2

我需要一种方法来使用 Symfony 2.1 实现一个权限列表(内置权限映射应该没问题),它应该充当全局权限。我要做的是限制组或用户可以看到的视图。例如,我有两个控制器(控制器 A 和控制器 B)和两个用户(用户 A 和用户 B)。第一个用户应该能够看到由控制器 A 管理的视图,但他不应该能够查看控制器 B 的视图。相反,userB 应该能够看到两个控制器。我在 Symfony 的书/食谱中找到了关于 ACL 的教程,但它似乎只讨论了应用于实体的权限,而控制器不是实体。有什么建议吗?

更新 1 我发现 ObjectIdentity 接口也可以不是由对象创建,而是由 Ids 创建。这意味着我可以使用以下方法检查整个控制器类的权限:

class MyController extends Controller
{
    public function getId()
    {
        return 'my_controller';
    }

    public function indexAction()
    {
        if ($this->get('security.context')->isGranted('MY_PERMISSION', $this) === false)
        {
            throw new AccessDeniedException();
        }

        ...
    }
}

并使用以下代码在数据库中插入 acl 条目:

$aclProvider = $this->get('security.acl.provider');
$objectIdentity = ObjectIdentity::fromDomainObject($this);
$acl = $aclProvider->createAcl($objectIdentity);

$securityContext = $this->get('security.context');
$user = $securityContext->getToken()->getUser();
$securityIdentity = UserSecurityIdentity::fromAccount($user);

$builder = new MaskBuilder();
$builder->add('MY_PERMISSION');
$mask = $builder->get();

$acl->insertObjectAce($securityIdentity, $mask);
$aclProvider->updateAcl($acl);

这似乎有效,我有两个用户。首先,我使用上面的代码授予查看控制器类的权限并且它可以工作,而不是没有设置权限的第二个用户获得拒绝访问异常。但是,我仍然需要弄清楚如何为单个控制器的操作授予权限。一个明显的解决方案是为每个路由条目设置一个控制器类,但这是不合理的

4

1 回答 1

1

您要求的内容没有通用模式。Symfony2 安全 http://symfony.com/doc/current/book/security.html

您是否建议在授予操作访问权限之前仅检查用户角色或组?

if (false === $this->get('security.context')->isGranted('ROLE_ADMIN')) {
        throw new AccessDeniedException();
}

该异常可能会呈现一些自定义错误页面。

关于什么:

access_control:
    - { path: ^/login$, role: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/register, role: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/resetting, role: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/, role: ROLE_USER }

在你的 security.yml

于 2012-10-10T17:12:08.413 回答