Ada*_*dam 4 oauth zend-framework2 apigility
我即将开始使用rest API进行应用程序,我想使用apigility.不幸的是,这个想法存在一个问题.我无法找到可靠的信息来源,如何允许oAuth对普通用户进行身份验证.
我需要为角度应用和原生移动设备提供访问权限(可能在将来用于第三方Web应用程序).我找到的所有资源都是关于为特定客户端应用程序授予对api的访问权限,而不是为使用此应用程序的特定用户授予访问权限.我不想实现两种不同的身份验证方法,所以如果有办法用apigility来解决这个问题,那就太棒了.
您对此有何建议?我知道我可以为所有注册用户生成客户端ID和密码,但是这会产生一些糟糕的解决方案,并且我已经有了用于存储用户信息的数据库模式.
您可能正在寻找的是"密码"授权类型.在这种情况下,您将有一种方法来注册用户及其密码,然后是一个"登录"屏幕.此登录屏幕将发送以下信息:
请注意,在这种情况下,您不提供client_secret!在用户凭证方案的情况下,验证用户的凭证,然后服务器验证client_id是否支持此授权类型.
如果用户提供了成功的凭据,那么OAuth2端点将返回一个令牌,一个TTL和一个refresh_token(如果您在TTL过期之前发送它,它将为您提供一组新的令牌).
然后,您将在授权标题中发送令牌:"授权:承载".然后,Apigility将在每个请求中选择此项并验证令牌.
验证还返回用户名作为身份的一部分.这意味着您可以查询ZF\Mvc\Identity以检索用户,以便稍后执行特定于用户的ACL断言!
如果您需要更多指导,请在邮件列表(http://bit.ly/apigility-users)上戳我.
| 归档时间: |
|
| 查看次数: |
3030 次 |
| 最近记录: |