FOSRestBundle,FOSOAuthServerBundle,FOSUserBundler - 如何集成它们?

时间:2014-03-31 19:24:13

标签: symfony fosuserbundle fosrestbundle fosoauthserverbundle

在我的symfony2项目中,我在网站上使用FOSUSerBundle进行登录,注册等。工作正常,正如我所料。 但现在我想构建一个REST API,以便Android应用程序可以充当客户端并使用数据。 我发现FOSRestBundle在symfony2项目中构建REST API。我想使用FOSOAuthServerBundle来处理访问api的令牌。 用户应该通过API登录,然后他可以使用api提供的其他方法。

我阅读了很多博客和其他文档,但是找不到,如何构建REST Api。 我设置了每个Bundle,我生成了一个带有公共ID和安全代码的客户端。在网站上我可以使用登录。

但是我必须在REST API控制器中定义哪些步骤/方法才能使用令牌身份验证?

谢谢!

2 个答案:

答案 0 :(得分:0)

在这个link中,您将找到开发第一个REST api的好例子。

祝你好运。

答案 1 :(得分:0)

我最近使用FOSUser FOSOAuthServer和FOSRest Bundles设置了API。

在我的security.yml中,我有以下内容:

MediaScannerConnection.scanFile (_application, new String[] { filePath }, null, null);

这允许匿名访问登录路由,而其他所有路由都需要身份验证。

我创建了一条登录路由,将请求代理到OAuth客户端。这样用户永远不会知道客户端密码:(注意我已删除了示例中的客户端ID和密码)

security:

    encoders:
        FOS\UserBundle\Model\UserInterface: bcrypt

    role_hierarchy:
        ROLE_ADMIN:       ROLE_USER
        ROLE_SUPER_ADMIN: ROLE_ADMIN

    providers:
        fos_userbundle:
            id: fos_user.user_provider.username

    firewalls:
        # disables authentication for assets and the profiler, adapt it according to your needs
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false

        oauth_token:                                   # Everyone can access the access token URL.
            pattern: ^/login
            security: false

        api:
            pattern: /                                 # All URLs are protected
            fos_oauth: true                            # OAuth2 protected resource
            stateless: true                            # Do no set session cookies
            anonymous: false

    access_control:
        - { path: ^/login$, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/register, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/resetting, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/admin/, role: ROLE_ADMIN }

如果提交了有效的用户/通行证,则会返回OAuth令牌。

获得此令牌后,我可以将其添加到Headers中以获取任何请求

/**
 * @Post("/login")
 */
public function postLoginAction(Request $request){
    $request->request->add( array(
        'grant_type' => 'password',
        'client_id' => 'clientID_clientRandomID',
        'client_secret' => 'clientSecret'
    ));

    return($this->get('fos_oauth_server.controller.token')->tokenAction($request));
}

一旦验证了用户,您可以随时在任何api调用中检查他们的角色。如下所示:

Authorization: Bearer OAuth_TOKEN

另一种检查角色的方法可以在security.yml

中完成 
public function getUserAction()
{
    $this->denyAccessUnlessGranted('ROLE_ADMIN', null, 'Unable to access this page!');

    $user = $this->getUser();

    $view = $this->view($user);
    return $this->handleView($view);
}

我在以下帖子中找到了这个:RESTFul OAuth with FOSOAuthServer / FOSRest & FOSUser

这就是我处理Symfony3构建的方法,Symfony2的某些语法(检查用户角色)可能不同

我在构建我的api时使用这篇文章作为参考:http://williamdurand.fr/2012/08/02/rest-apis-with-symfony2-the-right-way/

相关问题
最新问题