安全(Symfony欧宝娱乐app下载地址 2.3 Docs)

1)初始安全性。yml设置(认证)

安全系统配置在应用程序/配置/ security.yml．默认配置如下所示:

YAML
XML
PHP

                 12 3 4 5 6 7 8 9 10 11 12 13
                 # app / config / security.yml安全:提供者:in_memory:记忆:～防火墙:戴夫:模式:^ /(_(分析器| wdt) | css |图片| js) /安全:假默认值:匿名:～
                

                 12 3 4 5 6 7 8 9 10 11 12 13 14 16 17 18 19 20 21 22
                 <！--应用程序/配置/安全．xml --><？xml version="1.0" encoding="UTF-8"?><srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><提供者的名字＝“in_memory”><内存/>提供者><防火墙的名字＝“开发”模式＝“^ /(_(分析器| wdt) | css |图片| js) /”安全＝“假”/><防火墙的名字＝“默认”><匿名/>防火墙>配置>srv:容器>
                

                 12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
                 / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（“供应商”= >数组（“in_memory”= >数组（“记忆”= >零，)，)，“防火墙”= >数组（“开发”= >数组（“模式”= >' ^ /(_(分析器| wdt) | css |图片| js) / '，“安全”= >假),“默认”= >数组（“匿名”= >零，)，)，));
                

的防火墙关键是心您的安全配置。的dev防火墙并不重要，它只是确保Symfony的开发工具——这些工具存在于像欧宝娱乐app下载地址/ _profiler而且/ _wdt不会被你的安保人员阻止。

方法处理所有其他url默认的防火墙(不模式键表示匹配所有url)。您可以将防火墙视为安全系统，因此通常只有一个主防火墙是有意义的。但这确实是不意味着每个URL都需要身份验证匿名Key负责这个。事实上，如果你现在去主页，你就可以访问，你会看到你被“认证”为不久。．不要被Authenticated旁边的“是”所迷惑，你只是一个匿名用户:

稍后您将学习如何拒绝对某些url或控制器的访问。

提示

安全是高度可配置的，有一个<一个href＝"//www.oldmanjams.com/doc/2.3/reference/configuration/security.html" class="reference internal">安全配置参考它显示了所有选项，并给出了一些额外的解释。

A)配置用户的身份验证方式

防火墙的主要工作是配置如何您的用户将进行身份验证。他们会使用登录表单吗?HTTP基本认证?API令牌?以上都是吗?

让我们从HTTP基本身份验证(老式的提示符)开始，从这里开始。要激活此功能，请添加http_basic防火墙下的关键字:

YAML
XML
PHP

                  1 2 3 4 5 6 7 8 9
                  # app / config / security.yml安全:#……防火墙:#……默认值:匿名:～http_basic:～
                 

                  12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
                  <！--应用程序/配置/安全．xml --><？xml version="1.0" encoding="UTF-8"?><srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><！--．．．--><防火墙的名字＝“默认”><匿名/><http基本/>防火墙>配置>srv:容器>
                 

                  1 2 3 4 5 6 7 8 9 10 11
                  / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（/ /……“防火墙”= >数组（/ /……“默认”= >数组（“匿名”= >零，“http_basic”= >零，)，)，));
                 

简单!要尝试这一点，您需要要求用户登录才能查看页面。为了让事情变得有趣，在/管理．例如，如果你使用注释，可以创建这样的东西:

                12 3 4 5 6 7 8 9 10 11 12 13 14 15 16
                / / src / AppBundle /控制器/ DefaultController.php/ /……使用Sensio赞助＼包＼FrameworkExtraBundle＼配置＼路线；使用欧宝娱乐app下载地址＼组件＼HttpFoundation＼响应；类DefaultController扩展控制器｛/ * * *@Route(" / admin ") * /公共函数adminAction（）｛返回新响应(身体的< html > < > Admin页面!< /身体> < / html >”）;}}
               

接下来，添加一个access_control进入security.yml需要用户登录才能访问这个URL:

YAML
XML
PHP

                  1 2 3 4 5 6 7 8 9 10 11
                  # app / config / security.yml安全:#……防火墙:#……默认值:#……access_control:#需要/admin*的ROLE_ADMIN-｛路径:^ /管理,角色:ROLE_ADMIN｝
                 

