使用访问令牌 symfony 进行身份验证答案

【问题标题】：Authtificate using the access token symfony使用访问令牌 symfony 进行身份验证
【发布时间】：2023-03-20 12:00:01
【问题描述】：

我正在寻找使用访问令牌进行身份验证的解决方案，客户通过电子邮件https://www.mywebsite.com/?token=ijn8pC5q2bwftM7dMcjkhkdhgkfdjgfdgg 发送链接）。当客户单击链接时，应用程序应自动获取令牌，然后将用户重定向到他的个人页面，有什么建议

【问题讨论】：

FOSUser 在重置密码时会执行与此非常相似的操作（发送带有令牌的邮件）。看看vendor/friendsofsymfony/user-bundle/Controller/ResettingController.php 上的resetAction() 方法以获得一些灵感:)
当然，每个应用程序都有自己的必要条件，但请注意，除非它是一次性令牌，否则只要有人收到该电子邮件/令牌，就可以立即访问用户的帐户.此外，如果您不打算以任何方式限制尝试，人们可以通过生成随机令牌并尝试直到他们找到某人的令牌来暴力尝试访问您的应用程序。

【解决方案1】：

您可以使用自定义身份验证保护来实现这一点。这在documentation of symfony 中有很好的描述。在示例中，他们使用 http 标头字段，但您可以轻松地使用查询参数来做同样的事情。

正如 Daniel 所说，请注意令牌失效以确保应用程序安全。

【讨论】：