보안

B) "사용자 로드 방법" 구성 ¶

사용자 이름을 입력하면 Symfony가 어딘가에서 사용자 정보를 로드합니다. 이는 소위 "사용자 공급자"이며 이를 구성하는 것은 귀하의 책임입니다. Symfony에는 데이터베이스에서 사용자를 로드하는 방법이 내장되어 있지만 자신만의 사용자 공급자를 생성하는 것도 가능합니다.

가장 간단한 방법(그러나 많은 제한이 있음)은 security.yml 파일에서 프로그래밍된 사용자를 직접 로드하도록 Symfony를 구성하는 것입니다. 이를 "메모리 내" 공급자라고 하지만 "구성 내" 공급자로 생각하는 것이 더 좋습니다 security.yml 文件里直接加载写死在其中的用户。这被称为“in memory” provider，但把它观想为“in configuration” provider更合适些

$  php bin/console security:encode-password

PHP:// app/config/security.php$container->loadFromExtension('security', array(
    // ...     'providers' => array(
        'in_memory' => array(
            'memory' => array(
                'users' => array(
                    'ryan' => array(
                        'password' => 'a$LCY0MefVIEc3TYPHV9SNnuzOfyr2p/AXIGoQJEDs4am4JwhNz/jli',
                        'roles' => 'ROLE_USER',
                    ),
                    'admin' => array(
                        'password' => 'a$cyTWeE9kpq1PjqKFiWUZFuCRPwVyAZwm4XzMZ1qPUFl7/flCM3V0G',
                        'roles' => 'ROLE_ADMIN',
                    ),
                ),
            ),
        ),
    ),
    // ...));

XML:<!-- app/config/security.xml --><?xml version="1.0" encoding="UTF-8"?><srv:container xmlns="http://Symfony.com/schema/dic/security"    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xmlns:srv="http://Symfony.com/schema/dic/services"    xsi:schemaLocation="http://Symfony.com/schema/dic/services        http://Symfony.com/schema/dic/services/services-1.0.xsd">     <config>
        <!-- ... -->         <provider name="in_memory">
            <memory>
                <user name="ryan" password="a$LCY0MefVIEc3TYPHV9SNnuzOfyr2p/AXIGoQJEDs4am4JwhNz/jli" roles="ROLE_USER" />
                <user name="admin" password="a$cyTWeE9kpq1PjqKFiWUZFuCRPwVyAZwm4XzMZ1qPUFl7/flCM3V0G" roles="ROLE_ADMIN" />
            </memory>
        </provider>
    </config></srv:container>

类似 firewalls，你可以拥有多个 providers ，但你几乎只需要一个。如果你确实 拥有多个，你可以在防火墙的 provider 键（如 provider：in_memory

YAML:# app/config/security.ymlsecurity:    # ...
    providers:
        in_memory:
            memory:
                users:
                    ryan:
                        password: a$LCY0MefVIEc3TYPHV9SNnuzOfyr2p/AXIGoQJEDs4am4JwhNz/jli
                        roles: 'ROLE_USER'
                    admin:
                        password: a$cyTWeE9kpq1PjqKFiWUZFuCRPwVyAZwm4XzMZ1qPUFl7/flCM3V0G
                        roles: 'ROLE_ADMIN'

PHP:// app/config/security.php$container->loadFromExtension('security', array(
    // ...     'firewalls' => array(
        // ...
        'default' => array(
            // ...
        ),
    ),
   'access_control' => array(
       // require ROLE_ADMIN for /admin*
        array('path' => '^/admin', 'role' => 'ROLE_ADMIN'),
    ),));