                  12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
                  <！--应用程序/配置/安全．xml --><？xml version="1.0" encoding="UTF-8"?><srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><！--．．．--><防火墙的名字＝“默认”><！--．．．-->防火墙><！--require ROLE_ADMIN for /admin* --><规则路径＝“^ /管理”角色＝“ROLE_ADMIN”/>配置>srv:容器>
                 

                  12 3 4 5 6 7 8 9 10 11 12 13 14
                  / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（/ /……“防火墙”= >数组（/ /……“默认”= >数组（/ /……),),“access_control”= >数组（//为/admin*需要ROLE_ADMIN数组（“路径”= >“^ /管理”，“角色”= >“ROLE_ADMIN”)，)，));
                 

请注意

你会学到更多ROLE_ADMIN然后拒绝访问<一个href＝"//www.oldmanjams.com/doc/2.3/book/security.html" class="reference internal">安全部分。

太棒了!现在，如果你去/管理，你会看到HTTP基本认证提示:

但是你能以谁的身份登录呢?用户来自哪里?

提示

想要使用传统的登录表单?太棒了!看到<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/form_login_setup.html" class="reference internal">如何建立一个传统的登录表单．还支持哪些其他方法?看到<一个href＝"//www.oldmanjams.com/doc/2.3/reference/configuration/security.html" class="reference internal">配置引用或<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/custom_authentication_provider.html" class="reference internal">建立自己的．

提示

如果您的应用程序通过第三方服务(如谷歌、Facebook或Twitter)登录用户，请检查<一个href＝"https://github.com/hwi/HWIOAuthBundle" class="reference external" rel="external noopener noreferrer" target="_blank">HWIOAuthBundle欧宝下载链接社区包。

B)配置如何加载用户

当您输入用户名时，Symfony需要从某个地方加载该用户的信息。欧宝娱乐app下载地址这被称为“用户提供者”，您负责配置它。欧宝娱乐app下载地址Symfony有一个内置的方法<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/entity_provider.html" class="reference internal">从数据库加载用户，或者你可以<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/custom_provider.html" class="reference internal">创建自己的用户提供程序．

最简单(但最受限制)的方法是配置Symfony以直接从欧宝娱乐app下载地址security.yml文件本身。这被称为“内存中”提供程序，但最好将其视为“配置中”提供程序:

YAML
XML
PHP

                  12 3 4 5 6 7 8 9 10 11 12 13
                  # app / config / security.yml安全:提供者:in_memory:记忆:用户:雷恩:密码:ryanpass角色:“ROLE_USER”管理:密码:小猫角色:“ROLE_ADMIN”#……
                 

                  12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
                  <！--应用程序/配置/安全．xml --><？xml version="1.0" encoding="UTF-8"?><srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><提供者的名字＝“in_memory”><内存><用户的名字＝“瑞恩”密码＝“ryanpass”角色＝“ROLE_USER”/><用户的名字＝“admin”密码＝“小猫”角色＝“ROLE_ADMIN”/>内存>提供者><！--．．．-->配置>srv:容器>
                 

                  12 3 4 5 6 7 8 9 10 11 12 13 14 16 17 18 19 20
                  / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（“供应商”= >数组（“in_memory”= >数组（“记忆”= >数组（“用户”= >数组（“瑞恩”= >数组（“密码”= >“ryanpass”，“角色”= >“ROLE_USER”),“管理”= >数组（“密码”= >“小猫”，“角色”= >“ROLE_ADMIN”，)，)，，，，，，，，，/ /……));
                 

像防火墙，你可以有多个供应商，但你可能只需要一个。如果你做有多个，你可以配置哪个一个提供程序用于您的防火墙提供者(如关键。提供者:in_memory)．

另请参阅

看到<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/multiple_user_providers.html" class="reference internal">如何使用多个用户提供程序有关多个提供者设置的所有详细信息。

尝试使用用户名登录管理和密码小猫．您应该看到一个错误!

