api cakephp休息認證

Question

我不知道目前使用CakePHP開發的REST API采用哪種方式，我還沒有實現身份驗證，直到現在我幾乎完成了它，我正在閱讀它，

但我不知道該怎么辦，這個API會暴露出來，以便網頁和移動應用可以使用它，但我不認為Basic auth或Digest auth（作為CakePHP中的默認選項）是可選的，

我只知道我需要它來檢查數據庫中的用戶名和密碼，並根據已經設置的ACL授予權限，我正在閱讀有關HMAC的內容，但我不完全理解它，我應該自己制作一個身份驗證方法這有關像檢查令牌嗎？ 這篇文章是否正確？ ： http ： //www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/

如果是這樣，我如何將這些原則實現到CakePHP auth方法？ 是否有使用HMAC的此auth方法的插件？

我應該使用OAuth 2.0嗎？ 使用OAuth 2.0進行用戶名和密碼登錄是否有意義？ 我迷路了嗎？ 如果我不是那么丟失，你能否描述如何在cakephp中使用用戶名和密碼實現OAuth？

有人，請，任何人在這個interweb論壇上沖浪，幫助我。 如果您可以提供示例或工作流程，任何事情，一切都將非常感激。

Answer 1

你需要多少安全保障？ 由於API通常是從具有密鑰的客戶端應用程序訪問的，因此通常可以將憑據與每個（https）請求一起發送（作為POST參數，因此它們將被加密）。 至少，這是迄今為止最簡單的解決方案：您只需檢查每個請求的憑據，無需任何會話，令牌等。 如果憑據有效，則檢查現在經過身份驗證的“用戶”是否有權訪問所請求的資源。

請記住，更高級的身份驗證/授權方法在開發和管理中很快變得復雜。 如果您沒有任何實施此類系統的經驗，那么您很可能會因實施錯誤/問題而廢除可能的安全性。