Secure RESTful веб-сервиса с использованием Symfony2

Question

Мы находимся в процессе планирования приложения IOS, в которой пользователи должны быть подлинности и уполномоченный, прежде чем они могут взаимодействовать с данным веб-службы Symfony2.

Авторизация будет реализована с помощью ACL, это аутентификация, о которой я не уверен.

Из того, что я нашел в своих исследованиях, есть несколько способов достижения части аутентификации, но поскольку сторонних пользователей не будет обращаться к данным, это похоже на базовую HTTP-аутентификацию в паре с сертификатом SSL, это способ идти. Это правильно?

Кроме того, простое имя пользователя и пароль достаточно безопасны или лучше добавить какой-либо ключ API для идентификации?

Если ключ необходим и с учетом того, что наши пользователи будут частью группы, должен ли ключ связываться с каждым пользователем отдельно или группой в целом?

Наконец-то, и немного не по теме, у Symfony2 есть FOSRestBundle, есть ли библиотека defecto REST для iOS?

Answer 1

Поскольку https/ssl довольно безопасен, вы можете использовать базовую HTTP-аутентификацию и/или решение api key.

Wether для использования ключа и/или имени пользователя/пароля - ваш личный выбор. Если какие-то запросы могут быть уловлены в открытом виде, то один из них скомпрометирован.

Ключи в дополнение к имени пользователя/паролю auth могут иметь преимущество разграничения, то есть пользовательских контингентов.

Основная HTTP-аутентификация в основном используется, поэтому вероятность того, что ваш клиент имеет уже доступные методы для интеграции с его стороны, высок.

Вы должны всегда выдавать уникальные ключи или имя пользователя/пароли каждому пользователю, чтобы иметь возможность регистрироваться, кто именно это сделал.

Я не так много в iOS, извините.

Answer 2

Для защиты приложений REST в symfony FOSOAuthServerBundle очень полезен. С его помощью вы можете реализовать легкую аутентификацию OAuth для своего приложения. OAuth является стандартом де-факто для обеспечения безопасности веб-сервисов REST.