安全
编辑本页警告:您正在浏览的文档欧宝体育电话<一个href="//www.oldmanjams.com/releases/2.7">欧宝娱乐app下载地址Symfony 2.7,现已不再维护。
读<一个href="//www.oldmanjams.com/doc/current/security.html">本页的更新版本用于Sy欧宝娱乐app下载地址mfony 6.2(当前稳定版本)。
安全
欧宝娱乐app下载地址Symfony的安全系统非常强大,但设置起来也很麻烦。在本文中,您将学习如何逐步设置应用程序的安全性,从配置防火墙和如何加载用户,到拒绝访问和获取User对象。根据您的需要,有时初始设置可能会很困难。但一旦完成,Symfony的安全系统既灵欧宝娱乐app下载地址活,(希望)使用起来很有趣。
由于要讨论的内容很多,本文分为几个大的部分:
- 最初的
security.yml设置(身份验证); - 拒绝访问你的应用程序(授权);
- 获取当前User对象。
这些之后是一些小的(但仍然迷人的)部分,如<一个href="//www.oldmanjams.com/doc/2.7/security.html" class="reference internal">注销而且<一个href="//www.oldmanjams.com/doc/2.7/security/password_encoding.html" class="reference internal">编码用户密码.
1)初始安全性。yml设置(认证)
安全系统配置在应用程序/配置/ security.yml.默认配置如下所示:
- YAML
- XML
- PHP
12 3 4 5 6 7 8 9 10 11 12 13
# app / config / security.yml安全:提供者:in_memory:记忆:~防火墙:戴夫:模式:^ /(_(分析器| wdt) | css |图片| js) /安全:假主要:匿名:~的防火墙关键是心您的安全配置。的dev防火墙并不重要,它只是确保Symfony的开发工具——这些工具存在于像欧宝娱乐app下载地址/ _profiler而且/ _wdt不会被你的安保人员阻止。
提示
您还可以将请求与请求的其他细节(例如主机)进行匹配。有关更多信息和示例,请阅读<一个href="//www.oldmanjams.com/doc/2.7/security/firewall_restriction.html" class="reference internal">如何将防火墙限制到特定的请求.
方法处理所有其他url主要防火墙(不模式键表示匹配所有url)。您可以将防火墙视为安全系统,因此通常只有一个主防火墙是有意义的。但这确实是不意味着每个URL都需要身份验证匿名Key负责这个。事实上,如果你现在去主页,你就可以访问,你会看到你被“认证”为不久。.不要被Authenticated旁边的“是”所迷惑,你只是一个匿名用户:
稍后您将学习如何拒绝对某些url或控制器的访问。
提示
安全是高度可配置的,有一个<一个href="//www.oldmanjams.com/doc/2.7/reference/configuration/security.html" class="reference internal">安全配置参考它显示了所有选项,并给出了一些额外的解释。
A)配置用户的身份验证方式
防火墙的主要工作是配置如何您的用户将进行身份验证。他们会使用登录表单吗?HTTP基本认证?API令牌?以上都是吗?
让我们从HTTP基本身份验证(老式的提示符)开始,从这里开始。要激活此功能,请添加http_basic防火墙下的关键字:
- YAML
- XML
- PHP
1 2 3 4 5 6 7 8 9
# app / config / security.yml安全:#……防火墙:#……主要:匿名:~http_basic:~简单!要尝试这一点,您需要要求用户登录才能查看页面。为了让事情变得有趣,在/管理.例如,如果你使用注释,可以创建这样的东西:
12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
/ / src / AppBundle /控制器/ DefaultController.php/ /……使用Sensio赞助\包\FrameworkExtraBundle\配置\路线;使用欧宝娱乐app下载地址\包\FrameworkBundle\控制器\控制器;使用欧宝娱乐app下载地址\组件\HttpFoundation\响应;类DefaultController扩展控制器{/ * * *@Route(" / admin ") * /公共函数adminAction(){返回新响应(身体的< html > < > Admin页面!< /身体> < / html >”);}}接下来,添加一个access_control进入security.yml需要用户登录才能访问这个URL:
- YAML
- XML
- PHP
1 2 3 4 5 6 7 8 9 10 11
# app / config / security.yml安全:#……防火墙:#……主要:#……access_control:#需要/admin*的ROLE_ADMIN-{路径:^ /管理,角色:ROLE_ADMIN}请注意
你会学到更多ROLE_ADMIN然后拒绝访问<一个href="//www.oldmanjams.com/doc/2.7/security.html" class="reference internal">安全部分。
太棒了!现在,如果你去/管理,你会看到HTTP基本认证提示:
但是你能以谁的身份登录呢?用户来自哪里?
