安全

编辑该页面

安全会话cookie和<一个href=”//www.oldmanjams.com/doc/current/security/security/csrf.html" class="reference internal">CSRF保护在默认情况下提供。SecurityBundle,您将了解在本指南,提供所有身份验证和授权功能需要确保您的应用程序。

首先,安装SecurityBundle:

美元作曲家需要symfony / se欧宝娱乐app下载地址curity-bundle

如果你有<一个href=”//www.oldmanjams.com/doc/current/security/setup.html" class="reference internal">欧宝娱乐app下载地址Symfony Flex安装,这也创造了一个security.yaml为你配置文件:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27

#配置/包/ security.yaml安全:# https://欧宝娱乐app下载地址www.oldmanjams.com/doc/current/security.html registering-the-user-hashing-passwordspassword_hashers:欧宝娱乐app下载地址Symfony \ \安全\ \用户\ PasswordAuthenticatedUserInterface核心组件:“汽车”# https://欧宝娱乐app下载地址www.oldmanjams.com/doc/current/security.html where-do-users-come-from-user-providers提供者:users_in_memory:{记忆:零}防火墙:戴夫:模式:^ /(_(分析器| wdt) | css |图片| js) /安全:假主要:懒惰:真正的供应商:users_in_memory#激活不同的方式进行身份验证# https://欧宝娱乐app下载地址www.oldmanjams.com/doc/current/security.html firewalls-authentication# https://欧宝娱乐app下载地址www.oldmanjams.com/doc/current/security/impersonating_user.html# switch_user:真#大部分的简单的方法来控制访问你的网站#注意:只有第一* *将使用访问控制相匹配access_control:#——{路径:^ / admin角色:ROLE_ADMIN}# -{路径:^ /形象,角色:ROLE_USER}

这是一个很多配置!在接下来的部分中,讨论了三个主要的元素:

用户(供应商): 任何担保部分的应用程序需要一些用户的概念。用户从任何提供者加载用户存储(例如,数据库)基于“用户标识符”(例如用户的电子邮件地址);
防火墙&<一个href=”//www.oldmanjams.com/doc/current/security/security.html" class="reference internal">用户身份验证(防火墙): 防火墙是保护您的应用程序的核心。每个请求防火墙内检查是否需要一个身份验证的用户。防火墙还负责对该用户进行身份验证(例如使用登录表单);
访问控制(授权)(access_control): 使用访问控制和授权检查,您控制所需的权限来执行特定的操作或访问一个特定的URL。

用户界面。这常常是一个学说的实体,但您还可以使用一个专用的安全用户类。

生成一个用户类的最简单方法是使用:用户命令从<一个href=”//www.oldmanjams.com/doc/current/bundles/SymfonyMakerBundle/index.html" class="reference external">MakerBundle:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

美元php bin /控制台:用户安全用户类的名称(例如用户)[用户]:>用户你想存储用户数据在数据库(通过学说)吗?(yes / no)[是]:>是的输入属性名称将是独一无二的“显示”的名字为用户(例如电子邮件、用户名、uuid)(电子邮件):>电子邮件这个程序需要哈希/检查用户密码?选择不如果不需要密码或将检查/散列由其他系统(如单点登录服务器)。这个程序需要吗哈希/检查用户密码?(yes / no)[是]:>是的创建:src /实体/用户。php创建:src /仓库/ UserRepository。php更新:src /实体/用户。php updated: config/packages/security.yaml< /code>


              
               
                1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106
                / / src /实体/ User.php名称空间应用程序\实体;使用应用程序\存储库\UserRepository;使用学说\ORM\映射作为ORM;使用欧宝娱乐app下载地址\组件\安全\核心\用户\PasswordAuthenticatedUserInterface;使用欧宝娱乐app下载地址\组件\安全\核心\用户\用户界面;# (ORM \实体(repositoryClass: UserRepository::类))类用户实现了用户界面,PasswordAuthenticatedUserInterface{# (ORM \ Id)# (ORM \ GeneratedValue)# (ORM \列(类型:“整数”))私人int美元id;# (ORM \列(类型:字符串,长度:180年,独特:true))私人字符串?美元电子邮件;# (ORM \列(类型:json)]私人数组美元角色= [];# (ORM \列(类型:'字符串'))私人字符串美元密码;公共函数getId():哦?int{返回美元这- >id;}公共函数getEmail():哦?字符串{返回美元这- >电子邮件;}公共函数setEmail(字符串美元电子邮件):自我{美元这- >电子邮件=美元电子邮件;返回美元这;}/ * * *的公众表示用户(如用户名、电子邮件地址等)* *@see用户界面* /公共函数getUserIdentifier():字符串{返回(字符串)美元这- >电子邮件;}/ * * *@see用户界面* /公共函数将getRoles():数组{美元角色=美元这- >角色;/ /保证每个用户至少ROLE_USER美元角色[]=“ROLE_USER”;返回array_unique (美元角色);}公共函数setRoles(数组美元角色):自我{美元这- >角色=美元角色;返回美元这;}/ * * *@seePasswordAuthenticatedUserInterface * /公共函数getPassword():字符串{返回美元这- >密码;}公共函数向setPassword(字符串美元密码):自我{美元这- >密码=美元密码;返回美元这;}/ * * *返回一个盐只需要如果你不使用现代*散列算法security.yaml(如bcrypt或钠)。* *@see用户界面* /公共函数getSalt():哦?字符串{返回零;}/ * * *@see用户界面* /公共函数eraseCredentials():无效{/ /如果你存储任何暂时的,用户敏感数据,清晰的在这里/ / $ this - > plainPassword =零;}}
               
              
              如果您的用户是一个教义实体,就像在上面的示例中,别忘了创建表<一个href=”//www.oldmanjams.com/doc/current/security/doctrine.html" class="reference internal">创建和运行迁移:

               
                1 2
                美元php bin /控制台:迁移美元php bin /控制台学说:迁移:迁移

:用户命令还增加了用户配置提供程序在你的安全配置:

                   1 2 3 4 5 6 7 8 9
                   #配置/包/ security.yaml安全:#……提供者:app_user_provider:实体:类:应用实体\ \用户属性:电子邮件
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
                   < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置>< !- - - - - -- - - - - -。。。- - ><提供者的名字=“app_user_provider”><实体类=“应用程序实体\ \用户”财产=“电子邮件”/ >< /提供者>< /配置>< /srv:容器>
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13
                   / /配置/包/ security.php使用应用程序\实体\用户;使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{/ /……美元安全- >提供者(“app_user_provider”)- >实体()- >类(用户::类)- >属性(“电子邮件”);};
                  

这个用户提供者知道如何(重新)从一个存储加载用户(例如,数据库)基于“用户标识符”(如用户的电子邮件地址或用户名)。上面的配置使用原则来加载用户实体使用电子邮件属性为“用户标识符”。

用户在几个地方使用提供者在安全生命周期:

加载用户基于一个标识符: 在登录(或任何其他身份验证),提供商加载用户基于用户标识符。一些其他特性,比如<一个href=”//www.oldmanjams.com/doc/current/security/security/impersonating_user.html" class="reference internal">用户模拟和<一个href=”//www.oldmanjams.com/doc/current/security/security/remember_me.html" class="reference internal">记得我也用这个。
重新加载用户的会话: 在每个请求的开始,从会话用户加载(除非你的防火墙无状态的)。提供者“刷新”用户(例如数据库查询了最新数据),以确保所有用户的信息是最新的(如果必要,用户de-authenticated /记录如果有改变)。看到<一个href=”//www.oldmanjams.com/doc/current/security/security.html" class="reference internal">安全关于这个过程的更多信息。

欧宝娱乐app下载地址Symfony提供了几个内置的用户提供者:

实体用户提供者< /dt>: 从数据库加载用户使用<一个href=”//www.oldmanjams.com/doc/current/security/doctrine.html" class="reference internal">学说;
LDAP用户提供者< /dt>: 从LDAP服务器加载用户;
记忆用户提供者< /dt>: 加载用户配置文件;
链用户提供者< /dt>: 合并两个或两个以上的用户提供一个新的用户提供者。因为每个防火墙完全一个用户提供者,您可以使用此链多个提供者在一起。

内置的用户提供涵盖最常见的应用程序需求,但是你还可以创建自己的<一个href=”//www.oldmanjams.com/doc/current/security/security/user_providers.html" class="reference internal">定制用户提供者。

请注意

有时,您需要将用户提供者在另一个类(例如,在您的自定义身份验证)。所有用户提供者遵循这种模式的服务ID:security.user.provider.concrete。< your-provider-name >(< your-provider-name >配置是关键。app_user_provider)。如果你只有一个用户提供者,您可以使用自动装配<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Component/Security/Core/User/UserProviderInterface.php" class="reference external" title="UserProviderInterface”rel="external noopener noreferrer" target="_blank">UserProviderInterface类型- - - - - -hint。

< /div>

PasswordAuthenticatedUserInterface:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

/ / src /实体/ User.php/ /……使用欧宝娱乐app下载地址\组件\安全\核心\用户\PasswordAuthenticatedUserInterface;类用户实现了用户界面,PasswordAuthenticatedUserInterface{/ /……/ * * *@return字符串的哈希密码用户* /公共函数getPassword():字符串{返回美元这- >密码;}}

