具有分离客户端和最终用户安全性的 symfony2 rest api

Question

我正在 symfony2 上构建一个 REST API，但我不确定管理不同安全级别的最佳方法是什么。

• 未经身份验证的客户端（无权访问 API 数据的应用或网站）无法从 API 获取（获取、放置、发布等）数据
• 经过身份验证的客户端将能够从 API 请求一些数据，但不能请求与用户相关的数据。
• 另一方面，最终用户需要以某种方式登录才能从 API 访问一些私有资源。

例如，api/v1/philosophies 将列出所有经过身份验证的客户端的原理。未注册的最终用户可以看到列表：“理想主义、现实主义、存在主义……”。 但是最终用户需要获得授权（注册和登录）才能通过api/v1/user/{userID}/favorites 访问他们最喜欢的哲学。

我一直在阅读和测试 FOSUserBundle、FOSRestBundle 和 FOSOAuthServerBundle 的内容，但我发现的所有信息都是用户始终登录以获取令牌，并且整个 api 都受到客户端和用户的保护。

有什么想法吗？

有点光？

请？

Answer 1

FOSRest 和 FOSAuth 可以满足您的需求，只是看起来您需要更改在 security.yml 中定义访问权限的方式。您必须始终登录才能访问资源的唯一原因是资源受到保护。如果您想要允许匿名访问的资源，则在 security.yml 中创建该条目，如下所示：

security:
    access_control:
        - { path: ^/api/v1/pilosophies$, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/api/v1, roles: IS_AUTHENTICATED_FULLY }

这将使/api/v1/pilosophies 无需登录即可访问，但所有其他资源仍将受到保护。您可以在文档Securing specific url patterns

中阅读更多相关信息

最终，您是决定哪些资源受保护或不受保护的人。 FOSOAuth 与该决定无关。