帐号“Symfony\组件\安全\核心\用户\用户”没有配置编码器欧宝娱乐app下载地址

若要修复此问题，请添加编码器关键:

YAML
XML
PHP

                  1 2 3 4 5 6 7
                  # app / config / security.yml安全:#……编码器:欧宝娱乐app下载地址Symfony核心组件\ \安全\ \ \用户:明文#……
                 

                  12 3 4 5 6 7 8 9 10 11 12 13 14 15 16
                  <！--应用程序/配置/安全．xml --><？xml version="1.0" encoding="UTF-8"?><srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><！--．．．--><编码器类＝”欧宝娱乐app下载地址Symfony核心组件\ \安全\ \ \用户”算法＝“明文”/><！--．．．-->配置>srv:容器>
                 

                  1 2 3 4 5 6 7 8 9
                  / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（/ /……“编码器”= >数组（S欧宝娱乐app下载地址ymfony的核心组件\ \安全\ \ \用户”= >“明文”),/ /……));
                 

用户提供程序加载用户信息并将其放入用户对象。如果你<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/entity_provider.html" class="reference internal">从数据库加载用户或<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/custom_provider.html" class="reference internal">其他来源，您将使用自己的自定义User类。但是当你使用"in memory"提供程序时，它会给你一个欧宝娱乐app下载地址\组件\安全\核心\用户\用户对象。

无论您的User类是什么，您都需要告诉Symfony使用什么算法来编码密码。欧宝娱乐app下载地址在本例中，密码只是明文，但稍后将更改为使用bcrypt．

如果您现在刷新，您将登录!web调试工具栏甚至会告诉你你是谁，你有什么角色:

因为这个URL需要ROLE_ADMIN，如果您以瑞安，这将拒绝您访问。稍后会详细介绍(<一个href＝"//www.oldmanjams.com/doc/2.3/book/security.html" class="reference internal">安全）．

从数据库加载用户

如果你想通过Doctrine ORM加载你的用户，那很简单!看到<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/entity_provider.html" class="reference internal">如何从数据库(实体提供程序)加载安全用户所有的细节。

C)对用户密码进行编码

您的用户是否存储在security.yml，在数据库或其他地方，你会想要编码他们的密码。最好的算法是bcrypt：

YAML
XML
PHP

                  1 2 3 4 5 6 7 8
                  # app / config / security.yml安全:#……编码器:欧宝娱乐app下载地址Symfony核心组件\ \安全\ \ \用户:算法:bcrypt成本:12
                 

                  12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
                  <！--应用程序/配置/安全．xml --><？xml version="1.0" encoding="UTF-8"?><srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><！--．．．--><编码器类＝”欧宝娱乐app下载地址Symfony核心组件\ \安全\ \ \用户”算法＝“bcrypt”成本＝“12”/><！--．．．-->配置>srv:容器>
                 

                  12 3 4 5 6 7 8 9 10 11 12
                  / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（/ /……“编码器”= >数组（S欧宝娱乐app下载地址ymfony的核心组件\ \安全\ \ \用户”= >数组（“算法”= >“bcrypt”，“成本”= >12，))，/ /……));
                 

谨慎

如果使用的是PHP 5.4或更低版本，则需要安装ircmaxell / password-compat库，以便能够使用bcrypt编码器:

                 1
                 $ composer需要ircmaxell/password-compat“~ 1.0”
                

当然，用户的密码现在需要使用这种精确的算法进行编码。对于硬编码用户，可以使用<一个href＝"https://www.dailycred.com/blog/12/bcrypt-calculator" class="reference external" rel="external noopener noreferrer" target="_blank">在线工具（因为这是一个公共工具，避免使用真实的密码)。

它会给你这样的东西:

YAML
XML
PHP

                  12 3 4 5 6 7 8 9 10 11 12 13 14
                  # app / config / security.yml安全:#……提供者:in_memory:记忆:用户:雷恩:密码:2美元12美元LCY0MefVIEc3TYPHV9SNnuzOfyr2p / AXIGoQJEDs4am4JwhNz / jli角色:“ROLE_USER”管理:密码:2美元$ cyTWeE9kpq1PjqKFiWUZFuCRPwVyAZwm4XzMZ1qPUFl7 / flCM3V0G 12美元角色:“ROLE_ADMIN”
                 

                  12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
                  <！--应用程序/配置/安全．xml --><？xml version="1.0" encoding="UTF-8"?><srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><！--．．．--><提供者的名字＝“in_memory”><内存><用户的名字＝“瑞恩”密码＝“2美元12美元LCY0MefVIEc3TYPHV9SNnuzOfyr2p / AXIGoQJEDs4am4JwhNz / jli”角色＝“ROLE_USER”/><用户的名字＝“admin”密码＝“2美元12美元cyTWeE9kpq1PjqKFiWUZFuCRPwVyAZwm4XzMZ1qPUFl7 / flCM3V0G”角色＝“ROLE_ADMIN”/>内存>提供者>配置>srv:容器>
                 

