两个用户提供商的 Symfony 安全策略？

Posted 2023-02-19

【中文标题】两个用户提供商的 Symfony 安全策略？

【英文标题】：Symfony security strategy with two user providers?

【发布时间】：2012-11-07 12:41:08

【问题描述】：

我有一个正在生产中的 API，供单个网站使用。我们希望将其开放给其他应用程序。 API 是 REST 并使用 Symfony 2。我一直在研究各种安全策略并进行了一些测试，但我真的坚持如何满足对应用程序和用户进行身份验证的要求。

我尝试过运行良好的 WSSE，但我似乎无法指定两个用户提供程序。

规则是： - 所有路由都必须有一个经过身份验证的应用程序，但只有一些需要经过身份验证的用户。然后根据应用程序和用户凭据生成 ROLE。

如果有人对支持这一点的最佳方式有一些好主意，将不胜感激。我仍在开发测试用例，因此很乐意合并一些有用的捆绑包（如果存在）。

【问题讨论】：

“验证应用程序”是什么意思？您是否试图以某种方式控制客户端？如果此应用程序在客户端机器（或攻击者的机器）上运行，那么它完全不可能。此外，我非常担心您认为这是可能的，因为这违反了现代安全的基础。

【参考方案1】：

查看有关安全性的文档，尤其是 chain_provider 内容：http://symfony.com/doc/current/book/security.html#using-multiple-user-providers。这应该可以满足您的需求！