问题标签 [fosoauthserverbundle]

From what I can see here, it isn't a good idea to hold sensitive data (like an access_token) in querystring parameters.

i.e: I am trying to avoid this:

Therefore, I tried to make api requests with the access_token in the Authorization header (which was suggested here. When trying to do so, I get the following error:

However, the request is exactly like this, and the token seems to be properly set:

Does anyone one know if this is possible with FOSOAuthServerBundle?

Note: I verified in the browser, and the token is still valid (not expired).

我已经在项目中使用 FOSUserBundle 和 FOSOAuthBundle 一段时间了，但我最近添加了另一个数据库连接和另一个实体管理器，因此不能再依赖 auto_mapping。

我已将两个捆绑包的映射添加到其中一个实体管理器中，一切似乎都正常。

但是，我发现用户在运行时不再生成正确的模式app/console doctrine:schema:create，这表明存在映射问题。值得注意的是，来自 FOSOAuthBundle 的客户端映射正常。

在我看来，FOSUserBundle 中的映射被忽略了，我不确定我做错了什么。

实体管理器设置：

fos_user 设置：

有任何想法吗？

我正在尝试集成FOSUserBundle以FOSOAuthServerBundle保护我RESTFul APIs，但在访问登录页面时出现以下错误，我对它很陌生，所以我不知道如何摆脱这个错误。

在这里，我正在尝试打开一个登录表单，FOSUserBundle以便我可以登录并获取令牌

这是我的security.yml

当我触发 url 时，我现在想FOSUserBundle与集成FOSOAuthServerBundle

我可以看到FOSUserBundle提示输入用户名和密码的表单。

但是我想要实现的是，一旦用户成功登录，我想以一种我想使用现有表单的方式生成Token，以便登录后我可以生成，然后用户可以无缝地调用 Rest API。FOSOAuthServerBundleFOSUserBundleFOSOAuthServerBundleAuth Token and Id

这是一个片段security.xml：

所以当用户访问时，/oauth/v2/auth/login他们可以提示输入用户名和密码FOSUserBundle。

我在我的应用程序中实现了 FOSOAuthServerBundle 来为移动应用程序提供 API。它似乎有效，用户得到了Token，RefreshToken但如果我让控制器需要总是返回的用户对象null。也无法控制权限，只有IS_AUTHENTICATED_ANONIMOUSLY.

例子：

如何使用这种类型的身份验证在控制器中获取用户对象？

我正在使用FOSOAuthServerBundle并且Symfony出现以下错误：

这是我的service.xml文件，因为我是 Symfony 的新手，所以我不知道为什么会出现这个错误。

这是我创建的表格AuthorizeFormType：

根据可能重复的参考问题更新配置文件，但我仍然遇到相同的错误

我已经设置了 FOSOauthServerBundle，我有我的 api 和访问令牌 现在，当我调用 /api?access_token=.... 时，我看到的只是登录页面。我的security.yml：

我开发了一个 REST API，有两种连接方式：session 和 oauth。基本上，我的网站会使用 session 模式，第三方软件会使用 oauth 模式。

我设法让 session 和 oauth 模式在 symfony 中工作，但我不能让它们同时工作。

这是我的防火墙安全配置：

会话处理：/auth/session。OAuth 处理：/auth/oauth。api：/api。

因此，使用此配置，首先使用“api”防火墙，我可以使用令牌登录。但即使使用会话登录，如果我不指定令牌，我将无权访问。

首先使用“auth”防火墙，我可以使用会话表单登录。但即使我指定了一个令牌，我也无权访问。

我对此越来越疯狂。我在堆栈溢出中发现了一些关于链提供商的东西，我可能需要像“链防火墙”这样的东西......如果被禁止，请检查另一个防火墙。

谢谢

I have a RESTful Api written in Symfony2 using FosOauth2Serverbundle, FosRestBundle and FosUserBundle. I am planing to bring varnish in front of my api as reverse proxy. Since my app using my api always send access_token as parameter or header varnish caches almost every request as different requests and it is not effective. Because i use user of access_token in my controller for security and sometimes for content, i can not remove access_token from request completely from request in vcl_recv. After several search on internet, i come across a solution for authentication http://www.adayinthelifeof.nl/2012/07/06/using-varnish-to-offload-and-cache-your-oauth-requests/ . However, i can not figure out how to tell FosUserBundle current user in header to pass security in security.yml:

In short, How can i tell FosUserBundle current user in request(send from varnish) header?

我想使用 FOSOAuthServerBundle 提供一个使用 OAuth2 保护的 RESTful API，但我不确定我必须做什么。

我遵循了文档中的基本步骤，但缺少一些东西，我找不到我需要的完整示例。

因此，我试图尽我所能理解这个实现示例（我发现的唯一一个），但仍有一些我不明白的地方。

首先，为什么我们需要 API 中的登录页面？假设我的客户端是 iPhone 或 Android 应用程序，我在应用程序上看到了登录页面的兴趣，但我认为客户端只需从 API 调用 Web 服务来获取其令牌，我错了吗？那么如何通过 REST 端点实现自动化和令牌提供呢？

然后，文档告诉编写此防火墙：

而且我不知道如何添加身份验证过程。我应该自己写一个，例如按照本教程，还是我完全错了？

在全球范围内，在文档中的五个步骤之后，有人可以花时间解释提供 OAuth2 安全 RESTful API 所需的过程吗？这将是非常好的...

在@Sehael 回答后编辑：

在完美之前我还有一些问题......

这里的“客户”代表什么？例如，我应该为 iPhone 应用程序创建一个客户端，而为 Android 应用程序创建另一个客户端吗？我是否必须为每个想要使用 API 的实例创建一个新客户端？在这种情况下，最佳做法是什么？

不像你，我不使用前端网站的 OAuth 过程，而是“经典”的 symfony 方式。你觉得这很奇怪，还是很正常？

refresh_token 有什么用处？如何使用它？

我试图测试我的新 OAuth 保护服务。我使用了支持 OAuth 1.0 的 POSTman chrome 扩展，OAuth2 看起来是否像 OAuth1 足以用 POSTman 进行测试？有一个我不知道如何填写的“秘密令牌”字段。如果我不能，我会很高兴看到您提出的 (@Sehael) PHP 课程。/ 编辑：好的，我想我找到了这个答案。我只是将access_token令牌作为值添加为 GET 参数。它似乎正在工作。不幸的是，我必须对捆绑代码进行反向工程才能找到它，而不是在文档中阅读它。

无论如何，非常感谢！