使用 Symfony2 保护 RESTful Web 服务

Question

我们正在规划一个 iOS 应用程序，其中用户需要认证和授权，然后他们才能与 Symfony2 Web 服务提供的数据进行交互。

授权将通过 ACL 实现，这是我不确定的身份验证。

根据我在研究中发现的情况，有几种方法可以实现身份验证部分，但由于不会有任何第三方访问数据，听起来基本的 HTTP 身份验证与 SSL 证书配对是一种方法去。 这是正确的吗？

此外，简单的用户名和密码是否足够安全，或者添加某种 API 密钥进行识别是否更好？

如果需要密钥并且考虑到我们的用户将成为组的一部分，应该将密钥单独绑定到每个用户还是绑定到整个组？

最后，有点跑题了，Symfony2 有 FOSRestBundle，是否有适用于 iOS 的事实上的 REST 库？

Answer 1

为了保护 symfony 中的 REST 应用程序，FOSOAuthServerBundle 非常有用。有了它，您可以为您的应用实现简单的 OAuth 身份验证。 OAuth 是保护 REST Web 服务的事实标准。

Answer 2

由于 https/ssl 非常安全，您可以使用基本的 http 身份验证和/或 api 密钥解决方案。

是否使用密钥和/或用户名/密码是您个人的选择。 如果可以以某种方式以明文形式捕获请求，则任何一个都会受到损害。

除了用户名/密码身份验证之外的密钥可以具有分离即用户特遣队的优势。

主要使用基本的 http 身份验证，因此您的客户已经有可用的方法从他的身边集成它的机会很高。

您应该始终向每个用户提供唯一的密钥或用户名/密码，以便能够记录谁做了什么。

抱歉，我不太喜欢 iOS。