提示
想要使用传统的登录表单?太棒了!看到<一个href="//www.oldmanjams.com/doc/2.7/security/form_login_setup.html" class="reference internal">如何建立一个传统的登录表单.还支持哪些其他方法?看到<一个href="//www.oldmanjams.com/doc/2.7/reference/configuration/security.html" class="reference internal">配置引用或<一个href="//www.oldmanjams.com/doc/2.7/security/custom_authentication_provider.html" class="reference internal">建立自己的.
提示
如果您的应用程序通过第三方服务(如谷歌、Facebook或Twitter)登录用户,请检查<一个href="https://github.com/hwi/HWIOAuthBundle" class="reference external" rel="external noopener noreferrer" target="_blank">HWIOAuthBundle欧宝下载链接社区包。
B)配置如何加载用户
当您输入用户名时,Symfony需要从某个地方加载该用户的信息。欧宝娱乐app下载地址这被称为“用户提供者”,您负责配置它。欧宝娱乐app下载地址Symfony有一个内置的方法<一个href="//www.oldmanjams.com/doc/2.7/security/entity_provider.html" class="reference internal">从数据库加载用户,或者你可以<一个href="//www.oldmanjams.com/doc/2.7/security/custom_provider.html" class="reference internal">创建自己的用户提供程序.
最简单(但最受限制)的方法是配置Symfony以直接从欧宝娱乐app下载地址security.yml文件本身。这被称为“内存中”提供程序,但最好将其视为“配置中”提供程序:
- YAML
- XML
- PHP
12 3 4 5 6 7 8 9 10 11 12 13
# app / config / security.yml安全:提供者:in_memory:记忆:用户:雷恩:密码:ryanpass角色:“ROLE_USER”管理:密码:小猫角色:“ROLE_ADMIN”#……像防火墙,你可以有多个供应商,但你可能只需要一个。如果你做有多个,你可以配置哪个一个提供程序用于您的防火墙提供者(如关键。提供者:in_memory).
另请参阅
看到<一个href="//www.oldmanjams.com/doc/2.7/security/multiple_user_providers.html" class="reference internal">如何使用多个用户提供程序有关多个提供者设置的所有详细信息。
尝试使用用户名登录管理和密码小猫.您应该看到一个错误!
帐号“Symfony\组件\安全\核心\用户\用户”没有配置编码器欧宝娱乐app下载地址
若要修复此问题,请添加编码器关键:
- YAML
- XML
- PHP
1 2 3 4 5 6 7
# app / config / security.yml安全:#……编码器:欧宝娱乐app下载地址Symfony核心组件\ \安全\ \ \用户:明文#……用户提供程序加载用户信息并将其放入用户对象。如果你<一个href="//www.oldmanjams.com/doc/2.7/security/entity_provider.html" class="reference internal">从数据库加载用户或<一个href="//www.oldmanjams.com/doc/2.7/security/custom_provider.html" class="reference internal">其他来源,您将使用自己的自定义User类。但是当你使用"in memory"提供程序时,它会给你一个欧宝娱乐app下载地址对象。
无论您的User类是什么,您都需要告诉Symfony使用什么算法来编码密码。欧宝娱乐app下载地址在本例中,密码只是明文,但稍后将更改为使用bcrypt.
如果您现在刷新,您将登录!web调试工具栏甚至会告诉你你是谁,你有什么角色:
因为这个URL需要ROLE_ADMIN,如果您以瑞安,这将拒绝您访问。稍后会详细介绍(<一个href="//www.oldmanjams.com/doc/2.7/security.html" class="reference internal">安全).
