我正在 Symfony 1.4 和 Doctrine 1.2 上建立一个音乐网站。我正在尝试在我的页面上集成 facebook 插件(例如,发送、发布消息按钮)。例如,我希望用户能够在我的歌曲模块中的歌曲页面上点赞一首歌曲。但问题是,我使用 sfDoctrineGuard 来保护我的应用程序上除登录页面之外的所有模块。因此,如果用户登录并使用 facebook 的点赞按钮在歌曲页面上点赞歌曲,因为该歌曲模块受 sfGuardAuth 保护,facebook API 无法与之对话并被转发到登录页面。这意味着我的应用程序上的所有喜欢都会发布在 Facebook 活动源上,就好像用户喜欢我的登录页面一样。
有没有办法在 sfGuard 中构建一个异常,以便来自 facebook 域的任何流量都可以访问该页面?有解决方法吗?我希望能够在 facebook 墙上显示我的安全页面中的所有 facebook 元数据,无论喜欢哪一首歌。如果我禁用所有 sfGuard 安全性,它工作正常。
任何帮助都会很棒,因为我很困惑并且没有找到其他人遇到这个问题。
好吧,如果您想允许来自 Facebook 的请求能够绕过您的 sfGuard 安全性,这可能是一个巨大的安全漏洞。如果有人在 Facebook 上单击该链接,它也可以访问您的网站,而无需登录。
您可能会通过调整抓取您页面的 Facebook 机器人来找到解决方法。爬虫的用户代理是:"facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)". 因此,通过查看用户代理可以很容易地允许访问其请求。但是,今天任何人都可以轻松地欺骗用户代理。
也许你必须找到其他方法。我想有一种简单的页面,每个人都可以访问,并且在其中显示最少的信息(比如只有艺术家和歌曲名称而无法播放。但只是为了确保,如果有人没有登录尝试查看页面,它不会重定向到登录页面,而是重定向到这个轻页面。你明白了吗?
然后,您可以放置一个巨大的按钮,让新人注册以查看完整页面。
无论如何,无论如何你会发现,你应该使用过滤器(in filters.yml)来实现它。过滤器在任何操作之前执行。因此,它是进行此类检查的理想场所。
您将找到有关过滤器的信息:
编辑:
我会那样做。首先,创建一个名为“facebook bot”的用户,并将其 id 放在/apps/frontend/config/app.yml:
all:
facebook_bot_id: 56 // sf_guard_user_id
然后创建一个简单的过滤器lib/filter/facebookBotFilter.php
<?php
class facebookBotFilter extends sfFilter
{
public function execute ($filterChain)
{
$context = $this->getContext();
$controller = $context->getController();
$request = $context->getRequest();
$user = $context->getUser();
// get the user agent
$pathArray = $request->getPathInfoArray();
$useragent = isset($pathArray['HTTP_USER_AGENT']) ? $pathArray['HTTP_USER_AGENT'] : '';
if (preg_math('/facebookexternalhit', $useragent))
{
$member = Doctrine_Core::getTable('sfGuardUser')->find(sfConfig::get('app_facebook_bot_id'));
// logged in the facebook bot
$user->signIn($member);
}
// execute next filter
$filterChain->execute();
}
}
不要忘记启用过滤器apps/frontend/config/filters.yml:
rendering: ~
facebookBotFilter:
class: facebookBotFilter
security: ~