然后,配置哪些密码侍者应该用于这类。如果你的security.yaml文件不是已经预先配置,然后:用户你应该这样做:

                   1 2 3 4 5 6 7
                   #配置/包/ security.yaml安全:#……password_hashers:#使用本机密码切肉机,自动选择和迁移最好的#可能散列算法(目前是“bcrypt”)欧宝娱乐app下载地址Symfony \ \安全\ \用户\ PasswordAuthenticatedUserInterface核心组件:“汽车”
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
                   < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置>< !- - - - - -- - - - - -。。。- - >< !- - - - - -- - - - - -Use native password hasher, which auto-selects and migrates the best possible hashing algorithm (currently this is "bcrypt") -->< /span><password-hasher类=“欧宝娱乐app下载地址Symfony \ \安全\ \用户\ PasswordAuthenticatedUserInterface核心组件”算法=“汽车”/ >< /配置>< /srv:容器>
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13
                   / /配置/包/ security.php使用应用程序\实体\用户;使用欧宝娱乐app下载地址\组件\安全\核心\用户\PasswordAuthenticatedUserInterface;返回静态函数(SecurityConfig美元安全):无效{/ /……/ /使用本机密码切肉机,自动选择和迁移最好的/ /可能的散列算法(目前这是“bcrypt”)美元安全- >passwordHasher (PasswordAuthenticatedUserInterface::类)- >算法(“汽车”);};
                  

现在,Symfon欧宝娱乐app下载地址y知道如何你想哈希密码,您可以使用UserPasswordHasherInterface服务之前保存你的用户数据库:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日24日25

/ / src /控制器/ RegistrationController.php名称空间应用程序\控制器;/ /……使用欧宝娱乐app下载地址\组件\HttpFoundation\响应;使用欧宝娱乐app下载地址\组件\PasswordHasher\切肉机\UserPasswordHasherInterface;类RegistrationController扩展AbstractController{公共函数指数(UserPasswordHasherInterface美元passwordHasher):响应{/ /……如从一个注册表单获取用户数据美元用户=新用户(…);美元plaintextPassword=……;/ /散列(基于安全的密码。yaml配置为$ user类)美元hashedPassword=美元passwordHasher- >hashPassword (美元用户,美元plaintextPassword);美元用户- >向setPassword (美元hashedPassword);/ /……}}

提示

的:注册表单制造商命令可以帮助你设置注册控制器和添加功能,如电子邮件地址验证使用<一个href=”https://github.com/symfonycasts/verify-email-bundle" class="reference external" rel="external noopener noreferrer" target="_blank">欧宝娱乐app下载地址SymfonyCastsVerifyEmailBundle。

1 2

美元作曲家需要symfonycasts欧宝娱乐app下载地址 / verify-email-bundle美元php bin /控制台:登记表

你也可以手动哈希密码通过运行:

美元php bin /控制台安全:哈希密码

阅读更多关于移民所有可用的侍者和密码<一个href=”//www.oldmanjams.com/doc/current/security/security/passwords.html" class="reference internal">密码散列和验证。

6.2

在应用程序中使用Symfony 6.2和PH欧宝娱乐app下载地址P 8.2或更新版本,<一个href=”https://wiki.php.net/rfc/redact_parameters_in_back_traces" class="reference external" rel="external noopener noreferrer" target="_blank">SensitiveParameter PHP属性是应用于所有普通密码和敏感的令牌,所以他们不会出现在堆栈跟踪。

< /div>

防火墙的部分配置/包/ security.yaml是大多数重要的部分。“防火墙”是你的认证系统:防火墙定义应用程序的哪些部分有如何用户将能够进行身份验证(例如登录表单,API的令牌,等等)。

                  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
                  #配置/包/ security.yaml安全:#……防火墙:戴夫:模式:^ /(_(分析器| wdt) | css |图片| js) /安全:假主要:懒惰:真正的#提供者设置在早些时候提供者供应商:app_user_provider#激活不同的方式进行身份验证# https://欧宝娱乐app下载地址www.oldmanjams.com/doc/current/security.html firewalls-authentication# https://欧宝娱乐app下载地址www.oldmanjams.com/doc/current/security/impersonating_user.html# switch_user:真
                 

                  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日24日25日26日
                  < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置>< !- - - - - -- - - - - -。。。- - ><防火墙的名字=“开发”模式=“^ /(_(分析器| wdt) | css |图片| js) /”安全=“假”/ ><防火墙的名字=“主要”懒惰的=“真正的”/ >< !- - - - - -- - - - - -一个ctivate different ways to authenticate //www.oldmanjams.com/doc/current/security.html#firewalls-authentication -->< /span>< !- - - - - -- - - - - -//www.oldmanjams.com/doc/current/security/impersonating_user.html -->< /span>< !- - - - - -- - - - - - -->< /span>< /配置>< /srv:容器>
                 

                  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
                  / /配置/包/ security.php使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{/ /……美元安全- >防火墙(“开发”)- >模式(' ^ /(_(分析器| wdt) | css |图片| js) / ')- >安全(假);美元安全- >防火墙(“主要”)- >懒惰(真正的)/ /激活不同的方式进行身份验证/ / https:/欧宝娱乐app下载地址/www.oldmanjams.com/doc/current/security.html firewalls-authentication/ / https:/欧宝娱乐app下载地址/www.oldmanjams.com/doc/current/security/impersonating_user.html/ / - > switchUser(真正的);};
                 

只有一个防火墙是活跃在每个请求:Symfony使用欧宝娱乐app下载地址模式找到第一个匹配的关键(你也可以<一个href=”//www.oldmanjams.com/doc/current/security/security/firewall_restriction.html" class="reference internal">比赛由主机或其他的东西)。

的dev防火墙是一个假的防火墙:确保你不意外块Symfony的开发工具——生活在url欧宝娱乐app下载地址/ _profiler和/ _wdt。

所有真正的url的处理主要防火墙(不模式关键是它匹配所有url)。防火墙可以有许多的身份验证模式,换句话说,它使许多方法来问“你是谁?”的问题。

通常,用户是未知的(即没有登录),当他们第一次访问你的网站。如果你现在访问你的主页,你将访问,你会发现你访问一个页面工具栏中的防火墙后面:

访问URL下防火墙并不一定需要你验证(例如登录表单必须访问或应用程序的一些部分是公开的)。您将学习如何限制访问url,控制器或其他在你的防火墙<一个href=”//www.oldmanjams.com/doc/current/security/security.html" class="reference internal">访问控制部分。

提示

的懒惰的匿名的方式阻止会话开始如果没有必要授权(即显式检查用户特权)。这是很重要的保持请求缓存(参见<一个href=”//www.oldmanjams.com/doc/current/security/http_cache.html" class="reference internal">HTTP缓存)。

< /div>

请注意

如果您没有看到工具栏,安装<一个href=”//www.oldmanjams.com/doc/current/security/profiler.html" class="reference internal">分析器:

美元作曲家要求- dev symfony / pr欧宝娱乐app下载地址ofiler-pack

安全服务:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日24

/ / src /服务/ ExampleService.php/ /……使用欧宝娱乐app下载地址\包\SecurityBundle\安全;使用欧宝娱乐app下载地址\组件\HttpFoundation\RequestStack;类ExampleService{公共函数__construct(/ /避免调用getFirewallConfig()在构造函数中:身份验证可能还不/ /完成。相反,整个安全存储对象。私人安全美元安全、私人RequestStack美元requestStack,){}公共函数someMethod():无效{美元请求=美元这- >requestStack- >getCurrentRequest ();美元firewallName=美元这- >安全- >getFirewallConfig (美元请求)?- >getName ();/ /……}}

6.2

的getFirewallConfig ()方法是在Symfony 6.2中引入的。欧宝娱乐app下载地址

提示

如果您的应用程序日志的用户通过第三方服务,如谷歌、Facebook或Twitter登录(社会),查看<一个href=”https://github.com/hwi/HWIOAuthBundle" class="reference external" rel="external noopener noreferrer" target="_blank">HWIOAuthBundle欧宝下载链接社区包。

< /div>

FormLoginAuthenticator。

首先,创建一个登录表单的控制器:

1 2 3 4

美元php bin /控制台:控制器创建登录:src /控制器/ LoginController。/登录/ index.html.twig php创建:模板

                 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
                 / / src /控制器/ LoginController.php名称空间应用程序\控制器;使用欧宝娱乐app下载地址\包\FrameworkBundle\控制器\AbstractController;使用欧宝娱乐app下载地址\组件\HttpFoundation\响应;使用欧宝娱乐app下载地址\组件\路由\注释\路线;类LoginController扩展AbstractController{#(路线(“/登录”,名字:“app_login”))公共函数指数():响应{返回美元这- >呈现(“登录/ index.html.twig”,(“controller_name”= >“LoginController”]);}}
                

然后,使FormLoginAuthenticator使用form_login设置:

                   1 2 3 4 5 6 7 8 9 10 11
                   #配置/包/ security.yaml安全:#……防火墙:主要:#……form_login:#“app_login”的名字是先前创建的路线login_path:app_logincheck_path:app_login
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
                   < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置>< !- - - - - -- - - - - -。。。- - ><防火墙的名字=“主要”>< !- - - - - -- - - - - -“app_login”是的名字of the route created previously -->< /span><登录登录路径=“app_login”看看路径=“app_login”/ >< /防火墙>< /配置>< /srv:容器>
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14
                   / /配置/包/ security.php使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{/ /……美元mainFirewall=美元安全- >防火墙(“主要”);/ /“app_login”的名字是先前创建的路线美元mainFirewall- >formLogin ()- >loginPath (“app_login”)- >checkPath (“app_login”);};
                  