                  12 3 4 5 6 7 8 9 10 11 12 13 14 16 17 18 19 20 21 22
                  / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（/ /……“供应商”= >数组（“in_memory”= >数组（“记忆”= >数组（“用户”= >数组（“瑞恩”= >数组（“密码”= >2美元一个12美元LCY0MefVIEc3TYPHV9SNnuzOfyr2p / AXIGoQJEDs4am4JwhNz jli”，“角色”= >“ROLE_USER”),“管理”= >数组（“密码”= >2美元一个12美元cyTWeE9kpq1PjqKFiWUZFuCRPwVyAZwm4XzMZ1qPUFl7 / flCM3V0G '，“角色”= >“ROLE_ADMIN”，)，)，，，，，，，，，/ /……));
                 

现在一切都和以前一样了。但是如果您有动态用户(例如来自数据库)，如何在将密码插入数据库之前以编程方式对密码进行编码?别担心，看<一个href＝"//www.oldmanjams.com/doc/2.3/book/security.html" class="reference internal">安全获取详细信息。

提示

此方法支持的算法取决于您的PHP版本，但包括PHP函数返回的算法<一个href＝"https://secure.php.net/manual/en/function.hash-algos.php" class="reference external" title="hash_algos" rel="external noopener noreferrer" target="_blank">hash_algos以及其他一些(例如bcrypt)。看到编码器输入<一个href＝"//www.oldmanjams.com/doc/2.3/reference/configuration/security.html" class="reference internal">保安参考组为例子。

D)配置完成!

恭喜你!您现在有了一个工作的身份验证系统，它使用HTTP基本身份验证并从security.yml文件。

你的下一步取决于你的设置:

为用户配置不同的登录方式，例如<一个href＝"//www.oldmanjams.com/doc/2.3/book/security.html" class="reference internal">登录表单或<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/custom_authentication_provider.html" class="reference internal">完全定制的东西；
从不同的源加载用户，比如<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/entity_provider.html" class="reference internal">数据库或<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/custom_provider.html" class="reference internal">其他来源；
对象中的User对象和处理角色<一个href＝"//www.oldmanjams.com/doc/2.3/book/security.html" class="reference internal">授权部分。

2)拒绝访问、角色和其他授权

用户现在可以使用http_basic或者其他方法。太棒了!现在，您需要学习如何拒绝访问并使用User对象。这叫做授权，它的任务是决定用户是否可以访问某些资源(URL、模型对象、方法调用等等)。

授权的过程有两个不同的方面:

用户在登录时接收到一组特定的角色(例如:ROLE_ADMIN)．
您可以添加代码，以便资源(例如URL，控制器)需要特定的“属性”(最常见的是像这样的角色)ROLE_ADMIN)以供查阅。

提示

除了角色(例如。ROLE_ADMIN)，您可以使用其他属性/字符串来保护资源(例如:编辑)，并使用投票人或Symfony的ACL欧宝娱乐app下载地址系统来赋予这些含义。如果你需要检查用户A是否可以“编辑”某个对象B(例如id为5的产品)，这可能会很方便<一个href＝"//www.oldmanjams.com/doc/2.3/book/security.html" class="reference internal">安全．

角色

当用户登录时，他们会收到一组角色(例如:ROLE_ADMIN)．在上面的例子中，这些是硬编码的security.yml．如果从数据库加载用户，则这些用户可能存储在表的列中。

谨慎

分配给用户的所有角色必须从具备ROLE_前缀。否则，它们不会被Symfony的安全系统以正常的方式处理(例如，除非你在欧宝娱乐app下载地址做一些高级的事情，比如分配一个角色喷火给用户，然后检查喷火所述<一个href＝"//www.oldmanjams.com/doc/2.3/book/security.html" class="reference internal">下面不会起作用)。

角色很简单，基本上是您根据需要发明和使用的字符串。例如，如果你需要开始限制访问你网站的博客管理部分，你可以使用一个保护该部分ROLE_BLOG_ADMIN的角色。这个角色不需要在任何地方定义—您可以直接开始使用它。

