웹 서비스 인증 및 사용자 신원 관리

Question

내 팀과 저는 현재 상당히 큰 프로젝트를 진행하고 있습니다. - 웹 브라우저, 응용 프로그램 전체 JavaScript (클라이언트 측), 전체 Ajax (기본적으로 UI가 관리됨을 의미 함)를 통해 온라인 게임에 액세스 할 수 있습니다. JS 클라이언트 쪽에서). -Via iPhone 응용 프로그램 (UI는 응용 프로그램 자체에서 관리함).

두 개의 서로 다른 응용 프로그램 사이에서 핵심 논리는 동일하게 유지되므로 잘못된 해결책이 될 수 있다고 믿습니다. 가능한 경우 RESTful 또는 Rest와 같은 표준을 사용하여 웹 서비스를 만들 수 있습니다. 필요한 모든 작업을 허용합니다.

이 논리에 이어 사용자 인증 및 ID 관리 문제가 발생했습니다. 이는 특정 작업을 수행하기 위해 사용자가 인증해야하는 응용 프로그램으로 인해 문제가됩니다.

WS 보안에 대해 살펴 봤지만 서버에 암호화되지 않은 암호가 저장되어 있어야합니다. 이는 허용되지 않습니다. 그런 다음 Oauth를 살펴 보았습니다.하지만 언뜻보기에는 이것이 내 작업에 적합하지 않은 것처럼 보였으며 (응용 프로그램을 받아 들여야하는 방식은 내 응용 프로그램과 응용 프로그램이 될 것이므로 만족스럽지 않습니다. 외부 응용 프로그램이 아닌 웹 서비스 만 사용). 나는 내가 원하는 것을 할 수있는 많은 다른 방법을 읽고 들었습니다. 그러나 솔직히 말해서 나는 약간 혼란스럽고 어떤 정보가 신뢰할 수 있고 그렇지 않은지 모릅니다.

저는 클라이언트 측 JavaScript에서 백엔드 및 jquery에 symfony2를 사용하고 있습니다. 또한 자세한 내용을 단계별로 설명하고 싶습니다. 실제로 읽고 읽은 모든 내용과 혼동하기 때문입니다.

시간 내 주셔서 감사 드리며 누군가가 나를 도울 수 있기를 바랍니다.

안녕하세요 나는이 귀하의 요청에 응답하지만, UI는 항상 클라이언트 측에서 처리되기 때문에, 당신이 비 저장 HTTP 인증을 사용할 수 있다고 생각하면 완전히 확실하지 않다

Answer 1

:

이가 security.yml 방화벽 :

security: 
    firewalls: 
     api: 
      pattern: ^/api/ # or whatever path you want 
      http_basic: ~ 
      stateless: true 

그리고 그 아이디어는 기본적으로 서버에, 당신은 최대 보안을 달성하기 위해 일반 사용자 제공, 인코더와 이것 저것을 사용하는 것이, 그리고 클라이언트에서, 당신은 HTTP 인증을 보내 예를 들어, jQuery를에 헤더 :

$.ajax("...", { 
    username: "Foo", 
    password: "bar" 
}); 

인증이 무 상태이기 때문에주의하시기 바랍니다 (어떤 쿠키가 지금까지 만들어지지 않습니다) 응용 프로그램이기 때문에, 헤더, 나는 그림, 모든 요청과 함께 전송해야하지만, 거의 전적으로 클라이언트 쪽, 이것은 문제가되지 않습니다.

HTTP 인증을 설정하는 방법에 대한 자세한 내용은 Symfony2 security manual을 확인할 수도 있습니다. 또한 ACL에서 HTTPS 액세스를 강제 실행하여 신임을 포함하는 요청이 보호되도록하십시오 (ACL 정의에서 requires_channel: https).