请注意

的login_path和check_path支持url和路线名称(但不能有强制性的通配符,如。/登录/ {foo}在哪里喷火没有默认值)。

< /div>

一旦启用,安全系统重定向未经身份验证的游客login_path当他们试图访问一个安全的地方(这种行为可以定制<一个href=”//www.oldmanjams.com/doc/current/security/security/access_denied_handler.html" class="reference internal">认证入口点)。

编辑登录控制器呈现登录表单:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

/ /……+使用Sym欧宝娱乐app下载地址fony组件\ \安全\ Http身份验证\ \ AuthenticationUtils;类LoginController延伸AbstractController{#[路线(“/登录”,名字:“app_login”))公共函数指数():反应+公共函数指数(AuthenticationUtils AuthenticationUtils美元):反应{+ / /如果有一个得到登录错误+ $ = $ authenticationUtils错误- > getLastAuthenticationError ();++ / /最后一个用户输入的用户名+ $ lastUsername = $ authenticationUtils - > getLastUsername ();+返回$ this - >渲染(“登录/ index . html。嫩枝”,(——“controller_name”= >“LoginController”,+“last_username”= > lastUsername美元,+ '错误' = >美元错误,]);}}

不要让这个控制器迷惑你。它的工作就是唯一渲染表单。的FormLoginAuthenticator将处理表单提交自动。如果用户提交一个无效的电子邮件或密码,身份将存储错误和重定向回这个控制器,我们读错误(使用AuthenticationUtils),这样就可以显示给用户。

最后,创建或更新的模板:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日

{#模板/登录/ index . html。树枝#}{%扩展“base.html。嫩枝' %}{#……#}{%块身体%}{%如果错误%}<div>{{error.messageKey |反式(错误。messageData,“安全”)}}< /div>{%endif%}<形式行动=”{{路径(app_login)}}”方法=“职位”><标签为=“用户名”>电子邮件:< /标签><输入类型=“文本”id=“用户名”的名字=“_username”价值=”{{last_username}}”><标签为=“密码”>密码:< /标签><输入类型=“密码”id=“密码”的名字=“_password”>{#如果你想控制用户的URL重定向到成功< input type =“隐藏”name = " _target_path " value = " /账户”> #}<按钮类型=“提交”>登录< /按钮>< /形式>{%endblock%}

谨慎

的错误变量传递到模板的一个实例<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Component/Security/Core/Exception/AuthenticationException.php" class="reference external" title="AuthenticationException”rel="external noopener noreferrer" target="_blank">AuthenticationException。它可能包含敏感信息的身份验证失败。从来没有使用error.message:使用messageKey性质相反,如例子所示。显示此消息总是安全的。

< /div>

可以像任何形式,但它通常遵循一些惯例:

的<形式>发送一个元素帖子请求app_login路线,因为那是你的配置check_path下form_login关键在security.yaml;
用户名(或者无论你用户的“标识符”,像电子邮件)字段的名称_username和密码字段的名称_password。

提示

实际上,所有这些可以根据配置form_login关键。看到<一个href=”//www.oldmanjams.com/doc/current/security/reference/configuration/security.html" class="reference internal">安全配置引用(SecurityBundle)为更多的细节。

< /div>

谨慎

这个登录表单目前不是防止CSRF攻击。读<一个href=”//www.oldmanjams.com/doc/current/security/security.html" class="reference internal">安全如何保护你的登录表单。

< /div>

这是它!当你提交表单时,安全系统自动读取_username和_password参数后,加载用户通过用户提供者,检查用户的凭证和对用户进行身份验证或将它们发送回错误可以显示的登录表单。

回顾整个过程:

用户试图访问受保护的资源(如/管理);
防火墙启动身份验证过程的重定向用户登录表单(/登录);
的/登录页面登录表单通过这个示例中创建的路线和控制器;
用户提交登录表单/登录;
安全系统(即FormLoginAuthenticator)拦截请求,检查用户的提交凭证,对用户进行身份验证,如果他们是正确的,并发送用户登录表单,如果他们不是。

另请参阅

您可以自定义响应成功或失败的登录尝试。看到<一个href=”//www.oldmanjams.com/doc/current/security/security/form_login.html" class="reference internal">自定义表单登录身份验证响应。

< /div>

登录CSRF攻击可以避免使用相同的技术隐藏CSRF标记添加到登录表单。安全组件已经提供了CSRF保护,但您需要配置一些选项之前使用它。

首先,您需要启用CSRF表单登录:

                    1 2 3 4 5 6 7 8 9 10
                    #配置/包/ security.yaml安全:#……防火墙:secured_area:#……form_login:#……enable_csrf:真正的
                   

                    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
                    < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置>< !- - - - - -- - - - - -。。。- - ><防火墙的名字=“secured_area”>< !- - - - - -- - - - - -。。。- - ><登录enable-csrf=“真正的”/ >< /防火墙>< /配置>< /srv:容器>
                   

                    1 2 3 4 5 6 7 8 9 10 11 12
                    / /配置/包/ security.php使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{/ /……美元mainFirewall=美元安全- >防火墙(“主要”);美元mainFirewall- >formLogin ()/ /……- >enableCsrf (真正的);};
                   

然后,使用csrf_token ()函数在树枝模板来生成一个CSRF令牌并将其存储为表单的隐藏字段。默认情况下,必须调用HTML字段_csrf_token和用于生成值必须是字符串进行身份验证:

1 2 3 4 5 6 7 8 9 10

{#模板/登录/ index . html。树枝#}{#……#}<形式行动=”{{路径(app_login)}}”方法=“职位”>{#……登录字段#}<输入类型=“隐藏”的名字=“_csrf_token”价值=”{{csrf_token(验证)}}”><按钮类型=“提交”>登录< /按钮>< /形式>

在这之后,你有保护你的登录表单CSRF攻击。

提示

你可以改变通过设置的名称字段csrf_parameter通过设置和改变令牌IDcsrf_token_id在你的配置。看到<一个href=”//www.oldmanjams.com/doc/current/security/reference/configuration/security.html" class="reference internal">安全配置引用(SecurityBundle)为更多的细节。

< /div>

json_login设置:

                   1 2 3 4 5 6 7 8 9 10
                   #配置/包/ security.yaml安全:#……防火墙:主要:#……json_login:我们将创建以下# api_login是一个途径check_path:api_login
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
                   < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置>< !- - - - - -- - - - - -。。。- - ><防火墙的名字=“主要”><json-login看看路径=“api_login”/ >< /防火墙>< /配置>< /srv:容器>
                  

                   1 2 3 4 5 6 7 8 9 10 11
                   / /配置/包/ security.php使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{/ /……美元mainFirewall=美元安全- >防火墙(“主要”);美元mainFirewall- >jsonLogin ()- >checkPath (“api_login”);};
                  

请注意

的check_path支持url和路线名称(但不能有强制性的通配符,如。/登录/ {foo}在哪里喷火没有默认值)。

< /div>

身份运行时客户机请求check_path。首先,创建一个控制器路径:

1 2 3

美元php bin /控制台:控制器——没有模板ApiLogin创建:src /控制器/ ApiLoginController.php

                 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
                 / / src /控制器/ ApiLoginController.php名称空间应用程序\控制器;使用欧宝娱乐app下载地址\包\FrameworkBundle\控制器\AbstractController;使用欧宝娱乐app下载地址\组件\HttpFoundation\响应;使用欧宝娱乐app下载地址\组件\路由\注释\路线;类ApiLoginController扩展AbstractController{#(路线(“/ api /登录”,名字:“api_login”))公共函数指数():响应{返回美元这- >json ([“消息”= >“欢迎来到你的新控制器!”,“路径”= >“src /控制器/ ApiLoginController.php”]);}}
                

这个登录控制器将被称为身份验证成功后对用户进行身份验证。你可以通过身份验证的用户,生成一个令牌(或任何你需要返回)和返回的JSON响应:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日24日25日26日

/ /……+使用App \实体\用户;+使用Sym欧宝娱乐app下载地址fony Http \ \安全\ \组件属性\ CurrentUser;类ApiLoginController延伸AbstractController{#[路线(“/ api /登录”,名字:“api_login”))公共函数指数():反应+公共函数指数(# (CurrentUser) ?用户$ User):反应{+如果(null = = = $ user) {+ $ this - >返回json ([+“消息”= >“缺失的凭证”,+),反应::HTTP_UNAUTHORIZED);+}++ $牌=…;/ /为$ user创建一个API的令牌+返回json ([$ this - >——“消息”= >“欢迎你的新控制器!”——“路径”= >“src /控制器/ ApiLoginController.php”,+“用户”= > $ user - > getUserIdentifier (),+“令牌”= >美元令牌,]);}}

请注意

的# (CurrentUser)只能用于控制器参数检索通过身份验证的用户。在服务中,您将使用<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Component/Security/Core/Security.php" class="reference external" title="getUser ()”rel="external noopener noreferrer" target="_blank">getUser ()。