提示

确保每个用户都至少有一个角色，否则您的用户看起来就像没有经过身份验证一样。一个普遍的惯例是给予每一个用户ROLE_USER．

也可以指定a<一个href＝"//www.oldmanjams.com/doc/2.3/book/security.html" class="reference internal">角色层次结构其中一些角色自动意味着你也有其他角色。

添加代码拒绝访问

有两个拒绝访问某物的方法:

在security.yml中的访问控制允许你保护URL模式(例如:/管理/ *)．这很容易，但缺乏灵活性;

在你的代码中通过安全。上下文服务．

保护URL模式(access_control)

保护部分应用程序的最基本方法是保护整个URL模式。您在前面看到了这个，其中任何匹配正则表达式的内容^ /管理要求ROLE_ADMIN角色:

YAML
XML
PHP

                   12 3 4 5 6 7 8 9 10 11 12
                   # app / config / security.yml安全:#……防火墙:#……默认值:#……access_control:#需要/admin*的ROLE_ADMIN-｛路径:^ /管理,角色:ROLE_ADMIN｝
                  

                   12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
                   <！--应用程序/配置/安全．xml --><？xml version="1.0" encoding="UTF-8"?><srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><！--．．．--><防火墙的名字＝“默认”><！--．．．-->防火墙><！--require ROLE_ADMIN for /admin* --><规则路径＝“^ /管理”角色＝“ROLE_ADMIN”/>配置>srv:容器>
                  

                   12 3 4 5 6 7 8 9 10 11 12 13 14 15
                   / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（/ /……“防火墙”= >数组（/ /……“默认”= >数组（/ /……),),“access_control”= >数组（//为/admin*需要ROLE_ADMIN数组（“路径”= >“^ /管理”，“角色”= >“ROLE_ADMIN”)，)，));
                  

这对于保护整个区域是很好的，但你可能也想这样做<一个href＝"//www.oldmanjams.com/doc/2.3/book/security.html" class="reference internal">保护您的单个控制器也

您可以根据需要定义任意数量的URL模式—每个都是一个正则表达式。但,只有一个将被匹配。欧宝娱乐app下载地址Symfony将从顶部开始查看每一个，一旦发现一个就立即停止access_control匹配URL的条目。

YAML
XML
PHP

                   1 2 3 4 5 6 7
                   # app / config / security.yml安全:#……access_control:-｛路径:^ /管理/用户,角色:ROLE_SUPER_ADMIN｝-｛路径:^ /管理,角色:ROLE_ADMIN｝
                  

                   12 3 4 5 6 7 8 9 10 11 12 13 14 15
                   <！--应用程序/配置/安全．xml --><？xml version="1.0" encoding="UTF-8"?><srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><！--．．．--><规则路径＝“^ /管理/用户”角色＝“ROLE_SUPER_ADMIN”/><规则路径＝“^ /管理”角色＝“ROLE_ADMIN”/>配置>srv:容器>
                  

                   1 2 3 4 5 6 7 8 9
                   / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（/ /……“access_control”= >数组（数组（“路径”= >' ^ /管理/用户的，“角色”= >“ROLE_SUPER_ADMIN”)，数组（“路径”= >“^ /管理”，“角色”= >“ROLE_ADMIN”)，)，));
                  

在路径前面加上＾意味着只有url开始与图案相匹配。例如，简单的路径/管理(没有＾)会相配/管理/ foo但也会匹配url/ foo /管理．

的access_controlSection非常强大，但如果您不理解，它也可能是危险的(因为它涉及到安全性)如何它的工作原理。除了URL之外，access_control可以匹配IP地址，主机名和HTTP方法。还可以使用它将用户重定向到httpsURL模式的版本。

要了解所有这些，请参见<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/access_control.html" class="reference internal">安全访问控制如何工作?．

保护控制器和其他代码

你可以很容易地拒绝来自控制器内部的访问:

                 1 2 3 4 5 6 7 8 9 10 11
                 / /……使用欧宝娱乐app下载地址＼组件＼安全＼核心＼异常＼AccessDeniedException；公共函数helloAction（＄的名字）｛如果(！＄这->get (“security.context”）->isGranted (“ROLE_ADMIN”)) {扔新AccessDeniedException ();｝/ /……｝
                

就是这样!如果用户还没有登录，他们将被要求登录(例如重定向到登录页面)。如果他们是登录，但做不有ROLE_ADMIN角色时，将显示403拒绝访问页面(您可以这样做<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/controller/error_pages.html" class="reference internal">定制）．如果他们已登录并具有正确的角色，则将执行代码。

