【发布时间】:2014-10-14 05:12:58
【问题描述】:
我有一个使用 Symfony 2 框架和 FOSUserBundle 作为身份验证提供程序开发的后端服务器。 我制作了一个自定义(返回 JSON 的简单控制器)API 来处理服务器和移动应用程序之间的通信。
所以基本上这个 API 中的所有方法都需要经过身份验证的用户。
Blow 是服务器和移动应用程序之间关于我打算做什么的小讨论:
- 移动应用:发送带有参数(电子邮件和密码)的 https 请求
- 服务器:验证电子邮件和密码,生成令牌,将其存储在用户表中并发送到移动应用程序
- 移动应用:在未来的请求中包含令牌
- 服务器:getUserByToken() 并继续其余逻辑
我的问题:
- 如何使用 FOSUserBundle(或其他任何东西)在服务器上实现凭据(电子邮件和通行证)验证?
- 我想知道如果黑客使用中间人技术,获取令牌并使用它向服务器发送请求怎么办?
免责声明:我在安全性和中级 Symfony 2 方面非常新手。 很抱歉没有包含更多解释的图片(我没有足够的声誉)。
【问题讨论】:
标签: web-services symfony mobile fosuserbundle