Symfony 2 API认证方法

Question

我有一个用Symfony 2.7编写的JSON，我想对用户进行身份验证和授权。这是我第一次这么做，所以我有些疑问。

为此，我想到了几种方法：

1. 用户和密码，然后在后端保存会话。
2. 与1相同，但是添加一个" apiToken“(在用户注册时随机生成)，然后在每个请求中发送apiToken，以检查用户身份。
3. 使用OAuth (我目前正在阅读它)。

我读到，为简单的API使用OAuth就像是“过火”，但在安全方面，它坚持标准，并且允许我在移动设备和不同平台上使用API。

此外，我对使用方法1)或方法2的安全性缺陷也不太了解。

我知道这可能是基于意见，但我不知道任何其他网站发布这个问题，因为Symfony官方邮件被关闭，并迁移到这里似乎。

Answer 1

你似乎知道，你的问题过于基于意见。

如果我能给你一些建议(对600字符的评论来说太长)，

OAuth很强大，但是非常免费。

我的意思是，您可以很容易地实现它的排序，因为一切都运行良好，同时有一组潜在的安全问题，而不知道它们的存在。

由于经常发现新的安全问题，提供OAuth的库和包很难维护。另一方面，如果您需要OAuth的好处(成为与大部分社交网络兼容的客户端和/或服务器)，请学习OAuth并使用它。

否则，使用简单的凭据/请求令牌两步身份验证。

看基于KnpLabs的JWT认证教程，

瑞安·韦弗的Symfony卫队认证，

和伟大的LexikJWTAuthenticationBundle，易于实现和使用。