< /div>

就是这样!总结的过程:

一个客户端(如前端)POST请求与内容类型:application / json头来/ api /登录与用户名(即使你的标识符实际上是一个电子邮件)密码密钥:
```
1 2 3 4
```
```
{“用户名”:“dunglas@example.com”,“密码”:“我的密码”}
```

安全系统拦截请求,检查用户提交的凭证和对用户进行身份验证。如果凭证不正确,返回一个HTTP 401未经授权的JSON响应,否则控制器运行;

控制器创建正确的反应:

1 2 3 4

{“用户”:“dunglas@example.com”,“令牌”:“45 be42……”}

提示

JSON请求的格式可以根据配置json_login关键。看到<一个href=”//www.oldmanjams.com/doc/current/security/reference/configuration/security.html" class="reference internal">安全配置引用(SecurityBundle)为更多的细节。

< /div>

HTTP基本身份验证是一个标准的HTTP身份验证框架。它要求凭据(用户名和密码)使用的浏览器和HTTP基本身份验证对话框Symfony将验证这些凭据。欧宝娱乐app下载地址

添加http_basic关键你的防火墙启用HTTP基本身份验证:

                   1 2 3 4 5 6 7 8 9
                   #配置/包/ security.yaml安全:#……防火墙:主要:#……http_basic:域:担保区域
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
                   < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置>< !- - - - - -- - - - - -。。。- - ><防火墙的名字=“主要”><http基本领域=“安全区域”/ >< /防火墙>< /配置>< /srv:容器>
                  

                   1 2 3 4 5 6 7 8 9
                   / /配置/包/ security.php使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{美元mainFirewall=美元安全- >防火墙(“主要”);美元mainFirewall- >httpBasic ()- >领域(“安全区域”);};
                  

就是这样!每当一个未经身份验证的用户试图访问一个受保护页面,Symfony会告诉浏览器,它需要启动HTTP基本身份验证(使用欧宝娱乐app下载地址WWW-Authenticate响应头)。然后,身份验证凭证,对用户进行身份验证。

请注意

你不能使用<一个href=”//www.oldmanjams.com/doc/current/security/security.html" class="reference internal">注销HTTP基本身份验证。即使你从Symfony注销,您的浏览器“记住”您的欧宝娱乐app下载地址凭据,并将把他们在每一个请求。

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
                   服务器{#……ssl_client_certificate/路径/ / my-custom-CA.pem;#启用客户端证书验证ssl_verify_client可选的;ssl_verify_depth1;位置/ {#通过DN作为“SSL_CLIENT_S_DN”应用程序fastcgi_paramSSL_CLIENT_S_DN美元ssl_client_s_dn;#……}}
                  

                   1 2 3 4 5 6 7
                   #……SSLCACertificateFile“/道路/ / my-custom-CA.pem”SSLVerifyClient可选SSLVerifyDepth1# DN传递给应用程序SSLOptions+ StdEnvVars
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日
                   tls {client_auth{模式verify_if_given #检查盒文档了解更多信息trusted_ca_c欧宝体育电话ert_file /路径/ / my-custom-CA。pem}}{#路由其他配置选项去这里php_fastcgi unix / / var /运行/ php / php-fpm。袜子{env SSL_CLIENT_S_DN {tls_client_subject} #环境变量可能需要的其他证书字段。#他们不是用Symfony,但是您可以在应用程欧宝娱乐app下载地址序中使用它们。#看到所有占位符:https://caddyserver.com/docs/caddyfile/concepts占位符env SSL_CLIENT_S_FINGERPRINT {tls_client_fingerprint} env SSL_CLIENT_S_CERTIFICATE {tls_client_certificate_der_base64} env SSL_CLIENT_S_ISSUER {tls_client_issuer} env SSL_CLIENT_S_SERIAL {tls_client_serial} env SSL_CLIENT_S_VERSION {tls_version}}}
                  

然后,使x认证者使用x509防火墙:

                   1 2 3 4 5 6 7 8 9
                   #配置/包/ security.yaml安全:#……防火墙:主要:#……x509:供应商:your_user_provider
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
                   < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置>< !- - - - - -- - - - - -。。。- - ><防火墙的名字=“主要”>< !- - - - - -- - - - - -。。。- - ><x509提供者=“your_user_provider”/ >< /防火墙>< /配置>< /srv:容器>
                  

                   1 2 3 4 5 6 7 8 9
                   / /配置/包/ security.php使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{美元mainFirewall=美元安全- >防火墙(“主要”);美元mainFirewall- >x509 ()- >提供者(“your_user_provider”);};
                  

默认情况下,Symfon欧宝娱乐app下载地址y中提取电子邮件地址的DN在两种不同的方式:

首先,它尝试SSL_CLIENT_S_DN_Email服务器参数,由Apache暴露;
如果不设置(如使用Nginx时),它使用SSL_CLIENT_S_DN和匹配的值emailAddress。

您可以自定义一些参数下的名字x509关键。看到<一个href=”//www.oldmanjams.com/doc/current/security/reference/configuration/security.html" class="reference internal">x509配置参考为更多的细节。

< /div>

REMOTE_USER环境变量。远程用户身份验证使用该值作为用户标识符来加载对应的用户。

使远程用户身份验证使用remote_user关键:

                   1 2 3 4 5 6 7
                   #配置/包/ security.yaml安全:防火墙:主要:#……remote_user:供应商:your_user_provider
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
                   < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置><防火墙的名字=“主要”><远程用户提供者=“your_user_provider”/ >< /防火墙>< /配置>< /srv:容器>
                  

                   1 2 3 4 5 6 7 8 9
                   / /配置/包/ security.php使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{美元mainFirewall=美元安全- >防火墙(“主要”);美元mainFirewall- >remoteUser ()- >提供者(“your_user_provider”);};
                  

提示

您可以定制这个服务器变量下的名字remote_user关键。看到<一个href=”//www.oldmanjams.com/doc/current/security/reference/configuration/security.html" class="reference internal">配置引用为更多的细节。

< /div>

蛮力登录攻击。你必须启用该使用login_throttling设置:

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
                   #配置/包/ security.yaml安全:防火墙:#……主要:#……#默认情况下,该功能允许5每分钟登录尝试login_throttling:零#配置最大的登录尝试login_throttling:max_attempts:3#每分钟……#间隔:“15分钟”#……或者在一个定制的时期#使用定制的速率限制器通过其服务IDlogin_throttling:限幅器:app.my_login_rate_limiter
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日24日25
                   < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”>< !- - - - - -- - - - - -you must use the authenticator manager -->< /span><配置enable-authenticator-manager=“真正的”>< !- - - - - -- - - - - -。。。- - ><防火墙的名字=“主要”>< !- - - - - -- - - - - -通过default, the feature allows 5 login attempts per minute max-attempts: (optional) You can configure the maximum attempts ... interval: (optional) ... and the period of time. -->< /span><login-throttlingmax-attempts=“3”时间间隔=“15分钟”/ >< !- - - - - -- - - - - -使用一个custom rate limiter via its service ID -->< /span><login-throttling限幅器=“app.my_login_rate_limiter”/ >< /防火墙>< /配置>< /srv:容器>
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14
                   / /配置/包/ security.php使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{美元安全- >enableAuthenticatorManager (真正的);美元mainFirewall=美元安全- >防火墙(“主要”);/ /默认情况下,该特性允许5每分钟登录尝试美元mainFirewall- >loginThrottling ()/ / - > maxAttempts(3) / /可选:您可以配置的最大努力…/ / - >间隔(15分钟)/ /……和一段时间。;};
                  

请注意

的值时间间隔选项必须是一个数字之后,任何单位接受<一个href=”https://www.php.net/datetime.formats.relative" class="reference external" rel="external noopener noreferrer" target="_blank">PHP日期相对格式(如。3秒,10个小时,1天等)。

< /div>

在内部,Symfony使欧宝娱乐app下载地址用<一个href=”//www.oldmanjams.com/doc/current/security/rate_limiter.html" class="reference internal">速度限制器组件默认情况下使用Symfony的缓存存储以前的欧宝娱乐app下载地址登录尝试。然而,您可以实现一个<一个href=”//www.oldmanjams.com/doc/current/security/rate_limiter.html" class="reference internal">自定义存储。

登录尝试是有限的max_attempts(默认值:5)失败的请求IP地址+用户名和5 * max_attempts请求失败IP地址。第二个限制防止攻击者绕过第一个极限使用多个用户名,在不影响正常用户大网络(如办公室)。

提示

限制失败的登录尝试只有一个基本保护蛮力攻击。的<一个href=”https://owasp.org/www-community/controls/Blocking_Brute_Force_Attacks" class="reference external" rel="external noopener noreferrer" target="_blank">OWASP蛮力攻击指南提到其他的保护,你应该考虑根据所需的保护级别。

< /div>

如果你需要一个更复杂的限制算法,创建一个类实现<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Component/HttpFoundation/RateLimiter/RequestRateLimiterInterface.php" class="reference external" title="RequestRateLimiterInterface”rel="external noopener noreferrer" target="_blank">RequestRateLimiterInterface(或使用<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Component/Security/Http/RateLimiter/DefaultLoginRateLimiter.php" class="reference external" title="DefaultLoginRateLimiter”rel="external noopener noreferrer" target="_blank">DefaultLoginRateLimiter)和设置限幅器选择其服务ID:

