次のように動作するアプリケーションを構築しています。
唯一のバックエンドとして、Symfony Framework 2.3.2 + FOSRESTBundle で構築された REST API (JSON のみ) を使用しています。
この API には、最初は次の 2 つのクライアントがあります。
- Android デバイスで実行されるアプリ。
- API と同じサーバー上で実行される、AngularJS で構築された Web アプリ。
アプリケーションを使用できる企業を登録します。各企業は独自のユーザーをロールに登録できます。これらのユーザーは、通常の電子メール/パスワード フォームを介して Web アプリにのみアクセスします。
企業は、限られた数の Android デバイスを登録して、IMEI (モバイル デバイスの国際固有識別コード) で識別することもできます。これらのデバイスは、IMEI を使用して API に対する認証を行います。
Android デバイスは限られたリソースのセットにしかアクセスできませんが、Web アプリのユーザーは、ロールが許可するすべてのものにアクセスできます。
私は欲しい:
- 電子メール/パスワードによる Web アプリ ユーザーと、IMEI による Android デバイスの両方を認証するための安全で統一された方法。
- アクセスできるリソースを制限します。
所見:
- API サーバーに HTTPS があります。
どうすればそれを達成できるかについてのアイデアはありますか?