，但除此之外我没有看到任何问题与它)我认为这消除了重定向到登录检查选项我上面列出了。

正如你可能看到的，我很困惑。这是我的第一个 Symfony2 项目，关于安全性的书页听起来很简单……但似乎掩盖了一些细节，这让我非常不确定如何继续。

提前致谢!

================================================== ==============

编辑:

我已经安装了与相关食谱文章几乎相同的 API key 身份验证:http://symfony.com/doc/current/cookbook/security/api_key_authentication.html

为了处理用户的登录，我创建了一个自定义 Controller 方法。我怀疑这是否完美，我很想听到一些关于如何改进它的反馈，但我确实相信我走在正确的道路上，因为我的流程现在正在运行。这是代码(请注意，仍处于开发早期......我还没有查看 Facebook 登录，仅查看简单的用户名/密码登录):

class SecurityController extends FOSRestController
{

    /**
     * Create a security token for the user
     */

    public function tokenCreateAction()
    {
        $request = $this->getRequest();

        $username = $request->get('username',NULL);
        $password = $request->get('password',NULL);

        if (!isset($username) || !isset($password)){
            throw new BadRequestHttpException("You must pass username and password fields");
        }

        $um = $this->get('fos_user.user_manager');
        $user = $um->findUserByUsernameOrEmail($username);

        if (!$user instanceof \Acme\UserBundle\Entity\User) {
            throw new AccessDeniedHttpException("No matching user account found");
        }

        $encoder_service = $this->get('security.encoder_factory');
        $encoder = $encoder_service->getEncoder($user);
        $encoded_pass = $encoder->encodePassword($password, $user->getSalt());

        if ($encoded_pass != $user->getPassword()) {
            throw new AccessDeniedHttpException("Password does not match password on record");
        }


        //User checks out, generate an api key
        $user->generateApiKey();
        $em = $this->getDoctrine()->getEntityManager();
        $em->persist($user);
        $em->flush();

        return array("apiKey" => $user->getApiKey());
    }

}

这似乎工作得很好，用户注册的处理方式也类似。

对我来说有趣的是，我从说明书中实现的 api key 身份验证方法似乎忽略了 security.yml 文件中的 access_control 设置，在说明书中，他们概述了如何仅为特定路径生成 token ，但我没有'不喜欢这个解决方案，所以我实现了自己的(也有点差)解决方案，不检查我用来验证用户身份的路径

api_login:
    pattern: ^/api/v1/user/authenticate$
    security: false

api:
    pattern: ^/api/*
    stateless: true
    anonymous: true
    simple_preauth:
        authenticator: apikey_authenticator

我确信还有更好的方法来做到这一点，但同样......不确定它是什么。

Answer 1

您正在尝试使用用户名和登录名实现无状态身份验证。这几乎是what the Oauth2 authentication passsword grant does 。这是非常标准的，所以我建议您使用 Bundle，而不是尝试自己实现它，例如 FOSOauthServerBundle 。它可以使用 FOSUserBundle 作为其用户提供者，并且比自制的解决方案更干净、更安全、更易于使用。

要注册用户，您可以在 API 中创建一个注册操作(例如，在 REST API 中，我将使用 POST - api/v1/users)，并在 Controller 方法中复制并粘贴 FOSUserBundle 中的代码: RegistrationController(当然可以根据您的需要进行调整)。

我在 REST API 中做到了这一点，它非常有效。