如何使用 Apigility API 的身份验证使其仅对登录用户安全?
现在,当用户登录时,我所做的就是创建会话(常见)。
我需要做更多,我还需要以某种方式授权他使用 API 并阻止其他所有人(没有记录)
我对 ZF2 和 Apigility 有点陌生,所以请做个假谈话。
我确实阅读了有关Apigility Auth2 的信息,而不是使用它。
我需要一些更简单的东西,例如,当您登录 facebook 时,您可以“允许”其他应用程序使用您的 facebook 帐户而无需重新登录,api 也应该如此。
我会为此推荐ZF-Campus - ZF MVC Auth。它是一个Apigility完全可以做到这一点的模块。它是一个功能有限的 Acl,它只检查用户是否经过身份验证以及是否允许他们执行某个请求(控制器上的方法)。您还可以为未经身份验证的用户(来宾)配置权限。
在此处检查存储库。
您需要 OAuth 模块,
https://apigility.org/documentation/auth/authentication-oauth2#browser-based-applications
工作流程就像脸书,
您必须将用户发送到 OAuth 模块的 url,用户将允许或拒绝访问数据的请求,并且应用程序将使用令牌重定向到您的页面以访问 API。
如果前端和 api 来自同一个开发者,你可以使用最简单的方法,用户名和密码。
https://apigility.org/documentation/auth/authentication-oauth2#username-and-password-access
在此工作流程中,用户将在您的前端应用程序中传递用户名和密码。
您的前端将使用此数据向 API 发送请求,并将接收访问令牌。
当 API 和 Front 属于同一开发者或受信任的开发者时,建议使用此方法。