2

我正在关注Symfony 食谱,并在“避免常见陷阱”中说:

此外,如果您的防火墙不允许匿名用户(无anonymous密钥),您需要创建一个允许匿名用户登录页面的特殊防火墙

firewalls:
    # order matters! This must be before the ^/ firewall
    login_firewall:
        pattern:   ^/login$
        anonymous: ~
    secured_area:
        pattern:    ^/
        form_login: ~

所以我实现了我的security.yml文件如下:

security:
    providers:
        in_memory:
            memory:
                users:
                    ryan:
                        password: pass1
                        roles: ROLE_USER
                    admin:
                        password: pass2
                        roles: ROLE_ADMIN

    encoders:
        Symfony\Component\Security\Core\User\User: plaintext

    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false

        login_firewall:
            anonymous: ~
            pattern: ^/login$
            context: foo

        main:
            pattern: ^/

            form_login:
                login_path: /login
                check_path: /login
                default_target_path: /secret

            logout:
                path: /logout
                target: homepage

            context: foo

    access_control:
        - { path: ^/login, roles: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/secret, roles: ROLE_ADMIN }

问题是,每当我尝试登录时,我都会被重定向到登录页面,但我从未获得过身份验证。我还尝试在两个防火墙之间共享上下文(即它们使用相同的context),但没有任何积极作用。

这个配置有什么问题?

编辑:

这是我的login.html.twig模板:

<html>
    <body>
        {% if error %}
            <div>{{ error.messageKey | trans(error.messageData, 'security') }}</div>
        {% endif %}

        <form action="{{ path('login') }}" method="post">
            <label for="username">Username:</label>
            <input type="text" id="username" name="_username" value="{{ last_username }}" />

            <label for="password">Password:</label>
            <input type="password" id="password" name="_password" />

            <button type="submit" >Login</button>
        </form>
    </body>
</html>
4

1 回答 1

0

我不知道为什么(如果有人这样做,欢迎他们添加另一个答案)但是如果我将form_login元素放在里面login_firewall里面main,那么它会让用户进行身份验证。

换句话说,工作security.xml配置是:

编辑main -> form_login也可以null

security:
    providers:
        in_memory:
            memory:
                users:
                    ryan:
                        password: pass1
                        roles: ROLE_USER
                    admin:
                        password: pass2
                        roles: ROLE_ADMIN

    encoders:
        Symfony\Component\Security\Core\User\User: plaintext

    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false

        login_firewall:
            anonymous: ~
            pattern: ^/(login|logout)?$
            context: foo

            form_login:
                login_path: /login
                check_path: /login

            logout:
                path: /logout
                target: homepage

        main:
            pattern: ^/
            form_login: ~
            context: foo

    access_control:
        - { path: /(login|logout)?$, roles: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: /secret, roles: ROLE_ADMIN }
于 2016-02-22T15:47:53.257 回答