从数据库加载用户
如果你想通过Doctrine ORM加载你的用户,那很简单!看到<一个href="//www.oldmanjams.com/doc/2.7/security/entity_provider.html" class="reference internal">如何从数据库(实体提供程序)加载安全用户所有的细节。
C)对用户密码进行编码
您的用户是否存储在security.yml,在数据库或其他地方,你会想要编码他们的密码。最好的算法是bcrypt:
- YAML
- XML
- PHP
1 2 3 4 5 6 7 8
# app / config / security.yml安全:#……编码器:欧宝娱乐app下载地址Symfony核心组件\ \安全\ \ \用户:算法:bcrypt成本:12谨慎
如果使用的是PHP 5.4或更低版本,则需要安装ircmaxell / password-compat库,以便能够使用bcrypt编码器:
1
$Composer需要ircmaxell/password-compat“~ 1.0”当然,用户的密码现在需要使用这种精确的算法进行编码。对于硬编码的用户,从2.7开始你可以使用内置命令:
1
$PHP应用程序/控制台安全:code-password它会给你这样的东西:
- YAML
- XML
- PHP
12 3 4 5 6 7 8 9 10 11 12 13 14
# app / config / security.yml安全:#……提供者:in_memory:记忆:用户:雷恩:密码:2美元12美元LCY0MefVIEc3TYPHV9SNnuzOfyr2p / AXIGoQJEDs4am4JwhNz / jli角色:“ROLE_USER”管理:密码:2美元$ cyTWeE9kpq1PjqKFiWUZFuCRPwVyAZwm4XzMZ1qPUFl7 / flCM3V0G 12美元角色:“ROLE_ADMIN”现在一切都和以前一样了。但是如果您有动态用户(例如来自数据库),如何在将密码插入数据库之前以编程方式对密码进行编码?别担心,看<一个href="//www.oldmanjams.com/doc/2.7/security/password_encoding.html" class="reference internal">如何手动编码密码获取详细信息。
提示
此方法支持的算法取决于您的PHP版本,但包括PHP函数返回的算法<一个href="https://secure.php.net/manual/en/function.hash-algos.php" class="reference external" title="hash_algos" rel="external noopener noreferrer" target="_blank">hash_algos以及其他一些(例如bcrypt)。看到编码器输入<一个href="//www.oldmanjams.com/doc/2.7/reference/configuration/security.html" class="reference internal">保安参考组为例子。
也可以在用户的基础上使用不同的哈希算法。看到<一个href="//www.oldmanjams.com/doc/2.7/security/named_encoders.html" class="reference internal">如何动态选择密码编码器算法欲知详情。
D)配置完成!
恭喜你!您现在有了一个工作的身份验证系统,它使用HTTP基本身份验证并从security.yml文件。
你的下一步取决于你的设置:
- 为用户配置不同的登录方式,例如<一个href="//www.oldmanjams.com/doc/2.7/security.html" class="reference internal">登录表单或<一个href="//www.oldmanjams.com/doc/2.7/security/custom_authentication_provider.html" class="reference internal">完全定制的东西;
- 从不同的源加载用户,比如<一个href="//www.oldmanjams.com/doc/2.7/security/entity_provider.html" class="reference internal">数据库或<一个href="//www.oldmanjams.com/doc/2.7/security/custom_provider.html" class="reference internal">其他来源;
- 对象中的User对象和处理角色<一个href="//www.oldmanjams.com/doc/2.7/security.html" class="reference internal">授权部分。
2)拒绝访问、角色和其他授权
用户现在可以使用http_basic或者其他方法。太棒了!现在,您需要学习如何拒绝访问并使用User对象。这叫做授权,它的任务是决定用户是否可以访问某些资源(URL、模型对象、方法调用等等)。
授权的过程有两个不同的方面:
- 用户在登录时接收到一组特定的角色(例如:
ROLE_ADMIN). - 您可以添加代码,以便资源(例如URL,控制器)需要特定的“属性”(最常见的是像这样的角色)
ROLE_ADMIN)以供查阅。
提示
除了角色(例如。ROLE_ADMIN),您可以使用其他属性/字符串来保护资源(例如:编辑),并使用投票人或Symfony的ACL欧宝娱乐app下载地址系统来赋予这些含义。如果你需要检查用户A是否可以“编辑”某个对象B(例如id为5的产品),这可能会很方便<一个href="//www.oldmanjams.com/doc/2.7/security.html" class="reference internal">安全.
角色
当用户登录时,他们会收到一组角色(例如:ROLE_ADMIN).在上面的例子中,这些是硬编码的security.yml.如果从数据库加载用户,则这些用户可能存储在表的列中。
谨慎
分配给用户的所有角色必须从具备ROLE_前缀。否则,它们不会被Symfony的安全系统以正常的方式处理(例如,除非你在欧宝娱乐app下载地址做一些高级的事情,比如分配一个角色喷火给用户,然后检查喷火所述<一个href="//www.oldmanjams.com/doc/2.7/security.html" class="reference internal">下面不会起作用)。
角色很简单,基本上是您根据需要发明和使用的字符串。例如,如果你需要开始限制访问你网站的博客管理部分,你可以使用一个保护该部分ROLE_BLOG_ADMIN的角色。这个角色不需要在任何地方定义—您可以直接开始使用它。
提示
确保每个用户都至少有一个角色,否则您的用户看起来就像没有经过身份验证一样。一个普遍的惯例是给予每一个用户ROLE_USER.
