这是我的情况:
我正在做一个 Symfony 3.4 项目。我在 security.yml 中启用了 switch_user 设置,我可以代替用户登录。
但是,我有一个关于权利的问题。
我有三个用户组/角色:
- BASIC_USER:不能代替任何其他用户登录。
- ADVANCED_USER:可以连接而不是 BASIC_USER 用户,但不能代替 ADVANCED_USER 或 ADMIN_USER 用户。
- ADMIN_USER:可以代替任何用户进行连接,甚至是 ADMIN_USER。
如果我将角色 ROLE_ALLOWED_TO_SWITCH 授予我的 ADVANCED_USER 用户,他们将能够使用以下类型的 URL 以 ADMIN_USER 身份登录:https ://mywebsite.com/?_switch_user=adminemail@mywebsite.com
我怎样才能阻止他们这样做?
提前感谢您的帮助,祝您度过愉快的一周。