问题标签 [symfony-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
symfony - Symfony 中的自动阻止/禁止暴力扫描器
我正在运行一个基于 Symfony 2.7 的网页。该页面使用FOSUserBundle进行用户管理和身份验证。
我可以在日志文件中观察到,该页面经常被蛮力扫描器“攻击”。
有两种类型的扫描:
- 搜索导致
HTTP 404响应的已知漏洞,例如 WordPress 文件等 - 使用默认用户凭据的登录尝试
我以前一直在使用 WordPress。有相当多的插件和工具可以自动识别和处理此类攻击:如果 404 请求或拒绝登录尝试达到一定阈值,则用户/ip 会被自动阻止一段时间。通常几分钟后,用户/IP 会自动从阻止列表中删除。
我一直无法为 Symfony 找到这样的解决方案。有没有将这些功能集成到 Symfony 中的捆绑软件?
当然,我自己在功能上实现这个功能并不会太难。但是重新发明已经存在的东西是没有意义的。
php - Symfony 强制登录并记住我
以下代码将自动强制登录用户并且工作正常。我想添加记住我的功能。所以当我们强制登录用户然后还添加记住我时,他下次自动登录到该站点。
php - 使用 LightSamlPhp Bundle 的 Symfony 2.8 安全设置 - 多种登录方法
我在使用 Saml 插件(https://www.lightsaml.com/SP-Bundle/Getting-started/)在 Symfony 2.8 中设置身份验证时遇到了问题。问题:我希望能够通过 SAML 登录并进入管理页面。/admin/login 页面工作正常,我看到用户已从数据库进行身份验证。但是,当我尝试通过 Saml 流程时,我总是会进入 /discovery 页面。当我看到日志时,我确实用户已通过身份验证。所以,我认为我在安全设置中有一些不正确的地方。请让我知道您是否可以提供帮助
以下是来自的设置
配置/security.yml 文件:
防火墙:开发:模式:^/(_(profiler|wdt)|css|images|js)/ 安全性:false
php - Silex 以编程方式使用自定义域登录
我有几个 silex 应用程序,每个应用程序都有一个子域。(app1.example.com,app2.example.com)
我想从一个主要的 silex 单一应用程序管理登录过程。
以下代码可以以编程方式登录,但我想更改 cookie 的域字段。
我怎样才能做到这一点?
php - Symfony 登录 - 用户/管理员
当我访问 /admin 或使用登录表单时,我想连接我的管理员。
但是出了点问题,我无法访问 ROLE_ADMIN。
(ROLE_USER 一切都很好,也许我错过了管理员的一些东西?)
有 security.yml 文件:
安全:
有 SecurityController.php 文件:
这是 login.htm.twig 文件:
php - 如果已经在其他应用程序中登录主域,如何使用 symfony 安全登录到子域?
我已经登录到主域。说example.com(在旧版 kohana 中开发的应用程序)。我正在尝试登录 subdmain,比如foo.bar.example.com。
foo.example.com 是 symfony 应用程序。下面是我的配置。开发工具栏显示“匿名”用户。它不会从 cookie 中的会话 ID 登录用户。
安全.yml
配置.yml
我是否需要配置至少一个身份验证提供程序?或者我需要编写自定义身份验证提供程序,就像记住我一样?
Symfony\Component\Security\Http\Firewall\AbstractAuthenticationListener->handle
有
并且请求有
php - symfony 存储用户角色的位置和方式
大家好,我想了解 symfony 中关于用户和用户角色的逻辑以及它的工作原理。我是 symfony 的新手,我遵循本教程: http ://symfony.com/doc/current/security/entity_provider.html
在我的项目中一切正常,但是当我查看数据库时,我有user表格和所有用户,我注册的内容就像表格中的数据一样。
但是用户角色表在哪里?symfony 如何知道谁是ROLE_ADMIN谁,谁是谁ROLE_MODERATOR。如何实现所有用户具有特定角色并将该角色保存在数据库中,以便稍后我可以从某个管理面板更改它?ACL 可能吗?
php - Symfony 3 通过手机阵列登录
再会!我想登录我的用户,这是一项微不足道的任务。但问题是通过值数组检查用户!
例如,我有实体用户和电话。用户有很多电话。所以我需要通过它拥有的所有手机登录用户。如何使用安全包的默认工具来做到这一点?
我没有找到任何像我这样的问题,并阅读了有关 Symfony 安全性的所有文档。我唯一想做的就是创建自定义提供程序。但我不认为它解决了我的问题。
有什么想法吗,亲爱的symfones?:)
php - Symfony2 - 将安全访问控制设置为只允许匿名身份验证
假设我access_control在下面有我的块security.yml:
在这种情况下,每个人都可以进入homepage和reset-password页面。但我想只允许匿名身份验证的用户使用这些页面。完全认证的用户应该得到一个403 access denied erroror 404 page not found。
根据I should be ablo 创建角色表达式来定义访问权限的文档。allow_if但如果我这样做:
现在遵循这个想法,完全身份验证的用户(登录)不应该被允许访问页面并且匿名身份验证应该能够访问,但是,不幸的是,没有用户能够访问它......
有什么我想念的想法吗?
更新
这使它按照正确答案的建议工作:
symfony-2.8 - Symfony2:将第二个对象传递给选民
我正在使用选民来确定登录用户是否可以编辑给定对象。其中一个标准需要与另一个对象进行比较,但我不确定如何将其传递给选民。我不能使用构造函数参数,因为它不是预定义的值。
基本上我想做这样的事情:
任何帮助,将不胜感激。