也可以指定a<一个href="//www.oldmanjams.com/doc/2.7/security.html" class="reference internal">角色层次结构其中一些角色自动意味着你也有其他角色。
添加代码拒绝访问
有两个拒绝访问某物的方法:
保护URL模式(access_control)
保护部分应用程序的最基本方法是保护整个URL模式。您在前面看到了这个,其中任何匹配正则表达式的内容^ /管理要求ROLE_ADMIN角色:
- YAML
- XML
- PHP
12 3 4 5 6 7 8 9 10 11 12
# app / config / security.yml安全:#……防火墙:#……主要:#……access_control:#需要/admin*的ROLE_ADMIN-{路径:^ /管理,角色:ROLE_ADMIN}这对于保护整个区域是很好的,但你可能也想这样做<一个href="//www.oldmanjams.com/doc/2.7/security.html" class="reference internal">保护您的单个控制器也
您可以根据需要定义任意数量的URL模式—每个都是一个正则表达式。但,只有一个将被匹配。欧宝娱乐app下载地址Symfony将从顶部开始查看每一个,一旦发现一个就立即停止access_control匹配URL的条目。
- YAML
- XML
- PHP
1 2 3 4 5 6 7
# app / config / security.yml安全:#……access_control:-{路径:^ /管理/用户,角色:ROLE_SUPER_ADMIN}-{路径:^ /管理,角色:ROLE_ADMIN}在路径前面加上^意味着只有url开始与图案相匹配。例如,简单的路径/管理(没有^)会相配/管理/ foo但也会匹配url/ foo /管理.
保护控制器和其他代码
你可以很容易地拒绝来自控制器内部的访问:
12 3 4 5 6 7 8 9 10 11 12 13 14
/ /……公共函数helloAction($的名字){//第二个参数用于指定在哪个对象上测试角色。$这->denyAccessUnlessGranted (“ROLE_ADMIN”,零,“无法访问此页面!”);//旧方式:// if (false === $this->get('security.authorization_checker')-> isgranting ('ROLE_ADMIN')) {// throw $this->createAccessDeniedException('无法访问此页!');/ /}/ /……}2.6
的denyAccessUnlessGranted ()方法在Symfony 2.6中引入。欧宝娱乐app下载地址在以前(现在仍然如此),您可以直接检查访问权限并抛出AccessDeniedException如上例所示)。
2.6
的security.authorization_checker服务是在Symfony 2.6中引入的。欧宝娱乐app下载地址在Symfony 欧宝娱乐app下载地址2.6之前,您必须使用isGranted ()方法security.context服务。
这两种情况都是特别的<一个href="https://github.com/symfony/symfony/blob/2.7/src/Symfony/Component/Security/Core/Exception/AccessDeniedException.php" class="reference external" title="AccessDeniedException" rel="external noopener noreferrer" target="_blank">AccessDeniedException,最终在Symfony内部触发403 HTTP响应。欧宝娱乐app下载地址
就是这样!如果用户还没有登录,他们将被要求登录(例如重定向到登录页面)。如果他们是登录,但做不有ROLE_ADMIN角色时,将显示403拒绝访问页面(您可以这样做<一个href="//www.oldmanjams.com/doc/2.7/controller/error_pages.html" class="reference internal">定制).如果他们已登录并具有正确的角色,则将执行代码。
多亏了SensioFrameworkExtraBundle,你也可以使用注释来保护你的控制器:
1 2 3 4 5 6 7 8 9 10
/ /……使用Sensio赞助\包\FrameworkExtraBundle\配置\安全;/ * * *@Security(“has_role (ROLE_ADMIN)”)* /公共函数helloAction($的名字){/ /……}有关更多信息,请参见<一个href="//www.oldmanjams.com/doc/current/bundles/SensioFrameworkExtraBundle/index.html" class="reference external">FrameworkExtraBundle文欧宝体育电话档.