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27 28 29 30
                   #配置/包/ security.yaml框架:rate_limiter:#定义2速率限制器(一个用于用户名+ IP,另一个IP)username_ip_login:政策:token_bucket限制:5率:{间隔:“5分钟”}ip_login:政策:sliding_window限制:50间隔:“15分钟”服务:#我们的自定义登录率限制器app.login_rate_limiter:类:欧宝娱乐app下载地址Symfony \ \安全\ Http \ RateLimiter \ DefaultLoginRateLimiter组件参数:# globalFactory的限幅器IP$ globalFactory:“@limiter.ip_login”# localFactory的限幅器是用户名+ IP$ localFactory:“@limiter.username_ip_login”安全:防火墙:主要:#使用定制的速率限制器通过其服务IDlogin_throttling:限幅器:app.login_rate_limiter
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50
                   < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:框架=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/symfony”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/symfony //www.oldmanjams.com/schema/dic/symfony/symfony-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><框架:配置><框架:限速>< !- - - - - -- - - - - -define 2 rate limiters (one for username+IP, the other for IP) -->< /span><框架:限幅器的名字=“username_ip_login”政策=“token_bucket”限制=“5”><框架:速度时间间隔=“5分钟”/ >< /框架:限幅器><框架:限幅器的名字=“ip_login”政策=“sliding_window”限制=“50”时间间隔=“15分钟”/ >< /框架:限速>< /框架:配置><电脑:服务>< !- - - - - -- - - - - -our custom login rate limiter -->< /span><电脑:服务id=“app.login_rate_limiter”类=“欧宝娱乐app下载地址Symfony \组件\安全\ Http \ RateLimiter \ DefaultLoginRateLimiter”>< !- - - - - -- - - - - -1st argument is the limiter for IP -->< /span><srv:论点类型=“服务”id=“limiter.ip_login”/ >< !- - - - - -- - - - - -2nd argument is the limiter for username+IP -->< /span><srv:论点类型=“服务”id=“limiter.username_ip_login”/ >< /电脑:服务>< /电脑:服务><配置><防火墙的名字=“主要”>< !- - - - - -- - - - - -使用一个custom rate limiter via its service ID -->< /span><login-throttling限幅器=“app.login_rate_limiter”/ >< /防火墙>< /配置>< /srv:容器>
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27 28 29 30 31 32 33 34 35 36
                   / /配置/包/ security.php使用欧宝娱乐app下载地址\组件\DependencyInjection\ContainerBuilder;使用欧宝娱乐app下载地址\组件\DependencyInjection\参考;使用欧宝娱乐app下载地址\组件\安全\Http\RateLimiter\DefaultLoginRateLimiter;使用欧宝娱乐app下载地址\配置\FrameworkConfig;使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(ContainerBuilder美元容器,FrameworkConfig美元框架,SecurityConfig美元安全):无效{美元框架- >rateLimiter ()- >限幅器(“username_ip_login”)- >政策(“token_bucket”)- >限制(5)- >率()- >时间间隔(“5分钟”);美元框架- >rateLimiter ()- >限幅器(“ip_login”)- >政策(“sliding_window”)- >限制(50)- >时间间隔(“15分钟”);美元容器- >注册(“app.login_rate_limiter”,DefaultLoginRateLimiter::类)- >setArguments ([/ /第一个参数是限幅器的IP新引用(“limiter.ip_login”),/ /第二个参数是限制用户名+ IP新引用(“limiter.username_ip_login”)));美元安全- >防火墙(“主要”)- >loginThrottling ()- >限幅器(“app.login_rate_limiter”);};
                  

6.2

的<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Bundle/SecurityBundle/Security.php" class="reference external" title="欧宝娱乐app下载地址Symfony \包\ SecurityBundle \安全”rel="external noopener noreferrer" target="_blank">欧宝娱乐app下载地址Symfony \包\ SecurityBundle \安全类是在Symfony 6.2中引入的。欧宝娱乐app下载地址在6.2之前,它被称为欧宝娱乐app下载地址\组件\安全\核心\安全。

< /div>

6.2

的<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Bundle/SecurityBundle/Security.php" class="reference external" title="登录()”rel="external noopener noreferrer" target="_blank">登录()方法是在Symfony 6.2中引入的。欧宝娱乐app下载地址

< /div>

你可以登录用户通过编程的方式使用登录()的方法<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Bundle/SecurityBundle/Security.php" class="reference external" title="安全”rel="external noopener noreferrer" target="_blank">安全助手:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27 28 29 30 31 32 33

/ / src /控制器/ SecurityController.php名称空间应用程序\控制器\SecurityController;使用应用程序\安全\身份验证\ExampleAuthenticator;使用欧宝娱乐app下载地址\包\SecurityBundle\安全;类SecurityController{公共函数someAction(安全美元安全):响应{/ /获取用户身份验证美元用户=……;/ /用户登录当前防火墙美元安全- >登录(美元用户);/ /如果防火墙有多个身份验证,您必须显式地通过/ /通过使用内置的身份验证器的名字……美元安全- >登录(美元用户,“form_login”);/ /……或的服务idof custom authenticators< /span>美元安全- >登录(美元用户,ExampleAuthenticator::类);/ /你也可以登录不同的防火墙美元安全- >登录(美元用户,“form_login”,“other_firewall”);/ /使用重定向逻辑应用于正常登录美元redirectResponse=美元安全- >登录(美元用户);返回美元redirectResponse;/ /或使用一个定制的重定向逻辑(例如,将用户重定向到他们的帐户页面)/ /返回新RedirectResponse (“…”);}}

6.3

功能使用定制的重定向逻辑是在Symfony 6.3中引入的。欧宝娱乐app下载地址

< /div>

注销配置参数下防火墙:

                  1 2 3 4 5 6 7 8 9 10 11 12
                  #配置/包/ security.yaml安全:#……防火墙:主要:#……注销:路径:app_logout#在注销后重定向#目标:app_any_route
                 

                  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日
                  < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置>< !- - - - - -- - - - - -。。。- - ><防火墙的名字=“主要”>< !- - - - - -- - - - - -。。。- - ><注销路径=“app_logout”/ >< !- - - - - -- - - - - -使用”target" to configure where to redirect after logout  -->< /span>< /防火墙>< /配置>< /srv:容器>
                 

                  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
                  / /配置/包/ security.php使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{/ /……美元mainFirewall=美元安全- >防火墙(“主要”);/ /……美元mainFirewall- >注销()/ /参数可以是一个名称或路径- >路径(“app_logout”)/ /重定向后注销/ / - >目标(“app_any_route”);};
                 

接下来,您需要创建一个路线这个URL(但不是一个控制器):

                  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
                  / / src /控制器/ SecurityController.php名称空间应用程序\控制器;使用欧宝娱乐app下载地址\包\FrameworkBundle\控制器\AbstractController;使用欧宝娱乐app下载地址\组件\路由\注释\路线;类SecurityController扩展AbstractController{#(路线(“/注销”,名字:“app_logout”,方法:['文章']))公共函数注销():从来没有{/ /控制器可以空白:它永远不会叫!扔新\异常(‘\ ' t忘记激活security.yaml注销”);}}
                 

                  1 2 3 4
                  #配置/ routes.yamlapp_logout:路径:/注销方法:帖子
                 

                  1 2 3 4 5 6 7 8 9
                  < !- - - - - -- - - - - -配置/routes.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><路线xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/routing”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/routing //www.oldmanjams.com/schema/routing/routing-1.0.xsd”><路线id=“app_logout”路径=“/注销”方法=“职位”/ >< /路线>
                 

                  1 2 3 4 5 6 7 8
                  / /配置/ routes.php使用欧宝娱乐app下载地址\组件\路由\加载程序\配置器\RoutingConfigurator;返回函数(RoutingConfigurator美元路线):无效{美元路线- >add (“app_logout”,/注销的)- >方法([“职位”]);};
                 

就是这样!通过发送一个用户app_logout路线(即/注销Sy欧宝娱乐app下载地址mfony将un-authenticate当前用户重定向。

6.2

< /div>

6.2

的<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Bundle/SecurityBundle/Security.php" class="reference external" title="注销()”rel="external noopener noreferrer" target="_blank">注销()方法是在Symfony 6.2中引入的。欧宝娱乐app下载地址

< /div>

你可以注销用户通过编程的方式使用注销()的方法<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Bundle/SecurityBundle/Security.php" class="reference external" title="安全”rel="external noopener noreferrer" target="_blank">安全助手:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

/ / src /控制器/ SecurityController.php名称空间应用程序\控制器\SecurityController;使用欧宝娱乐app下载地址\包\SecurityBundle\安全;类SecurityController{公共函数someAction(安全美元安全):响应{/ /注销用户对当前防火墙美元响应=美元安全- >注销();/ /也可以禁用csrf注销美元响应=美元安全- >注销(假);/ /……返回响应(如果设置)或美元如重定向到主页}}

用户将被记录从请求的防火墙。如果请求是不支持一个防火墙\ LogicException将抛出。

< /div>

LogoutEvent是派遣。注册一个<一个href=”//www.oldmanjams.com/doc/current/security/event_dispatcher.html" class="reference internal">事件监听器或用户执行自定义逻辑:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27 28 29 30 31 32 33 34 35 36 37 38 39