模板中的访问控制

如果你想检查当前用户是否在模板中有角色，使用内置的helper函数:

嫩枝
PHP

                   1 2 3
                   {%如果is_granted (ROLE_ADMIN) %}<一个href＝“…”>删除一个>{%endif%}
                  

如果你使用这个函数不在防火墙后面，将抛出异常。同样，拥有一个覆盖所有url的主防火墙几乎总是一个好主意(如本章前面所述)。

谨慎

在你的基本布局或错误页面上要小心这一点!由于Symfony内部的一些细节，避免在出错页面中欧宝娱乐app下载地址出错刺激环境中，在这些模板中使用检查来包装调用app.user：

                  1
                  {%如果app.user和is_grant ('ROLE_ADMIN') %}
                 

保障其他服务

Symfony中的任何东欧宝娱乐app下载地址西都可以通过执行类似于用于保护控制器的代码来保护。例如，假设您有一个服务(即PHP类)，其任务是发送电子邮件。您可以限制该类的使用—无论从何处使用—仅限某些用户使用。

有关更多信息，请参阅<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/securing_services.html" class="reference internal">如何保护应用程序中的任何服务或方法．

检查用户是否已登录(IS_AUTHENTICATED_FULLY)

到目前为止，您已经根据角色(以这些字符串开头)检查了访问权限具备ROLE_并分配给用户。但是如果你只有想要检查用户是否已登录(您不关心角色)，然后可以使用IS_AUTHENTICATED_FULLY：

                1 2 3 4 5 6 7 8 9 10 11
                / /……使用欧宝娱乐app下载地址＼组件＼安全＼核心＼异常＼AccessDeniedException；公共函数helloAction（＄的名字）｛如果(！＄这->get (“security.context”）->isGranted (“IS_AUTHENTICATED_FULLY”)) {扔新AccessDeniedException ();｝/ /……｝
               

提示

当然你也可以在access_control．

IS_AUTHENTICATED_FULLY不是一个角色，但它有点像一个角色，每个成功登录的用户都会有这个。事实上，像这样的特殊属性有三个:

IS_AUTHENTICATED_REMEMBERED：所有登录用户有这个，即使他们登录是因为一个“记住我的cookie”。即使你不使用<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/remember_me.html" class="reference internal">记住我的功能，您可以使用此命令检查用户是否已登录。
IS_AUTHENTICATED_FULLY:这类似于IS_AUTHENTICATED_REMEMBERED，但更强。仅因为“记住我的cookie”而登录的用户将有IS_AUTHENTICATED_REMEMBERED但不会有IS_AUTHENTICATED_FULLY．
IS_AUTHENTICATED_ANONYMOUSLY：所有用户(甚至是匿名用户)都有这个功能——当白名单url，以保证访问-一些细节<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/access_control.html" class="reference internal">安全访问控制如何工作?．

访问控制列表(acl):保护各个数据库对象

假设您正在设计一个博客，用户可以在其中评论您的帖子。您还希望用户能够编辑自己的评论，而不是其他用户的评论。此外，作为管理员用户，您自己也希望能够进行编辑所有评论。

要做到这一点，你有两个选择:

选民允许您编写自己的业务逻辑(例如，用户可以编辑这篇文章，因为他们是创建者)来确定访问权限。你可能会想要这个选项——它足够灵活，可以解决上述情况。

acl允许您创建可以赋值的数据库结构任何任意用户任何访问(如编辑、查看)到任何对象。如果您需要一个管理用户，以便能够通过某个管理界面授予跨系统的自定义访问权限，请使用此选项。

在这两种情况下，您仍将使用类似于上面所示的方法拒绝访问。

检索用户对象

认证后，用户对象可以通过security.context服务。在控制器内部，这看起来像:

               1 2 3 4 5 6 7 8 9 10 11
               公共函数indexAction（）｛如果(！＄这->get (“security.context”）->isGranted (“IS_AUTHENTICATED_FULLY”)) {扔新AccessDeniedException ();｝＄用户＝＄这->getUser ();//上面是一个快捷方式＄用户＝＄这->get (“security.context”）->getToken ()->getUser ();｝
              