模板中的访问控制
如果你想检查当前用户是否在模板中有角色,使用内置的helper函数:
- 嫩枝
- PHP
1 2 3
{%如果is_granted (ROLE_ADMIN) %}<一个href=“…”>删除一个>{%endif%}如果你使用这个函数不在防火墙后面,将抛出异常。同样,拥有一个覆盖所有url的主防火墙几乎总是一个好主意(如本文前面所示)。
谨慎
在你的基本布局或错误页面上要小心这一点!由于Symfony内部的一些细节,避免在出错页面中欧宝娱乐app下载地址出错刺激环境中,在这些模板中使用检查来包装调用app.user:
1
{%如果app.user和is_grant ('ROLE_ADMIN') %}保障其他服务
Symfony中的任何东欧宝娱乐app下载地址西都可以通过执行类似于用于保护控制器的代码来保护。例如,假设您有一个服务(即PHP类),其任务是发送电子邮件。您可以限制该类的使用—无论从何处使用—仅限某些用户使用。
有关更多信息,请参阅<一个href="//www.oldmanjams.com/doc/2.7/security/securing_services.html" class="reference internal">如何保护应用程序中的任何服务或方法.
检查用户是否已登录(IS_AUTHENTICATED_FULLY)
到目前为止,您已经根据角色(以这些字符串开头)检查了访问权限具备ROLE_并分配给用户。但是如果你只有想要检查用户是否已登录(您不关心角色),然后可以使用IS_AUTHENTICATED_FULLY:
1 2 3 4 5 6 7 8 9 10
/ /……公共函数helloAction($的名字){如果(!$这->get (“security.authorization_checker”)->isGranted (“IS_AUTHENTICATED_FULLY”)) {扔$这->createAccessDeniedException ();}/ /……}提示
当然你也可以在access_control.
IS_AUTHENTICATED_FULLY不是一个角色,但它有点像一个角色,每个成功登录的用户都会有这个。事实上,像这样的特殊属性有三个:
IS_AUTHENTICATED_REMEMBERED:所有登录用户有这个,即使他们登录是因为一个“记住我的cookie”。即使你不使用<一个href="//www.oldmanjams.com/doc/2.7/security/remember_me.html" class="reference internal">记住我的功能,您可以使用此命令检查用户是否已登录。IS_AUTHENTICATED_FULLY:这类似于IS_AUTHENTICATED_REMEMBERED,但更强。仅因为“记住我的cookie”而登录的用户将有IS_AUTHENTICATED_REMEMBERED但不会有IS_AUTHENTICATED_FULLY.IS_AUTHENTICATED_ANONYMOUSLY:所有用户(甚至是匿名用户)都有这个功能——当白名单url,以保证访问-一些细节<一个href="//www.oldmanjams.com/doc/2.7/security/access_control.html" class="reference internal">安全访问控制如何工作?.
你也可以在模板中使用表达式:
- 嫩枝
- PHP
1 2 3 4 5
{%如果is_granting (expression(' ' role中的' ROLE_ADMIN ' or (user and user. issuperadmin ())')) %}<一个href=“…”>删除一个>{%endif%}有关表达式和安全性的详细信息,请参见<一个href="//www.oldmanjams.com/doc/2.7/security/expressions.html" class="reference internal">安全性:带有表达式的复杂访问控制.
访问控制列表(acl):保护各个数据库对象
假设您正在设计一个博客,用户可以在其中评论您的帖子。您还希望用户能够编辑自己的评论,而不是其他用户的评论。此外,作为管理员用户,您自己也希望能够进行编辑所有评论。
要做到这一点,你有两个选择:
- 选民允许您编写自己的业务逻辑(例如,用户可以编辑这篇文章,因为他们是创建者)来确定访问权限。你可能会想要这个选项——它足够灵活,可以解决上述情况。
- acl允许您创建可以赋值的数据库结构任何任意用户任何访问(如编辑、查看)到任何对象。如果您需要一个管理用户,以便能够通过某个管理界面授予跨系统的自定义访问权限,请使用此选项。
在这两种情况下,您仍将使用类似于上面所示的方法拒绝访问。
3)检索用户对象
2.6
的security.token_storage服务是在Symfony 2.6中引入的。欧宝娱乐app下载地址在Symfony 欧宝娱乐app下载地址2.6之前,您必须使用getToken ()方法security.context服务。
认证后,用户对象可以通过security.token_storage服务。在控制器内部,这看起来像:
1 2 3 4 5 6 7 8 9 10 11
公共函数indexAction(){如果(!$这->get (“security.authorization_checker”)->isGranted (“IS_AUTHENTICATED_FULLY”)) {扔$这->createAccessDeniedException ();}$用户=$这->getUser ();//上面是一个快捷方式$用户=$这->get (“security.token_storage”)->getToken ()->getUser ();}提示
用户将是一个对象,该对象的类将取决于您的<一个href="//www.oldmanjams.com/doc/2.7/security.html" class="reference internal">用户提供者.