/ / src / EventListener / LogoutSubscriber.php名称空间应用程序\EventListener;使用欧宝娱乐app下载地址\组件\EventDispatcher\EventSubscriberInterface;使用欧宝娱乐app下载地址\组件\HttpFoundation\RedirectResponse;使用欧宝娱乐app下载地址\组件\路由\发电机\UrlGeneratorInterface;使用欧宝娱乐app下载地址\组件\安全\Http\事件\LogoutEvent;类LogoutSubscriber实现了EventSubscriberInterface{公共函数__construct(私人UrlGeneratorInterface美元urlGenerator){}公共静态函数getSubscribedEvents():数组{返回[LogoutEvent::类= >“onLogout”];}公共函数onLogout(LogoutEvent美元事件):无效{/ /获得会话的安全令牌将被记录美元令牌=美元事件- >getToken ();/ /获取当前的请求美元请求=美元事件- >getRequest ();/ /获取当前的反应,如果它已经由另一个侦听器美元响应=美元事件- >getResponse ();/ /配置自定义注销应对主页美元响应=新RedirectResponse (美元这- >urlGenerator- >生成(“主页”),RedirectResponse::HTTP_SEE_OTHER);美元事件- >setResponse (美元响应);}}

用户当前用户可以访问的对象通过getUser ()的快捷方式<一个href=”//www.oldmanjams.com/doc/current/security/controller.html" class="reference internal">基本控制器:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

使用欧宝娱乐app下载地址\包\FrameworkBundle\控制器\AbstractController;使用欧宝娱乐app下载地址\组件\HttpFoundation\响应;类ProfileController扩展AbstractController{公共函数指数():响应{/ /通常你会首先要确保用户身份验证,/ /请参见下面的“授权”美元这- >denyAccessUnlessGranted (“IS_AUTHENTICATED_FULLY”);/ /返回用户对象,或null如果用户没有进行身份验证/ /使用内联文档告诉你编辑欧宝体育电话你的精确的用户类/ * *@var实体\ App \ \用户用户* /美元美元用户=美元这- >getUser ();/ /调用任何方法你添加到您的用户类/ /例如,如果你添加了一个getFirstName()方法,您可以使用。返回新响应(“你好”。美元用户- >getFirstName ());}}

安全服务:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

/ / src /服务/ ExampleService.php/ /……使用欧宝娱乐app下载地址\包\SecurityBundle\安全;类ExampleService{/ /避免在构造函数中调用getUser():身份验证可能不会/ /完成。相反,整个安全存储对象。公共函数__construct(私人安全美元安全,){}公共函数someMethod():无效{/ /返回用户对象或null如果不是身份验证美元用户=美元这- >安全- >getUser ();/ /……}}

6.2

的<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Bundle/SecurityBundle/Security.php" class="reference external" title="安全”rel="external noopener noreferrer" target="_blank">安全类是在Symfony 6.2中引入的。欧宝娱乐app下载地址在以前的Symfony的欧宝娱乐app下载地址版本中,这个类中定义欧宝娱乐app下载地址\组件\安全\核心\安全。

< /div>< /div>

app.user由于变量<一个href=”//www.oldmanjams.com/doc/current/security/templates.html" class="reference internal">树枝全局应用程序变量:

1 2 3

{%如果is_granted (IS_AUTHENTICATED_FULLY) %}<p>电子邮件:{{app.user。电子邮件}}< /p>{%endif%}

用户登录(如时收到一个特定的角色。ROLE_ADMIN)。

你添加代码,这样一个资源(如URL,控制器)需要一个特定的“属性”(例如,一个角色ROLE_ADMIN)来访问。

将getRoles ()方法在你的用户对象来确定哪些角色这个用户。在用户类,生成前,角色数组存储在数据库中,每个用户总是给至少一个角色:ROLE_USER:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

/ / src /实体/ User.php/ /……类用户{# (ORM \列(类型:json)]私人数组美元角色= [];/ /……公共函数将getRoles():数组{美元角色=美元这- >角色;/ /保证每个用户至少ROLE_USER美元角色[]=“ROLE_USER”;返回array_unique (美元角色);}}

这是一个很好的违约,但你能做的无论你想要用户应该确定哪些角色。唯一的规则是,每一个角色必须从的具备ROLE_前缀,否则,事情不会像预期的那样工作。除此之外,一个角色只是一个字符串,你可以创造任何你需要(如。ROLE_PRODUCT_ADMIN)。

您将使用这些角色授权访问旁边你的网站的特定部分。

                    1 2 3 4 5 6 7
                    #配置/包/ security.yaml安全:#……role_hierarchy:ROLE_ADMIN:ROLE_USERROLE_SUPER_ADMIN:[ROLE_ADMIN,ROLE_ALLOWED_TO_SWITCH]
                   

                    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
                    < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置>< !- - - - - -- - - - - -。。。- - ><角色id=“ROLE_ADMIN”>ROLE_USER< /角色><角色id=“ROLE_SUPER_ADMIN”>ROLE_ADMIN, ROLE_ALLOWED_TO_SWITCH< /角色>< /配置>< /srv:容器>
                   

                    1 2 3 4 5 6 7 8 9
                    / /配置/包/ security.php使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{/ /……美元安全- >roleHierarchy (“ROLE_ADMIN”,(“ROLE_USER”]);美元安全- >roleHierarchy (“ROLE_SUPER_ADMIN”,(“ROLE_ADMIN”,“ROLE_ALLOWED_TO_SWITCH”]);};
                   

用户提供的ROLE_ADMIN也会有作用ROLE_USER的角色。用户提供ROLE_SUPER_ADMIN,会自动ROLE_ADMIN,ROLE_ALLOWED_TO_SWITCH和ROLE_USER(继承自ROLE_ADMIN)。

谨慎

角色层次结构来工作,不使用$ user - >将getRoles ()手动。例如,在一个扩展的控制器<一个href=”//www.oldmanjams.com/doc/current/security/controller.html" class="reference internal">基本控制器:

1 2 3 4 5 6

/ /坏- $ user - >将getRoles()将不知道角色的层次结构美元hasAccess= in_array (“ROLE_ADMIN”,美元用户- >将getRoles ());/ /好——正常安全的使用方法美元hasAccess=美元这- >isGranted (“ROLE_ADMIN”);美元这- >denyAccessUnlessGranted (“ROLE_ADMIN”);

请注意

的role_hierarchy值是静态的,你不能,例如,角色层次结构存储在一个数据库中。如果你需要创建一个定制的<一个href=”//www.oldmanjams.com/doc/current/security/security/voters.html" class="reference internal">安全选民查找数据库中的用户角色。

< /div>

在security.yaml access_control允许你保护URL模式(如。/管理/ *)。简单,灵活的更少;

在你的控制器(或其他代码)。

security.yaml。例如,要求ROLE_ADMIN开始的所有url/管理,您可以:

                    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
                    #配置/包/ security.yaml安全:#……防火墙:#……主要:#……access_control:#需要ROLE_ADMIN / admin *- - - - - -{路径:“^ /管理”,角色:ROLE_ADMIN}#或者需要ROLE_ADMIN或IS_AUTHENTICATED_FULLY / admin *- - - - - -{路径:“^ /管理”,角色:[IS_AUTHENTICATED_FULLY,ROLE_ADMIN]}#“路径”的值可以是任何有效的正则表达式#(这个匹配的url / api / post / 7298和/ api /评论/ 528491)- - - - - -{路径:^ / api / (post) |评论/ \ d + $,角色:ROLE_USER}
                   

                    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27 28 29 30 31
                    < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置>< !- - - - - -- - - - - -。。。- - ><防火墙的名字=“主要”>< !- - - - - -- - - - - -。。。- - >< /防火墙>< !- - - - - -- - - - - -require ROLE_ADMIN for /admin* -->< /span><规则路径=“^ /管理”角色=“ROLE_ADMIN”/ >< !- - - - - -- - - - - -require ROLE_ADMIN or IS_AUTHENTICATED_FULLY for /admin* -->< /span><规则路径=“^ /管理”><角色>ROLE_ADMIN< /角色><角色>IS_AUTHENTICATED_FULLY< /角色>< /规则>< !- - - - - -- - - - - -的“路径”价值can be any valid regular expression (this one will match URLs like /api/post/7298 and /api/comment/528491) -->< /span><规则路径=“^ / api / (post |评论)/ \ d + $”角色=“ROLE_USER”/ >< /配置>< /srv:容器>
                   

                    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27
                    / /配置/包/ security.php使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{美元安全- >enableAuthenticatorManager (真正的);/ /……美元安全- >防火墙(“主要”)/ /……;/ /要求/ admin ROLE_ADMIN *美元安全- >accessControl ()- >路径(“^ /管理”)- >角色([“ROLE_ADMIN”]);/ /需要ROLE_ADMIN或IS_AUTHENTICATED_FULLY / admin *美元安全- >accessControl ()- >路径(“^ /管理”)- >角色([“ROLE_ADMIN”,“IS_AUTHENTICATED_FULLY”]);/ /路径的值可以是任何有效的正则表达式/ /(这个匹配的url / api / post / 7298和/ api /评论/ 528491)美元安全- >accessControl ()- >路径(' ^ / api / (post) |评论/ \ d + $ ')- >角色([“ROLE_USER”]);};
                   