提示

用户将是一个对象，该对象的类将取决于您的<一个href＝"//www.oldmanjams.com/doc/2.3/book/security.html" class="reference internal">用户提供者．

现在你可以调用任何打开的方法你的用户对象。例如，如果你的User对象有一个getFirstName ()方法，你可以使用它:

               1 2 3 4 5 6 7 8 9
               使用欧宝娱乐app下载地址＼组件＼HttpFoundation＼响应；/ /……公共函数indexAction（）｛/ /……返回新响应("你好"．＄用户->getFirstName ());｝
              

总是检查用户是否已登录

首先检查用户是否通过身份验证是很重要的。如果不是，$ user要么是零或者字符串不久。．等等,什么?是的，这是一个怪癖。如果您没有登录，用户在技术上就是字符串不久。，尽管getUser ()控制器快捷方式将其转换为零为了方便。

重点是:在使用user对象之前，总是检查用户是否已登录，并使用isGranted方法(或<一个href＝"//www.oldmanjams.com/doc/2.3/book/security.html" class="reference internal">access_control）这样做:

                1 2 3 4 5 6 7 8 9
                / /耶!使用此命令查看用户是否已登录如果(！＄这->get (“security.context”）->isGranted (“IS_AUTHENTICATED_FULLY”)) {扔新AccessDeniedException ();｝// boo:(。永远不要检查User对象来查看他们是否已登录如果（＄这->getUser())}
               

检索模板中的用户

在树枝模板中，该对象可以通过<一个href＝"//www.oldmanjams.com/doc/2.3/reference/twig_reference.html" class="reference internal">app.user关键:

嫩枝
PHP

                  1 2 3
                  {%如果is_granted (IS_AUTHENTICATED_FULLY) %}<p>用户名:{{app.user.username}}p>{%endif%}
                 

注销

通常，您还希望用户能够注销。幸运的是，防火墙可以在您激活注销配置参数:

YAML
XML
PHP

                 1 2 3 4 5 6 7 8 9 10
                 # app / config / security.yml安全:#……防火墙:secured_area:#……注销:路径:/注销目标:/
                

                 12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
                 <！--应用程序/配置/安全．xml --><？xml version="1.0" encoding="UTF-8"?><srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><！--．．．--><防火墙的名字＝“secured_area”><！--．．．--><注销路径＝“/注销”目标＝“/”/>防火墙>配置>srv:容器>
                

                 1 2 3 4 5 6 7 8 9 10 11
                 / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（/ /……“防火墙”= >数组（“secured_area”= >数组（/ /……“注销”= >数组（“路径”= >/注销的，“目标”= >' / ')，)，)，));
                

接下来，你需要为这个URL创建一个路由(但不是控制器):

YAML
XML

                 1 2 3
                 # app / config / routing.yml注销:路径:/注销
                

就是这样!通过将用户发送到/注销(或者你配置的路径)， Symfo欧宝娱乐app下载地址ny将取消当前用户的身份验证。

方法所定义的路径被重定向到目标参数(例如主页)．

提示

如果在登出后需要做一些更有趣的事情，可以通过添加success_handler键并将其指向实现的类的服务id<一个href＝"https://github.com/symfony/symfony/blob/2.3/src/Symfony/Component/Security/Http/Logout/LogoutSuccessHandlerInterface.php" class="reference external" title="LogoutSuccessHandlerInterface" rel="external noopener noreferrer" target="_blank">LogoutSuccessHandlerInterface．看到<一个href＝"//www.oldmanjams.com/doc/2.3/reference/configuration/security.html" class="reference internal">安全配置参考．

谨慎

请注意，在使用http-basic身份验证的防火墙时，没有真正的注销方法:唯一的方法是注销就是让浏览器停止在每次请求时发送您的姓名和密码。清理浏览器缓存或重新启动浏览器通常会有帮助。一些web开发工具可能也会有帮助。

密码动态编码

请注意

由于历史原因，Symfony使用了这个术语欧宝娱乐app下载地址“密码编码”当它真的应该指“密码哈希”．编码器实际上是<一个href＝"https://en.wikipedia.org/wiki/Cryptographic_hash_function" class="reference external" rel="external noopener noreferrer" target="_blank">密码哈希函数．

例如，如果要在数据库中存储用户，则需要在插入用户密码之前对其进行编码。无论你为你的用户对象配置什么算法，哈希密码总是可以通过以下方式从控制器确定:

