21

首先,我没有使用 FOSUserBundle 也不能,因为我正在移植一个遗留系统,它有自己的模型层(这里没有 Doctrine/Mongo/whatsoever)和其他非常自定义的行为。

我正在尝试将我的旧角色系统与 Symfony 连接起来,这样我就可以在控制器和视图中使用本机 symfony 安全性。

我的第一次尝试是getRoles()Symfony\Component\Security\Core\User\UserInterface. 起初,它看起来很有效。但在深入研究之后,我注意到这些角色仅在用户登录时才会刷新。这意味着如果我授予或撤销用户的角色,他必须注销并重新登录才能使更改生效。但是,如果我撤销用户的安全角色,我希望立即应用它,这样我就不能接受这种行为。

我希望 Symfony 做的是在每个请求上重新加载用户的角色,以确保它们是最新的。我已经实现了一个自定义用户提供程序,并且refreshUser(UserInterface $user)在每个请求上都会调用它的方法,但是角色并没有被刷新。

在我的 UserProvider 中加载/刷新用户的代码如下所示:

public function loadUserByUsername($username) {
    $user = UserModel::loadByUsername($username); // Loads a fresh user object including roles!
    if (!$user) {
        throw new UsernameNotFoundException("User not found");
    }
    return $user;
}

refreshUser看起来很相似)

有没有办法让 Symfony 在每个请求上刷新用户角色?

4

8 回答 8

22

因此,经过几天尝试寻找可行的解决方案并为 Symfony2 用户邮件列表做出贡献后,我终于找到了它。以下内容来自https://groups.google.com/d/topic/symfony2/NDBb4JN3mNc/discussion的讨论

事实证明,有一个接口Symfony\Component\Security\Core\User\EquatableInterface不是用于比较对象身份,而是用于比较对象身份

测试两个对象在安全和重新认证上下文中是否相等

在您的用户类中实现该接口(已经实现的接口UserInterface)。实现唯一需要的方法isEqualTo(UserInterface $user),以便在当前用户的角色与传递的用户的角色不同时返回 false。

注意:用户对象在会话中被序列化。由于序列化的工作方式,请确保将角色存储在用户对象的字段中,并且不要直接在getRoles()方法中检索它们,否则所有这些都不起作用!

以下是特定方法的示例:

protected $roles = null;

public function getRoles() {

    if ($this->roles == null) {
        $this->roles = ...; // Retrieve the fresh list of roles
                            // from wherever they are stored here
    }

    return $this->roles;
}

public function isEqualTo(UserInterface $user) {

    if ($user instanceof YourUserClass) {
        // Check that the roles are the same, in any order
        $isEqual = count($this->getRoles()) == count($user->getRoles());
        if ($isEqual) {
            foreach($this->getRoles() as $role) {
                $isEqual = $isEqual && in_array($role, $user->getRoles());
            }
        }
        return $isEqual;
    }

    return false;
}

另外,请注意,当角色实际更改并且您重新加载页面时,分析器工具栏可能会告诉您您的用户未经过身份验证。另外,查看分析器,您可能会发现角色实际上并没有被刷新。

我发现刷新这个角色确实有效。只是如果没有遇到授权约束(没有@Secure注释,防火墙中没有必需的角色等),则实际上并没有完成刷新,并且用户保持在“未经身份验证”状态。

一旦您点击执行任何类型的授权检查的页面,用户角色就会被刷新,并且分析器工具栏会再次显示带有绿点和“已验证:是”的用户。

这对我来说是可以接受的行为 - 希望它有帮助:)

于 2012-12-12T09:54:47.367 回答
12

在您的 security.yml (或替代品)中:

security:
    always_authenticate_before_granting: true

我一生中最简单的游戏。

于 2015-02-28T12:44:14.267 回答
8

在控制器中,将角色添加到用户并保存到数据库后,只需调用:

// Force refresh of user roles
$token = $this->get('security.context')->getToken()->setAuthenticated(false);
于 2014-01-10T15:56:33.117 回答
4

看看这里,设置always_authenticate_before_grantingtrueat security.yml

于 2014-10-14T13:07:05.893 回答
3

我通过实现自己的 EntityUserProvider 并覆盖 loadByUsername($username) 方法来实现此行为:

   /**
    * Load an user from its username
    * @param string $username
    * @return UserInterface
    */
   public function loadUserByUsername($username)
   {
      $user = $this->repository->findOneByEmailJoinedToCustomerAccount($username);

      if (null === $user)
      {
         throw new UsernameNotFoundException(sprintf('User "%s" not found.', $username));
      }

      //Custom function to definassigned roles to an user
      $roles = $this->loadRolesForUser($user);

      //Set roles to the user entity
      $user->setRoles($roles);

      return $user;
   }

诀窍是setRoles每次打电话时都打电话loadByUsername......希望它有帮助

于 2012-12-10T11:07:26.623 回答
1

解决方案是将订阅者挂在 Doctrine postUpdate事件上。如果更新的实体是用户,与登录的用户相同,那么我会使用 AuthenticationManager 服务进行身份验证。当然,您必须向订阅者注入服务容器(或相关服务)。我更喜欢注入整个容器以防止循环引用问题。

public function postUpdate(LifecycleEventArgs $ev) {
    $entity = $ev->getEntity();

    if ($entity instanceof User) {
        $sc = $this->container->get('security.context');
        $user = $sc->getToken()->getUser();

        if ($user === $entity) {
            $token = $this->container->get('security.authentication.manager')->authenticate($sc->getToken());

            if ($token instanceof TokenInterface) {
                $sc->setToken($token);
            }
        }
    }
}
于 2013-05-01T07:12:20.217 回答
0