XML:<!-- app/config/security.xml --><?xml version="1.0" encoding="UTF-8"?><srv:container xmlns="http://Symfony.com/schema/dic/security"    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xmlns:srv="http://Symfony.com/schema/dic/services"    xsi:schemaLocation="http://Symfony.com/schema/dic/services        http://Symfony.com/schema/dic/services/services-1.0.xsd">     <config>
        <!-- ... -->         <firewall name="default">
            <!-- ... -->
        </firewall>         <!-- require ROLE_ADMIN for /admin* -->
        <rule path="^/admin" role="ROLE_ADMIN" />
    </config></srv:container>

사용자 이름은 admin, 비밀번호는 kitten으로 로그인해 보세요. 오류가 표시됩니다! admin 和密码 kitten 来登录。你应该看到一个错误！

No encoder has been configured for account "SymfonyComponentSecurityCoreUserUser"

要修复此问题 ，添加一个 encoders 健：

YAML:# app/config/security.ymlsecurity:    # ...
    firewalls:        # ...
        default:            # ...
    access_control:        # require ROLE_ADMIN for /admin*
        - { path: ^/admin, roles: ROLE_ADMIN }

PHP:// app/config/security.php$container->loadFromExtension('security', array(
    // ...     'access_control' => array(
        array('path' => '^/admin/users', 'role' => 'ROLE_SUPER_ADMIN'),
        array('path' => '^/admin', 'role' => 'ROLE_ADMIN'),
    ),));

XML:<!-- app/config/security.xml --><?xml version="1.0" encoding="UTF-8"?><srv:container xmlns="http://Symfony.com/schema/dic/security"    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xmlns:srv="http://Symfony.com/schema/dic/services"    xsi:schemaLocation="http://Symfony.com/schema/dic/services        http://Symfony.com/schema/dic/services/services-1.0.xsd">     <config>
        <!-- ... -->         <rule path="^/admin/users" role="ROLE_SUPER_ADMIN" />
        <rule path="^/admin" role="ROLE_ADMIN" />
    </config></srv:container>

User providers加载用户信息，并将其置于一个 User 对象中。如果你从数据库中加载用户 或者 从其他来源加载，你需要使用自定义的User类。但当你使用“in memory” provider时，它直接给了你一个 SymfonyComponentSecurityCoreUserUser 对象。

无论你使用什么样的User类，你都需要去告诉Symfony它们的密码加密算法是什么。在本例中，密码只是明文的文本，但很快，你要把它改成 bcrypt。

如果你现在刷新，你就会登录进来！web除错工具栏会告诉你，你是何人，你的roles（角色）是什么：

由于此URL需要的是 ROLE_ADMIN ，如果你登录的是 ryan 用户，将被拒绝访问。更多内容参考后面的 [URL受到保护的条件（access_control](#catalog9）。

从数据库加载用户 ¶

如果你想通过Doctrine Orm加载用户，很容易！参考 如何从数据库中(Entity Provider)加载Security系统之用户 以了解全部细节。

C) 对用户密码进行加密 ¶

不管用户是存储在 security.yml 里，数据库里还是其他地方，你都需要去加密其密码。堪用的最好算法是 bcrypt

"SymfonyComponentSecurityCoreUserUser" 계정에 인코더가 구성되지 않았습니다

YAML:# app/config/security.ymlsecurity:    # ...
    access_control:
        - { path: ^/admin/users, roles: ROLE_SUPER_ADMIN }
        - { path: ^/admin, roles: ROLE_ADMIN }

// ... public function helloAction($name){
    // The second parameter is used to specify on what object the role is tested.
    // 第二个参数用于指定“要将role作用到什么对象之上”
    $this->denyAccessUnlessGranted('ROLE_ADMIN', null, 'Unable to access this page!');     // Old way / 老办法:
    // if (false === $this->get('security.authorization_checker')->isGranted('ROLE_ADMIN')) {
    //     throw $this->createAccessDeniedException('Unable to access this page!');
    // }     // ...}

// ...use Sensio\Bundle\FrameworkExtraBundle\Configuration\Security; /**
 * @Security("has_role('ROLE_ADMIN')")
 */public function helloAction($name){
    // ...}

어떤 사용자 클래스를 사용하든 Symfony에게 비밀번호 암호화 알고리즘이 무엇인지 알려주어야 합니다. 이 경우 비밀번호는 일반 텍스트이지만 곧 bcrypt로 변경하고 싶을 것입니다.

