如何认证Zend Framework 1用户访问Laravel 5 API？

Question

需要你的想法。

我有一个ZF1/Postgres应用程序。它有自己的用户和所有这些。现在，我希望整个应用程序是API驱动的。我开始在一个新的Laravel 5应用程序中构建RESTful资源。Laravel应用程序将与相同的Postgres对话。最后，我想摆脱ZF1应用程序中的所有DB调用，因此Laravel应用程序负责这一工作。

问题是:我想为每个API调用添加授权，这样我就可以知道哪些用户产生了这些调用，并可以相应地采取行动。对用户进行身份验证的最佳方法是什么，以便他们能够访问Laravel端点？

Answer 1

如果您想使用RFC标准的oAuth2身份验证，我将使用https://github.com/lucadegasperi/oauth2-server-laravel。

假设您这样做了，您可能希望使用“密码”授予类型进行内部身份验证。您的客户端将使用用户的用户名和密码访问/oauth/access_token端点以获取令牌，这将返回一个对API的其余部分很好的访问令牌。

为了保护一条路线，你可以把它放在路由中：：group(‘=>’oauth‘之前的’‘)部分。要访问受oauth保护的端点，您需要将令牌放在HTTP报头“授权”：“承载”中。

如果您没有使用标准的laravel用户模型，您可能需要做一些调整。其中大部分都被oauth插件wiki所覆盖。

Answer 2

如果API不是公开的，并且没有任何直接从互联网访问它的更改，我就不会使用任何身份验证。我会在一个自定义的http-头中传递userId，并通过Auth::loginUsingId(1)进行身份验证，这将比进行真正的身份验证更便宜。因此，您必须将App\User映射到现有的用户表。

如果您想进行真正的身份验证，请看一看RESTful认证

关于如何使用Laravel进行REST服务的灵感，请看一看丁戈/空气污染指数包(目前只有Laravel 4，5正在进行中)。