现在你可以调用任何打开的方法你的用户对象。例如,如果你的User对象有一个getFirstName ()方法,你可以使用它:
1 2 3 4 5 6 7 8 9
使用欧宝娱乐app下载地址\组件\HttpFoundation\响应;/ /……公共函数indexAction(){/ /……返回新响应("你好".$用户->getFirstName ());}总是检查用户是否已登录
首先检查用户是否通过身份验证是很重要的。如果不是,$ user要么是零或者字符串不久。.等等,什么?是的,这是一个怪癖。如果您没有登录,用户在技术上就是字符串不久。,尽管getUser ()控制器快捷方式将其转换为零为了方便。
重点是:在使用user对象之前,总是检查用户是否已登录,并使用isGranted ()方法(或<一个href="//www.oldmanjams.com/doc/2.7/security.html" class="reference internal">access_control)这样做:
1 2 3 4 5 6 7 8 9
/ /耶!使用此命令查看用户是否已登录如果(!$这->get (“security.authorization_checker”)->isGranted (“IS_AUTHENTICATED_FULLY”)) {扔$这->createAccessDeniedException ();}// boo:(。永远不要检查User对象来查看他们是否已登录如果($这->getUser())}检索模板中的用户
在树枝模板中,该对象可以通过<一个href="//www.oldmanjams.com/doc/2.7/reference/twig_reference.html" class="reference internal">app.user关键:
- 嫩枝
- PHP
1 2 3
{%如果is_granted (IS_AUTHENTICATED_FULLY) %}<p>用户名:{{app.user.username}}p>{%endif%}注销
谨慎
请注意,在使用http-basic身份验证的防火墙时,没有真正的注销方法:唯一的方法是注销就是让浏览器停止在每次请求时发送您的姓名和密码。清理浏览器缓存或重新启动浏览器通常会有帮助。一些web开发工具可能也会有帮助。
通常,您还希望用户能够注销。幸运的是,防火墙可以在您激活注销配置参数:
- YAML
- XML
- PHP
1 2 3 4 5 6 7 8 9 10
# app / config / security.yml安全:#……防火墙:secured_area:#……注销:路径:/注销目标:/接下来,你需要为这个URL创建一个路由(但不是控制器):
- YAML
- XML
1 2 3
# app / config / routing.yml注销:路径:/注销就是这样!通过将用户发送到/注销(或者你配置的路径), Symfo欧宝娱乐app下载地址ny将取消当前用户的身份验证。
方法所定义的路径被重定向到目标参数(例如主页).
提示
如果在登出后需要做一些更有趣的事情,可以通过添加success_handler键并将其指向实现的类的服务id<一个href="https://github.com/symfony/symfony/blob/2.7/src/Symfony/Component/Security/Http/Logout/LogoutSuccessHandlerInterface.php" class="reference external" title="LogoutSuccessHandlerInterface" rel="external noopener noreferrer" target="_blank">LogoutSuccessHandlerInterface.看到<一个href="//www.oldmanjams.com/doc/2.7/reference/configuration/security.html" class="reference internal">安全配置参考.
层次的角色
你可以通过创建角色层次结构来定义角色继承规则,而不是将许多角色关联到用户:
- YAML
- XML
- PHP
1 2 3 4 5 6 7
# app / config / security.yml安全:#……role_hierarchy:ROLE_ADMIN:ROLE_USERROLE_SUPER_ADMIN:[ROLE_ADMIN,ROLE_ALLOWED_TO_SWITCH]在上述配置中,用户具有ROLE_ADMIN角色也会有ROLE_USER的角色。的ROLE_SUPER_ADMIN角色ROLE_ADMIN,ROLE_ALLOWED_TO_SWITCH而且ROLE_USER(继承自ROLE_ADMIN).
最后的话
哇!不错的工作!您现在了解的不仅仅是安全的基本知识。最难的部分是当您有自定义需求时:比如自定义身份验证策略(例如API令牌),复杂的授权逻辑和许多其他东西(因为安全是复杂的!)
幸运的是,有很多文章旨在描述其中的许多情况。此外,请参阅<一个href="//www.oldmanjams.com/doc/2.7/reference/configuration/security.html" class="reference internal">保安参考组.许多选项没有具体的细节,但是查看完整的可能配置树可能是有用的。
好运!