你可以定义你需要尽可能多的URL模式——每一个正则表达式。但,只有一个将匹配的每个请求:Symfony启动顶部的列表和停止当找到欧宝娱乐app下载地址第一个匹配:

                    1 2 3 4 5 6 7 8 9 10
                    #配置/包/ security.yaml安全:#……access_control:# /管理/用户/ *匹配- - - - - -{路径:' ^ /管理/用户的,角色:ROLE_SUPER_ADMIN}#匹配/ admin / *除了任何匹配上述规则- - - - - -{路径:“^ /管理”,角色:ROLE_ADMIN}
                   

                    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
                    < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置>< !- - - - - -- - - - - -。。。- - ><规则路径=“^ /管理/用户”角色=“ROLE_SUPER_ADMIN”/ ><规则路径=“^ /管理”角色=“ROLE_ADMIN”/ >< /配置>< /srv:容器>
                   

                    1 2 3 4 5 6 7 8 9 10 11 12 13 14
                    / /配置/包/ security.php使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{/ /……美元安全- >accessControl ()- >路径(' ^ /管理/用户的)- >角色([“ROLE_SUPER_ADMIN”]);美元安全- >accessControl ()- >路径(“^ /管理”)- >角色([“ROLE_ADMIN”]);};
                   

将路径与^意味着只有url开始模式匹配。例如,一个路径/管理(没有^)将匹配/管理/ foo但也会匹配的url/ foo /管理。

每一个access_control还可以匹配的IP地址、主机名和HTTP方法。它也可以用于将用户重定向到https版本的URL模式。对于更复杂的需求,您还可以使用一个服务实现RequestMatcherInterface。

看到<一个href=”//www.oldmanjams.com/doc/current/security/security/access_control.html" class="reference internal">安全access_control是如何工作的呢?。

1 2 3 4 5 6 7 8 9 10

/ / src /控制器/ AdminController.php/ /……公共函数adminDashboard():响应{美元这- >denyAccessUnlessGranted (“ROLE_ADMIN”);/ /或添加一个可选的消息——被开发人员美元这- >denyAccessUnlessGranted (“ROLE_ADMIN”,零,用户试图访问一个页面没有ROLE_ADMIN”);}

就是这样!如果不允许访问,特别<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Component/Security/Core/Exception/AccessDeniedException.php" class="reference external" title="AccessDeniedException”rel="external noopener noreferrer" target="_blank">AccessDeniedException是扔,没有更多的代码在你的控制器。然后,会发生两件事之一:

如果用户尚未登录,他们将被要求登录(如重定向到登录页面)。
如果用户是登录,但是不有ROLE_ADMIN的角色,他们会显示403年拒绝访问页面(您可以<一个href=”//www.oldmanjams.com/doc/current/security/controller/error_pages.html" class="reference internal">定制)。

安全的另一种方法是使用一个或多个控制器操作# (IsGranted ())属性。在以下示例中,所有控制器操作需要ROLE_ADMIN许可,除了adminDashboard (),这将要求ROLE_SUPER_ADMIN许可:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

/ / src /控制器/ AdminController.php/ /……使用欧宝娱乐app下载地址\组件\安全\Http\属性\IsGranted;# (IsGranted (ROLE_ADMIN)]类AdminController扩展AbstractController{/ /可选地,您可以设置一个自定义的消息将显示给用户#【IsGranted (ROLE_SUPER_ADMIN,信息:“你不允许访问管理仪表板。))公共函数adminDashboard():响应{/ /……}}

如果你想使用一个自定义的状态代码而不是默认的一个(403),可以通过设置的statusCode论点:

1 2 3 4 5 6 7 8 9 10

/ / src /控制器/ AdminController.php/ /……使用欧宝娱乐app下载地址\组件\安全\Http\属性\IsGranted;# (IsGranted (ROLE_ADMIN, statusCode: 423)]类AdminController扩展AbstractController{/ /……}

你也可以设置的内部异常代码<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Component/Security/Core/Exception/AccessDeniedException.php" class="reference external" title="AccessDeniedException”rel="external noopener noreferrer" target="_blank">AccessDeniedException这是扔的exceptionCode论点:

1 2 3 4 5 6 7 8 9 10

/ / src /控制器/ AdminController.php/ /……使用欧宝娱乐app下载地址\组件\安全\Http\属性\IsGranted;#【IsGranted (exceptionCode ROLE_ADMIN, statusCode: 403: 10010)]类AdminController扩展AbstractController{/ /……}

6.2

的# (IsGranted ())属性是在Symfony 6.2中引入的。欧宝娱乐app下载地址

< /div>

6.3

的exceptionCode论点的# (IsGranted ())属性是在Symfony 6.3中引入的。欧宝娱乐app下载地址

< /div>

is_granted ()辅助函数在任何树枝模板:

1 2 3

{%如果is_granted (ROLE_ADMIN) %}<一个href=“…”>删除< /一个>{%endif%}

安全服务。例如,假设您有一个SalesReportManager服务和你想只有用户,包括额外的细节ROLE_SALES_ADMIN角色:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日24日25日26日

/ / src / SalesReport / SalesReportManager。php / /……组件使用欧宝娱乐app下载地址Symfony \ \安全\ \例外\ AccessDeniedException核心;+使用Sym欧宝娱乐app下载地址fony \包\ SecurityBundle \安全;类SalesReportManager {+公共职能__construct (美元+安全安全,+){+}公共函数generateReport():空白{$ salesData = [];+如果($ this - >安全- > isGranted (ROLE_SALES_ADMIN)) {+ $ salesData [' top_secret_numbers '] = rand ();+}/ /……}/ /……}

如果你使用<一个href=”//www.oldmanjams.com/doc/current/security/service_container.html" class="reference internal">默认的服务。yaml的配置,S欧宝娱乐app下载地址ymfony会自动通过security.helper由于自动装配和你的服务安全type-hint。

您还可以使用较低级的<一个href=”https://github.com/symfony/symfony/blob/6.3/src/Symfony/Component/Security/Core/Authorization/AuthorizationCheckerInterface.php" class="reference external" title="AuthorizationCheckerInterface”rel="external noopener noreferrer" target="_blank">AuthorizationCheckerInterface服务。它一样安全,但允许type-hint更具体的接口。

< /div>< /div>

access_control规则。

在access_control配置,您可以使用PUBLIC_ACCESS安全属性排除一些线路未经身份验证的访问(例如,登录页面):

                   1 2 3 4 5 6 7 8 9 10
                   #配置/包/ security.yaml安全:#……access_control:#允许未经身份验证的用户访问登录表单- - - - - -{路径:^ / admin /登录,角色:PUBLIC_ACCESS}#但需要验证所有其他管理路线- - - - - -{路径:^ /管理,角色:ROLE_ADMIN}
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
                   < !- - - - - -- - - - - -配置/packages/security.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><srv:容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd //www.oldmanjams.com/schema/dic/security //www.oldmanjams.com/schema/dic/security/security-1.0.xsd”><配置enable-authenticator-manager=“真正的”>< !- - - - - -- - - - - -。。。- - ><访问控制>< !- - - - - -- - - - - -所有ow unauthenticated users to access the login form -->< /span><规则路径=“^ / admin /登录”角色=“PUBLIC_ACCESS”/ >< !- - - - - -- - - - - -but require authentication for all other admin routes -->< /span><规则路径=“^ /管理”角色=“ROLE_ADMIN”/ >< /访问控制>< /配置>< /srv:容器>
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
                   / /配置/包/ security.php使用欧宝娱乐app下载地址\组件\安全\核心\授权\选民\AuthenticatedVoter;使用欧宝娱乐app下载地址\配置\SecurityConfig;返回静态函数(SecurityConfig美元安全):无效{美元安全- >enableAuthenticatorManager (真正的);/ /……。/ /登录表单允许未经身份验证的用户访问美元安全- >accessControl ()- >路径(“^ / admin /登录”)- >角色([AuthenticatedVoter::PUBLIC_ACCESS]);/ /但需要验证所有其他管理路线美元安全- >accessControl ()- >路径(“^ /管理”)- >角色([“ROLE_ADMIN”]);};
                  

定制的选民,您可以允许匿名用户访问通过检查如果没有用户设置令牌:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日

/ / src /安全/ PostVoter.php名称空间应用程序\安全;/ /……使用欧宝娱乐app下载地址\组件\安全\核心\身份验证\令牌\TokenInterface;使用欧宝娱乐app下载地址\组件\安全\核心\身份验证\用户\用户界面;使用欧宝娱乐app下载地址\组件\安全\核心\授权\选民\选民;类PostVoter扩展选民{/ /……受保护的函数voteOnAttribute(字符串美元属性,美元主题,TokenInterface美元令牌):bool{/ /……如果(!美元令牌- >getUser ()运算符用户界面){/ /用户未被认证,如只允许他们/ /看到公共职位返回美元主题- >isPublic ();}}}

如何使用选民来检查用户的权限学习如何实现自己的选民。

ROLE_USER,你可以检查这个角色。

其次,您可以使用特殊的“属性”IS_AUTHENTICATED_FULLY代替的角色:

1 2 3 4 5 6 7 8

/ /……公共函数adminDashboard():响应{美元这- >denyAccessUnlessGranted (“IS_AUTHENTICATED”);/ /……}

