Apigility APIの認証を使用して 、ログインしているユーザーのみを保護するにはどうすればよいですか?
現在、ユーザーがログインしたときに行うことは、セッションを作成することだけです(共通)。
もっとやる必要があります。どうにかして彼にも API を許可し、他のすべての人をブロックする必要があります (誰もログに記録されません)。
ZF2 と Apigility は初めてなので、ダミートークをお願いします。
私はApigility Auth2について読みましたが、これは使用しませんでした。
たとえば、Facebookにログインすると、他のアプリが再ログインせずにFacebookアカウントを使用することを「許可」できます.APIについても同様です。
そのためにはZF-Campus - ZF MVC Authをお勧めします。まさにそれを行うモジュールですApigility。これは機能が制限された ACL であり、ユーザーが認証されているかどうか、および特定の要求 (コントローラーのメソッド) の実行が許可されているかどうかのみを確認します。認証されていないユーザー (ゲスト) のアクセス許可を構成することもできます。
ここでリポジトリを確認してください。
OAuth モジュールが必要です。
https://apigility.org/documentation/auth/authentication-oauth2#browser-based-applications
ワークフローはFacebookのようなもので、
OAuth モジュールの URL にユーザーを送信する必要があります。ユーザーはアクセス データのリクエストを許可または拒否し、アプリは API にアクセスするためのトークンを使用してページにリダイレクトします。
フロントエンドと API が同じ開発者のものである場合、ユーザー名とパスワードを使用する最も簡単な方法を使用できます。
https://apigility.org/documentation/auth/authentication-oauth2#username-and-password-access
このワークフローでは、ユーザーはフロント アプリケーションでユーザー名とパスワードを渡します。
フロントエンドはこのデータを使用して API にリクエストを送信し、アクセス トークンを受け取ります。
このアプローチは、API と Front が同じ開発者または信頼できる開発者のものである場合に推奨されます。