抱歉,我无法在评论中回复,所以我重播了问题。如果 symfony 安全领域的新人尝试在自定义密码身份验证中获得角色刷新工作,那么在函数 authenticateToken 中:

if(count($token->getRoles()) > 0 ){
        if ($token->getUser() == $user ){
            $passwordValid=true;
        }
    }

并且不要从 DB/LDAP 或任何地方检查密码。如果用户进入系统,那么在 $token 中只是用户名并且没有角色。

于 2015-07-10T15:22:01.690 回答
0

我一直在为 Symfony4 争取这个,我想我终于找到了一个解决方案。

问题是,在我的情况下,角色取决于用户正在使用的“公司”。它可能是一家公司的 CEO,但另一家公司的运营商,菜单、权限等取决于公司。切换公司时,用户不得重新登录。

最后我做了以下事情:

  • 将防火墙设置为无状态。
  • 在 FormAuthentication 类中,我使用用户名在会话中明确设置了一个属性。
  • 我为每个请求设置了另一个 Guard,它本质上采用此属性并从数据库中为其加载用户。
class FormAuthenticator extends AbstractFormLoginAuthenticator
{
    /** Constructor omitted */

    public function supports(Request $request)
    {
        return 'app_login' === $request->attributes->get('_route')
            && $request->isMethod('POST');
    }

    public function getCredentials(Request $request)
    {
        $credentials = [
            'nomusuari' => $request->request->get('nomusuari'),
            'password' => $request->request->get('password'),
            'csrf_token' => $request->request->get('_csrf_token'),
        ];
        $request->getSession()->set(
            Security::LAST_USERNAME,
            $credentials['nomusuari']
        );

        return $credentials;
    }

    public function getUser($credentials, UserProviderInterface $userProvider)
    {
        $token = new CsrfToken('authenticate', $credentials['csrf_token']);
        if (!$this->csrfTokenManager->isTokenValid($token)) {
            throw new InvalidCsrfTokenException();
        }

        $user = $userProvider->loadUserByUsername($credentials['nomusuari']);

        if (!$user) {
            // fail authentication with a custom error
            throw new CustomUserMessageAuthenticationException('Invalid user/password');
        }

        return $user;
    }

    public function checkCredentials($credentials, UserInterface $user)
    {
        $valid = $this->passwordEncoder->isPasswordValid($user, $credentials['password']);
        return $valid;
    }

    public function onAuthenticationSuccess(Request $request, TokenInterface $token, $providerKey)
    {
        $request->getSession()->set("user_username",$token->getUsername());

        return new RedirectResponse(
          $this->urlGenerator->generate("main")
        );
    }

    protected function getLoginUrl()
    {
        return $this->urlGenerator->generate('app_login');
    }
}

SessionAuthenticator(返回 JSON,您可能需要调整它):

class SessionAuthenticator extends AbstractGuardAuthenticator
{
    /**
     * Called on every request to decide if this authenticator should be
     * used for the request. Returning `false` will cause this authenticator
     * to be skipped.
     */
    public function supports(Request $request)
    {
        return $request->getSession()->has("user_username");
    }

    /**
     * Called on every request. Return whatever credentials you want to
     * be passed to getUser() as $credentials.
     */
    public function getCredentials(Request $request)
    {
        return $request->getSession()->get("user_username","");
    }

    public function getUser($credentials, UserProviderInterface $userProvider)
    {
        if (null === $credentials) {
            // The token header was empty, authentication fails with HTTP Status
            // Code 401 "Unauthorized"
            return null;
        }

        // if a User is returned, checkCredentials() is called
        /*return $this->em->getRepository(User::class)
            ->findOneBy(['apiToken' => $credentials])
        ;*/
        return $userProvider->loadUserByUsername($credentials);
    }

    public function checkCredentials($credentials, UserInterface $user)
    {
        // Check credentials - e.g. make sure the password is valid.
        // In case of an API token, no credential check is needed.

        // Return `true` to cause authentication success
        return true;
    }

    public function onAuthenticationSuccess(Request $request, TokenInterface $token, $providerKey)
    {
        // on success, let the request continue
        return null;
    }

    public function onAuthenticationFailure(Request $request, AuthenticationException $exception)
    {
        $data = [
            // you may want to customize or obfuscate the message first
            'message' => strtr($exception->getMessageKey(), $exception->getMessageData())

            // or to translate this message
            // $this->translator->trans($exception->getMessageKey(), $exception->getMessageData())
        ];

        return new JsonResponse($data, Response::HTTP_UNAUTHORIZED);
    }

    /**
     * Called when authentication is needed, but it's not sent
     */
    public function start(Request $request, AuthenticationException $authException = null)
    {
        $data = [
            // you might translate this message
            'message' => 'Authentication Required'
        ];

        return new JsonResponse($data, Response::HTTP_UNAUTHORIZED);
    }

    public function supportsRememberMe()
    {
        return false;
    }
}

最后,我的security.yaml:

main:
            anonymous:
            stateless: true
            guard:
                entry_point: App\Security\FormAuthenticator
                authenticators:
                    - App\Security\SessionAuthenticator
                    - App\Security\FormAuthenticator

工作正常。我可以在工具栏中看到更改,并且角色被刷新。

高温下,

埃斯特夫

于 2020-09-07T17:38:23.323 回答