您可以使用IS_AUTHENTICATED使用任何角色:喜欢access_control或者在树枝。

IS_AUTHENTICATED不是一个角色,但它就像一个,每个用户登录会有这个。实际上,有一些特殊的属性如下:

IS_AUTHENTICATED_REMEMBERED:所有登录用户,即使他们已登录,因为饼干“记住我”。即使你不使用<一个href=”//www.oldmanjams.com/doc/current/security/security/remember_me.html" class="reference internal">记得我的功能,您可以使用它来检查用户是否登录。
IS_AUTHENTICATED_FULLY:这是类似IS_AUTHENTICATED_REMEMBERED,但更强大。用户登录只因为“记住我饼干”IS_AUTHENTICATED_REMEMBERED但不会有IS_AUTHENTICATED_FULLY。
IS_REMEMBERED:只有用户身份验证使用<一个href=”//www.oldmanjams.com/doc/current/security/security/remember_me.html" class="reference internal">记得我的功能记得我饼干,(即)。
IS_IMPERSONATOR:当当前用户<一个href=”//www.oldmanjams.com/doc/current/security/security/impersonating_user.html" class="reference internal">冒充另一个用户会话,这个属性会匹配。

无状态的),你用户对象序列化的会话。开始下一个请求,这是反序列化,然后传递给你的用户提供“刷新”(例如学说为新用户查询)。

然后,这两个用户对象(原从会话和刷新用户对象)是“比较”,看看他们是“平等”。默认情况下,核心AbstractToken类比较的返回值getPassword (),getSalt ()和getUserIdentifier ()方法。如果这些是不同的,您的用户将被注销。这是一个安全措施,以确保恶意用户可以de-authenticated如果核心用户数据的变化。

然而,在某些情况下,这个过程会导致意想不到的认证问题。如果你有认证的问题,可能是你是验证成功,但是你马上就会失去身份验证后第一个重定向。

在这种情况下,审查序列化逻辑(例如__serialize ()或serialize ()用户类的方法)(如果你有),以确保所有必需的字段序列化,也不排除所有字段需要序列化(例如学说关系)。

EquatableInterface。然后,你isEqualTo ()方法将调用当比较用户的核心逻辑。

< /div>< /div>

事件监听器或用户对于这些事件。

提示

每个安全防火墙都有自己的事件调度程序(security.event_dispatcher.FIREWALLNAME)。事件分派全球和firewall-specific调度员。你可以注册在防火墙调度程序,如果你想让你的听众只是要求一个特定的防火墙。例如,如果你有一个api和主要防火墙,使用该配置只在注销事件注册主要防火墙:

                   1 2 3 4 5 6 7 8
                   #配置/ services.yaml服务:#……App \ EventListener \ LogoutSubscriber:标签:- - - - - -名称:kernel.event_subscriber调度员:security.event_dispatcher.main
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
                   < !- - - - - -- - - - - -配置/services.xml -->< /span>< ?xml version = " 1.0 " encoding = " utf - 8 " ? ><容器xmlns=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xmlns: xsi=“http://www.w3.org/2001/XMLSchema-instance”xsi: schemaLocation=“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><服务>< !- - - - - -- - - - - -。。。- - ><服务id=“应用程序\ EventListener \ LogoutSubscriber”><标签的名字=“kernel.event_subscriber”调度程序=“security.event_dispatcher.main”/ >< /服务>< /服务>< /容器>
                  

                   1 2 3 4 5 6 7 8 9 10 11 12 13
                   / /配置/ services.php名称空间欧宝娱乐app下载地址\组件\DependencyInjection\加载程序\配置器;使用应用程序\EventListener\LogoutSubscriber;返回函数(ContainerConfigurator美元容器):无效{美元服务=美元容器- >服务();美元服务- >集(LogoutSubscriber::类)- >标记(“kernel.event_subscriber”,(“调度”= >“security.event_dispatcher.main”]);};
                  

CheckPassportEvent< /dt>
派遣后创建的身份<一个href=”//www.oldmanjams.com/doc/current/security/security/custom_authenticator.html" class="reference internal">安全的护照。这个事件的侦听器进行实际的验证检查(检查护照,验证CSRF令牌,等等)。

AuthenticationTokenCreatedEvent< /dt>
派遣后,护照被验证,创建安全令牌的身份验证(和用户)。这可用于高级用例,您需要修改创建令牌(如多因素身份验证)。

AuthenticationSuccessEvent< /dt>
身份验证是接近成功时派遣。这是最后一个事件可以通过抛出身份验证失败`AuthenticationException`。

LoginSuccessEvent< /dt>
派遣后身份验证是完全成功的。听众对这个事件可以修改响应发送回用户。

LoginFailureEvent< /dt>
派遣后`AuthenticationException`被扔在身份验证。听众对这个事件可以修改错误响应发送回用户。

LogoutEvent< /dt>
派出前一个用户应用程序日志。看到<一个href=”//www.oldmanjams.com/doc/current/security/security.html" class="reference internal">安全。

TokenDeauthenticatedEvent< /dt>
派遣deauthenticated用户时,例如,因为密码被改变。看到<一个href=”//www.oldmanjams.com/doc/current/security/security.html" class="reference internal">安全。

SwitchUserEvent< /dt>
模拟完成后。看到<一个href=”//www.oldmanjams.com/doc/current/security/security/impersonating_user.html" class="reference internal">如何模拟一个用户吗。

安全配置引用(SecurityBundle)对于不同的防火墙。
安全工作似乎并不在我的错误页面

路由是做之前安全,不受任何防火墙404错误页面。这意味着你不能检查安全甚至访问这些页面上的用户对象。看到<一个href=”//www.oldmanjams.com/doc/current/security/controller/error_pages.html" class="reference internal">如何自定义错误页面吗为更多的细节。

似乎我的身份验证不工作:没有错误,但是我从来没有登录

有时认证可能是成功的,但重定向后,你立即注销由于加载问题`用户`从会话。是否这是一个问题,检查你的日志文件(`var / log / dev.log`的日志信息:

无法刷新令牌,因为用户已经改变了

如果你看到这个,可能有两个原因。首先,可能会有一个问题加载用户的会话。看到<一个href=”//www.oldmanjams.com/doc/current/security/security.html" class="reference internal">安全。第二,如果某些数据库中的用户信息改变了自从上次刷新页面,Symfony会故意注销用户出于安全原因。欧宝娱乐app下载地址

密码散列和验证< /li>
针对LDAP服务器进行身份验证< /li>
如何添加“记住我”登录功能< /li>
如何模拟一个用户吗< /li>
如何创建并启用自定义用户跳棋< /li>
防火墙如何限制要求吗< /li>
如何实现CSRF保护吗< /li>
自定义表单登录身份验证响应< /li>
如何编写一个自定义身份验证< /li>
入口点:帮助用户开始认证< /li>

如何使用选民来检查用户的权限< /li>
安全access_control是如何工作的呢?< /li>
在安全访问控制中使用表达式< /li>
如何定制拒绝访问的反应呢< /li>
如何为不同的力HTTPS或HTTP url< /li>

这项工作,包括代码示例,许可下<一个rel="license" href="https://creativecommons.org/licenses/by-sa/3.0/">Creative Commons冲锋队3.0许可证。

< /一个rticle>

TOC

成为一个Symfo欧宝娱乐app下载地址ny贡献者

学习Symf欧宝娱乐app下载地址ony< /h3>

欧宝娱乐app下载地址Symfony文档< /li>
欧宝娱乐app下载地址Symfony的书< /li>
参考< /li>
包< /li>
最佳实践< /li>
培训< /li>
网络学习平台< /li>
认证< /li>

截屏< /h3>

学习Symf欧宝娱乐app下载地址ony< /li>
学习PHP< /li>
学习JavaScript< /li>
学习Drupal< /li>
学习基于rest的api< /li>

欧宝下载链接

服务< /h3>

SensioLabs服务< /li>
培训开发人员< /li>
管理你的项目质量< /li>
提高你的项目性能< /li>
主机Sym欧宝娱乐app下载地址fony项目< /li>

部署在

部署在

遵循Symfo欧宝娱乐app下载地址ny

安全

app.user由于变量<一个href=”//www.oldmanjams.com/doc/current/security/templates.html" class="reference internal">树枝全局应用程序变量:

1 2 3

`{%如果is_granted (IS_AUTHENTICATED_FULLY) %}<p>电子邮件:{{app.user。电子邮件}}< /p>{%endif%}`

is_granted ()辅助函数在任何树枝模板:

1 2 3

`{%如果is_granted (ROLE_ADMIN) %}<一个href=“…”>删除< /一个>{%endif%}`

如何使用选民来检查用户的权限学习如何实现自己的选民。

ROLE_USER,你可以检查这个角色。
其次,您可以使用特殊的“属性”`IS_AUTHENTICATED_FULLY`代替的角色:

1 2 3 4 5 6 7 8

`/ /……公共函数adminDashboard():响应{美元这- >denyAccessUnlessGranted (“IS_AUTHENTICATED”);/ /……}`

如何使用选民来检查用户的权限< /li>
安全access_control是如何工作的呢?< /li>
在安全访问控制中使用表达式< /li>
如何定制拒绝访问的反应呢< /li>
如何为不同的力HTTPS或HTTP url< /li>