               1 2 3 4 5 6 7
               ＄工厂＝＄这->get (“security.encoder_factory”）;//你的用户对象是什么＄用户＝新AppBundle \ \用户实体();＄编码器＝＄工厂->getEncoder (＄用户）;＄密码＝＄编码器->encodePassword (“ryanpass”，＄用户->getSalt ());＄用户->向setPassword (＄密码）;
              

为了让它工作，只要确保你有编码器为你的用户类(例如。实体AppBundle \ \用户)根据编码器关键在应用程序/配置/ security.yml．

的美元的编码器对象也具有isPasswordValid方法，该方法采用用户对象作为第一个参数，要检查的普通密码作为第二个参数。

谨慎

当您允许用户提交明文密码(例如，注册表单，更改密码表单)时，您将必须进行验证，确保密码不超过4096个字符。详情请参阅<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/doctrine/registration_form.html" class="reference internal">如何使用简单的注册表格．

层次的角色

你可以通过创建角色层次结构来定义角色继承规则，而不是将许多角色关联到用户:

YAML
XML
PHP

                 1 2 3 4 5 6 7
                 # app / config / security.yml安全:#……role_hierarchy:ROLE_ADMIN:ROLE_USERROLE_SUPER_ADMIN:[ROLE_ADMIN,ROLE_ALLOWED_TO_SWITCH]
                

                 12 3 4 5 6 7 8 9 10 11 12 13 14 15
                 <！--应用程序/配置/安全．xml --><？xml version="1.0" encoding="UTF-8"?><srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><！--．．．--><角色id＝“ROLE_ADMIN”>ROLE_USER角色><角色id＝“ROLE_SUPER_ADMIN”>ROLE_ADMIN, ROLE_ALLOWED_TO_SWITCH角色>配置>srv:容器>
                

                 12 3 4 5 6 7 8 9 10 11 12
                 / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（/ /……“role_hierarchy”= >数组（“ROLE_ADMIN”= >“ROLE_USER”，“ROLE_SUPER_ADMIN”= >数组（“ROLE_ADMIN”，“ROLE_ALLOWED_TO_SWITCH”，)，)，));
                

在上述配置中，用户具有ROLE_ADMIN角色也会有ROLE_USER的角色。的ROLE_SUPER_ADMIN角色ROLE_ADMIN，ROLE_ALLOWED_TO_SWITCH而且ROLE_USER(继承自ROLE_ADMIN)．

无状态的验证

默认情况下，Symfon欧宝娱乐app下载地址y依赖cookie (Session)来持久保存用户的安全上下文。但是，如果使用证书或HTTP身份验证，则不需要持久性，因为每个请求都可以使用凭据。在这种情况下，如果你不需要在请求之间存储任何其他东西，你可以激活无状态身份验证(这意味着Symfony不会创建任何cookie):欧宝娱乐app下载地址

YAML
XML
PHP

                 1 2 3 4 5 6 7 8
                 # app / config / security.yml安全:#……防火墙:主要:http_basic:～无状态:真正的
                

                 12 3 4 5 6 7 8 9 10 11 12 13 14 15 16
                 <！--应用程序/配置/安全．xml --><？xml version="1.0" encoding="UTF-8"?><srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><！--．．．--><防火墙的名字＝“主要”无状态的＝“真正的”><http基本/>防火墙>配置>srv:容器>
                

                 1 2 3 4 5 6 7 8
                 / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（/ /……“防火墙”= >数组（“主要”= >数组（“http_basic”= >零，“无状态”= >真正的)，)，));
                

请注意

如果您使用表单登录，Symfony将创建一个coo欧宝娱乐app下载地址kie，即使您设置无状态的来真正的．

最后的话

哇!不错的工作!您现在了解的不仅仅是安全的基本知识。最难的部分是当您有自定义需求时:比如自定义身份验证策略(例如API令牌)，复杂的授权逻辑和许多其他东西(因为安全是复杂的!)

幸运的是，有很多<一个href＝"//www.oldmanjams.com/doc/2.3/cookbook/security/index.html" class="reference internal">安全指南文章旨在描述其中的许多情况。此外，请参阅<一个href＝"//www.oldmanjams.com/doc/2.3/reference/configuration/security.html" class="reference internal">保安参考组．许多选项没有具体的细节，但是查看完整的可能配置树可能是有用的。

好运！