Authentification pour l'un de Symfony2 api (pour mobile app)

J'ai développé une api REST pour mon application Symfony2. Cette api sera utilisé par une application mobile. Une grande partie de la fonctionnalité est effectué dans le contexte de l'utilisateur actuellement authentifié, c'est à dire:

$this->container->get('security.context')->getToken()->getUser()

Je suis en espérant que l'application mobile sera en mesure de publier à l'action login comme un traditionnel formulaire web. Si les informations d'identification découvrez ensuite Symfony2 est-il de la chose et définit un cookie (est-ce la même travailler dans le contexte d'une application mobile pour accéder à une api?). Puis, plus tard, de demandes d'api à partir de ce téléphone mobile (espérons-le) de travailler avec les autochtones de sécurité de symfony2.contexte du conteneur de services.

Serait-ce de travailler? J'ai besoin de comprendre ce processus d'autorisation avant de prendre l'API pour les développeurs d'applications mobiles. Si possible, je voudrais évidemment, comme pour être en mesure d'utiliser le natif de sécurité.contexte de service au lieu de construire un nouveau auth système de l'api qui utilise xAuth ou quelque chose de similaire.

Grâce

InformationsquelleAutor Marc | 2011-07-19
  1. 14

    Je pense que vous devriez le faire apatride (sans témoin).

    J'ai eu le même problème, ce que j'ai fait:

    • dans votre app/config/security.yml, ajouter:
    de sécurité: 
... 
pare-feu: 
rest_webservice: 
modèle: /webservice/repos/.* 
apatride: vrai 
http_basic: 
fournisseur de: provider_name 
...
    • Maintenant, vous pouvez faire une demande pour votre webservice:
    class AuthTest extends WebTestCase 
{
    public function testAuthenticatedWithWebservice() 
    {
        $client = $this->createClient();

        //not authenticated
        $client->request('GET', '/webservice/rest/url');
        $this->assertEquals(401, $client->getResponse()->getStatusCode());

        //authenticated
        $client->request('GET', '/webservice/rest/url', array(), array(), array(
            'PHP_AUTH_USER' => 'username', 
            'PHP_AUTH_PW' => 'password'
        ));
        $this->assertEquals(200, $client->getResponse()->getStatusCode());
    }
}
    • Hmm intéressant. Je ne suis pas tout à fait sûr, je suis tout ici. Pourriez-vous marcher à travers un exemple complet d'affaire? ie utilisateur foo donne leur nom d'utilisateur/mot de passe de l'application mobile. L'app inclut alors que le nom d'utilisateur et le mot de passe à chaque requête à l'API? En clair? C'est qu'il sécurisé? Désolé si je suis un malentendu quelque chose ici!
    • Comme dondlero dit que vous avez désactivé les cookies, c'est pourquoi j'ai ajouter des apatrides paramètre à true. Personnellement, je n'aime pas l'authentification digest, car il est très difficile à mettre en œuvre. Http principe de la méthode est simple et fonctionne bien. nom d'utilisateur et mot de passe sont visibles dans chaque demande. Vous devez utiliser un certificat SSL.
    • Étrange, je suis encore à la réception de Set-Cookie en-têtes, même après le réglage de stateless: true. Aucune idée de pourquoi cela pourrait-il arriver?
    • réponse de, avez-vous reconstruire votre caches?
    • mieux vaut tard que jamais! Je ne me souviens pas, mais je l'ai probablement fait. Je pense que j'ai l'habitude essayé que lorsque j'ai utilisé pour faire Symfony2 dev.
    InformationsquelleAutor julesbou
  2. 5

    Vous êtes ici, Comment créer un Fournisseur d'Authentification personnalisé article génial.

    À l'Authentification d'une application Symfony2 par le biais de l'api, vous devez utiliser:
    WS-Security

    InformationsquelleAutor cystbear
  3. 3

    Oui Marc, jules est en montrant un exemple, juste pour vous montrer comment tester l'authentification avec http_basic.

    D'être Reposante, vous devriez éviter d'utiliser des cookies, sinon il vous suffit d'appeler une API. Comment sécuriser votre système d'authentification, vous pouvez aller avec http_digest sur https ou plus sécurisé de demande signée avec api_key/api_secret approche.

    Jetez un oeil ici http://wiki.zanox.com/en/RESTful_API_authentication

    InformationsquelleAutor dlondero