手机应用程序与服务器之间的通信

Question

我有一个后端服务器，其中使用Symfony 2框架和FOSUserBundle作为身份验证提供程序开发。 我已经制作了一个自定义（返回JSON的简单控制器）API来处理服务器和移动应用程序之间的通信。

因此，此API中的所有方法基本上都需要经过身份验证的用户。

Blow是服务器和移动应用程序之间关于我打算做的事情的一点讨论：

1. 移动应用：发送带参数的https请求（电子邮件和密码）
2. 服务器：验证电子邮件＆amp;密码，生成令牌，将其存储在用户表中并将其发送到移动应用程序
3. 移动应用：在将来的请求中包含令牌
4. server：getUserByToken（）并继续其余的逻辑

我的问题：

1. 如何使用FOSUserBundle（或其他任何方式）在服务器上实现凭证（电子邮件和通行证）验证？
2. 我想知道如果黑客使用Man In The Middle技术，获取令牌并使用它向服务器发送请求该怎么办？

免责声明：我是安全和中级Symfony 2的新手。 我很抱歉不包括可以解释更多的图像（我没有足够的声誉）。

Answer 1

  

1.如何使用FOSUserBundle（或其他任何东西）在服务器上获得凭证（电子邮件和通行证）验证？

Symfony2为您处理。您有一个使用FosUserBundle登录here和FOSRestBundle的示例。您只需修改代码即可仅使用邮件登录。