지금 새로고침하시면 로그인됩니다! 웹 디버깅 도구 모음은 귀하가 누구인지, 귀하의 역할이 무엇인지 알려줍니다:

이 URL에는 ROLE_ADMIN이 필요하므로 로그인한 사용자는 입니다. 라이언 액세스가 거부됩니다. 자세한 내용은 다음 [URL 보호 조건(access_control)](#catalog9)을 참조하세요.

데이터베이스에서 사용자 로드 ¶

Doctrine Orm을 통해 사용자를 로드하려면 쉽습니다! 방법을 참조하세요. 데이터베이스에서 사용자 로드(엔티티 공급자)보안 시스템 사용자 로드를 통해 모든 세부 정보 확인 # 🎜🎜# 물론 이제 사용자 비밀번호는 지정된 알고리즘으로 암호화되어야 합니다. config.yml에 하드코딩된 사용자의 경우 내장 명령

C) 사용자 비밀번호 암호화 ¶< /a> 사용자가 security.yml에 저장되어 있는지, 데이터베이스에 저장되어 있는지, 아니면 다른 곳에 저장되어 있는지에 관계없이 비밀번호를 암호화해야 합니다. 사용할 수 있는 가장 좋은 알고리즘은 bcrypt입니다. PHP:<?php if ($view['security']->isGranted('ROLE_ADMIN')): ?>     <a href="...">Delete</a><?php endif ?> Twig:{% if is_granted('ROLE_ADMIN') %}     <a href="...">Delete</a>{% endif %}

if (!$this->get('security.authorization_checker')->isGranted('IS_AUTHENTICATED_FULLY')) {         throw $this->createAccessDeniedException();     }     // ...}

#🎜🎜##🎜🎜##🎜🎜##🎜🎜##🎜🎜##🎜🎜을 사용하여 수행할 수 있습니다. ## 🎜🎜#

PHP:<?php if ($view['security']->isGranted(new Expression(
    '"ROLE_ADMIN" in roles or (user and user.isSuperAdmin())'))): ?>
    <a href="...">Delete</a><?php endif; ?>

#🎜🎜##🎜🎜##🎜🎜##🎜🎜#

Twig:{% if is_granted(expression(
    '"ROLE_ADMIN" in roles or (user and user.isSuperAdmin())')) %}
    <a href="...">Delete</a>{% endif %}

#🎜🎜##🎜🎜##🎜🎜##🎜🎜##🎜🎜#

다음과 같은 내용이 표시됩니다(비밀번호는 암호화되어 있음).

public function indexAction(){
    if (!$this->get('security.authorization_checker')->isGranted('IS_AUTHENTICATED_FULLY')) {
        throw $this->createAccessDeniedException();
    }     $user = $this->getUser();     // the above is a shortcut for this / 上面的写法是通过以下取法（再进行授权）的快捷方式
    $user = $this->get('security.token_storage')->getToken()->getUser();}

use Symfony\Component\HttpFoundation\Response;
// ... public function indexAction(){
  // ...     return new Response('Well hi there '.$user->getFirstName());}

public function indexAction(UserInterface $user = null){
    // $user is null when not logged-in or anon.
    // 当用户没有登陆，或者是anno.时，$user是null}

이제 모든 것이 동일합니다. 이전처럼. 그러나 데이터베이스에 저장되기 전에 비밀번호가 암호화되는 동적 사용자(예: 데이터베이스)가 있는 경우 이를 프로그래밍 방식으로 어떻게 암호화할 수 있습니까? 걱정하지 마세요. 자세한 내용은 수동 암호화 비밀번호를 참조하세요.

