Мой вопрос: как мне использовать laravel 4 с sentry 2 для аутентификации пользователей, которые вызывают мой API? Каковы правильные способы сделать это?
Пример: пользователь в нативном приложении iOS вызывает мою веб-службу Laravel (возвращает ответ JSON), как laravel+sentry может аутентифицировать пользователя?
Заранее спасибо и прокомментируйте, если вам нужна дополнительная информация.
Если клиент может сохранять файлы cookie, вы просто входите в систему с помощью Sentry, и все должно работать. В противном случае после обычной аутентификации Sentry создайте и сохраните токен аутентификации в таблице пользователей:
$table->string('api_token',96)->nullable();
Затем используйте его во всех других вызовах:
{
"token": "a358dafd256cb5b26a944eacc1c7428a97f6d1e079c3f1972696f1bea7fff099",
"user": {
"id": "3",
"email": "[email protected]",
"permissions": [],
"activated": true,
"activated_at": null,
"last_login": "2014-03-08 11:17:48",
"first_name": null,
"last_name": null,
"created_at": "2014-03-08 10:29:08",
"updated_at": "2014-03-08 11:17:48",
"api_token": "a358dafd256cb5b26a944eacc1c7428a97f6d1e079c3f1972696f1bea7fff099"
}
}
Статья об этом: http://rjv.im/post/78940780589/api-token-authentication-with-laravel-and-sentry
Как упоминал Антонио, если клиент может сохранять файлы cookie, вы должны быть готовы к работе.
Но, я расскажу вам свои исследования на эту тему. Я искал реализацию токена API с помощью Laravel. Один, который я смог найти, принадлежит Терри Эпплби, и его реализация представляет собой пакет композитора с именем tappleby/laravel-auth-token. Я реализовал гораздо более простую версию пакета с помощью Sentry 2 по адресу http://rjv.im/post/78940780589/api-token-authentication-with-laravel-and-sentry.
Я назвал его грязным, потому что не особо задумывался о безопасности, истечении срока действия токенов и т. д., но, чтобы ответить на ваш вопрос, приведенная выше версия работает и небезопасна, если вы не находитесь в среде https.
Чтобы помочь вам больше, я предлагаю github.com/kippt/api-documentation. Это документация по API для приложения kippt.com. Я выбрал этот, потому что он действительно прост и может стать отправной точкой, если вы новичок в разработке API. Посмотрите, как они поддерживают различные виды аутентификации. Подводя итог тому, что поддерживает Kippt: сеанс браузера (я предполагаю, что iOS поддерживает файлы cookie), HTTP Basic Auth (передача имени пользователя и пароля каждый раз в заголовке) и токен (передача токена в заголовке каждого запроса). При реализации токена Kippt он просто возвращает токен клиенту после успешной аутентификации, и этот токен можно сохранить и использовать. Этот токен никогда не меняется. В своем блоге я создаю новый токен каждый раз, когда пользователь входит в систему.
Надеюсь, я смог помочь.
