5

我正在使用 Symfony 2 构建网站。

这项工作正在进行中(因此我不希望用户或搜索引擎访问它)但我的客户希望看到我的进度。我在想一个简单的解决方案是使用 Symfony 2 安全功能提供的机制通过 HTTP 身份验证来保护整个网站。

我正在使用 FOSUserBundle,因为该网站将有需要注册和登录的用户。

这是我的 security.yml,效果很好:

security:
    providers:
        fos_userbundle:
            id: fos_user.user_manager

    encoders:
        "FOS\UserBundle\Model\UserInterface": sha512

    firewalls:
        main:
            pattern: ^/
            form_login:
                provider: fos_userbundle
                csrf_provider: form.csrf_provider
            logout:       true
            anonymous:    true     

    access_control:
        - { path: ^/login$, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/register, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/resetting, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/admin/, role: ROLE_ADMIN }
        - { path: ^/account, role: IS_AUTHENTICATED_FULLY }

    role_hierarchy:
        ROLE_ADMIN:       ROLE_USER
        ROLE_SUPER_ADMIN: ROLE_ADMIN

因此,我试图在其上添加其他内容,以允许网站受到 HTTP 身份验证的保护。
我将文件更改为:

security:
    providers:
        fos_userbundle:
            id: fos_user.user_manager
        whole_website_provider:
            users:
                ryan:  { password: ryanpass, roles: 'ROLE_USER' }           

    encoders:
        "FOS\UserBundle\Model\UserInterface": sha512

    firewalls:
        main:
            pattern: ^/
            form_login:
                provider: fos_userbundle
                csrf_provider: form.csrf_provider
            logout:       true
            anonymous:    true
        whole_website:
            pattern: ^/
            anonymous: ~
            http_basic:
                realm: "Secured Demo Area"       

    access_control:
        - { path: ^/login$, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/register, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/resetting, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/admin/, role: ROLE_ADMIN }
        - { path: ^/account, role: IS_AUTHENTICATED_FULLY }
        - { path: ^/, role: ROLE_USER }

    role_hierarchy:
        ROLE_ADMIN:       ROLE_USER
        ROLE_SUPER_ADMIN: ROLE_ADMIN

基本上我添加了whole_website_provider提供程序、whole_website防火墙和一个额外的access_control.
但这不起作用:当我访问该网站时,我被重定向到登录表单,仅此而已。

你知道我是否能做到以及如何做到吗?

注意:我不希望为此使用任何 Apache 功能。

4

2 回答 2

4

在我看来,您需要的不是使用 HTTP 身份验证来管理用户,而是使用 HTTP 身份验证来限制对您网站的访问。不要为此使用 Symfony2 安全性。

让您的 symfony2 应用程序安全,因为它将处于生产模式并使用 apache .htaccess 来限制对站点的访问。

文档在这里http://httpd.apache.org/docs/2.2/howto/auth.html。您只需在 web/.htaccess 中添加一些指令,并按照文档中的说明创建一个用户/密码文件...

于 2012-05-07T12:21:04.817 回答
0

我在 Symfony2 中的解决方案,使用 symfony 的基本防火墙(没有 FOSUserBundle):

# app/config/security.yml
security:

    firewalls:
        secured_area:
            pattern: ^/
            anonymous: ~
            form_login:
                login_path: login
                check_path: login_check

    access_control:
        - { path: ^/login, roles: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/admin, roles: ROLE_ADMIN }
        - { path: ^/, roles: ROLE_USER }

    providers:
        in_memory:
            memory:
                users:
                    redattore: { password: 'somePasswordHere', roles: 'ROLE_USER' }
                    admin: { password: 'somePasswordHere', roles: 'ROLE_ADMIN' }

    encoders:
        Symfony\Component\Security\Core\User\User: plaintext

    role_hierarchy:
        ROLE_ADMIN:       ROLE_USER
        ROLE_SUPER_ADMIN: [ROLE_USER, ROLE_ADMIN, ROLE_ALLOWED_TO_SWITCH]

它非常适合我。这是一个非常基本的配置——没有散列密码,没有数据库提供者(“提供者:”部分),没有 https 连接(互联网上的一切都是纯文本),没有注销的东西和其他不错的功能。我希望它会帮助你。亲切的问候

于 2014-01-18T15:51:29.653 回答