【发布时间】:2012-11-07 12:41:08
【问题描述】:
我有一个正在生产中的 API,供单个网站使用。我们希望将其开放给其他应用程序。 API 是 REST 并使用 Symfony 2。我一直在研究各种安全策略并进行了一些测试,但我真的坚持如何满足对应用程序和用户进行身份验证的要求。
我尝试过运行良好的 WSSE,但我似乎无法指定两个用户提供程序。
规则是: - 所有路由都必须有一个经过身份验证的应用程序,但只有一些需要经过身份验证的用户。然后根据应用程序和用户凭据生成 ROLE。
如果有人对支持这一点的最佳方式有一些好主意,将不胜感激。我仍在开发测试用例,因此很乐意合并一些有用的捆绑包(如果存在)。
【问题讨论】:
-
“验证应用程序”是什么意思?您是否试图以某种方式控制客户端?如果此应用程序在客户端机器(或攻击者的机器)上运行,那么它完全不可能。此外,我非常担心您认为这是可能的,因为这违反了现代安全的基础。
标签: security rest symfony wsse