我有一个正在生产的 API 正在由单个网站使用。我们希望将其开放给其他应用程序。该API是REST,使用Symfony 2。我一直在研究各种安全策略并测试了一些,但真的坚持如何满足对应用程序和用户进行身份验证的要求。
我已经尝试过运行良好的WSSE,但我似乎无法指定两个用户提供程序。
规则是:- 所有路由都必须具有经过身份验证的应用程序 biut,只有某些路由需要经过身份验证的用户。然后根据应用程序和用户凭据生成角色。
如果有人对支持这一点的最佳方式有一些好主意,我们将不胜感激。我仍在开发测试用例,因此如果存在一些有用的捆绑包,我很乐意合并它们。
看看关于安全的文档,尤其是chain_provider的东西:http://symfony.com/doc/current/book/security.html#using-multiple-user-providers。这应该可以满足您的需求!