Symfony 2 API認証方法

Question

私はSymfony 2.7で書かれたJSON REST APIを持っており、&を認証するユーザーを認証します。これは初めてのことですから、いくつかの疑問や質問があります。ランダムときに、ユーザー生成（

1. ユーザー&パスワード、およびその後）1として
2. 同じバックエンドでセッションを保存しますが、「apiToken」を追加します。そのために
   は、私はいくつかの方法を考えましたユーザーIDを確認するたびにapiTokenを&に送り返します。
3. OAuth（私が現在読んでいる）を使用してください。

単純なAPIにOAuthを使用することは、「過剰使用」のようなものですが、安全面では標準に固執しています。また、モバイルデバイスやプラットフォームによってAPIを使用する際にも使用できます。

また、方法1）または2）を使用することのセキュリティ上の欠陥についてあまり知りません。

私は、これは多分意見に基づいているけど、私はそれはそうsymfonyの公式メーリングリストがシャットダウンされたように、この質問を投稿し、他のサイトを知っていて、ここでは移行されません。

Answer 1

あなたが知っているように、あなたの質問は意見にも基づいています。

私はあなたに（600charsコメントには長すぎる）いくつかのアドバイスを与えることができれば、

のOAuthは強力ですが、そんなに自由。
私は、あらゆるものがうまく動作するように並べ替えを簡単に実装できることを意味します。

OAuthを提供するライブラリおよびバンドルは、定期的に見つかった新しいセキュリティ問題のため、維持するのが難しいです。 あなたが（社会的ネットワークのほとんどの部分との互換性、クライアントおよび/またはサーバーである）のOAuthの利点を必要とする一方、OAuthのを学び、それとのあなたの経験を行うに行きます。

そうでない場合は、簡単な資格情報/リクエストトークン二段階認証を使用します。

は実装し、使いやすい、
と素晴らしいLexikJWTAuthenticationBundle、
Symfony Guard Authentication by Ryan Weaver、JWT Authentication tutorial by KnpLabsを参照してください。