D) 구성 완료! ¶

축하합니다! 이제 HTTP 기본 인증을 기반으로 작동하고 security.yml 파일에서 사용자를 로드하는 "인증 시스템"이 작동합니다. security.yml 文件中加载用户的“验证系统”了。

根据你的设置，尚有后续步骤：

• 配置用户登录的不同方式，例如 登录表单 或者 某些完全自定义的；

• 从不同来源来加载用户，例如 数据库 或者 其他源头；

• 在 授权 小节了解如何拒绝访问（deny access）、加载用户对象，以及操作Roles；

2) 拒绝访问,Roles和其他授权方式 ¶

现在，用户可以通过 http_basic 或者其他方式来登录你的程序。了不起呀！现在你需要学习如何拒绝访问（deny access）并且能与User对象一起工作。这被称为authorization（授权），它的工作是决定用户是否可以访问某些资源（如一个URL、一个model对象、一个被调用的方法等...）。

授权过程分为两个不同的方面：

1. 用户在登录时收到一组特定的Roles（角色。如 ROLE_ADMIN）。

2. 你添加代码，以便某个资源（例如url、控制器）需要一个特定“属性”（多数时候就是一个类似 ROLE_ADMIN 的role）才能被访问到。

2) 액세스 거부, 역할 및 기타 승인 방법 ¶🎜

🎜역할 외에도(예: ROLE_ADMIN ), 다른 속성/문자열(예: EDIT)을 사용하여 자원을 보호하고 유권자 또는 Symfony의 ACL 시스템을 사용하여 자원을 효과적으로 만들 수도 있습니다. 이는 사용자 A가 개체 B(예: ID가 5인 제품)를 "편집"할 수 있는지 확인해야 할 때 유용합니다. 🎜액세스 제어 목록(ACL): 개별 데이터베이스 개체 보호🎜를 참조하세요. 🎜🎜🎜

역할/역할 ¶

사용자가 로그인하면 역할 세트(예: ROLE_ADMIN)를 받게 됩니다. 위의 예에서 이러한 역할(역할)은 security.yml에 하드 코딩되어 있습니다. 데이터베이스에서 사용자를 로드하는 경우 해당 사용자는 테이블 열에 저장되어야 합니다. ROLE_ADMIN）。在上例中，这些(roles)都被写死到 security.yml 中了。如果你从数据库中加载用户，它们应该存在了表的某一列中。

你要分给一个用户的所有roles，一定要以 ROLE_ 前缀开始。否则，它们不会被Symfony的Security系统按常规方式来操作（除非使用高级手段，否则你把 FOO 这样的role分给一个用户，然后像 下面这样 去检查 FOO 是行不通的）。

roles很简单，而且基本上都是你根据需要自行创造的字符串。例如，如果你打算限制访问你网站博客的admin部分，可以使用ROLE_BLOG_ADMIN 这个role来进行保护。role毋须在其他地方定义－你就可以开始用它了。

确保每个用户至少有一个 角色，否则他们会被当作未验证之人。常见的做法就是给每个 普通用户一个 ROLE_USER。

你还可以指定role层级，此时，拥有某些roles意味着你同时拥有了其他的roles。

添加代码以拒绝访问 ¶

要拒绝访问（deny access）某些东东，有两种方式可以实现：

• 使用security.yml中的access_control，即可使用URL的条件保护（如 /admin/*）。这虽然容易，但灵活性不足；

• 在代码中使用 security.authorization_checker 服务；

通过条件匹配来保护URL（access_control） ¶

对程序的某一部分进行保护时的最基本方法是对URL进行完整的条件匹配。之前你已看到，任何匹配了正则表达式 ^/admin 的页面都需要 ROLE_ADMIN

사용자에게 할당하려는 모든 역할은 ROLE_ 접두사로 시작해야 합니다 . 그렇지 않으면 Symfony의 보안 시스템에서 일반적인 방법으로 작동하지 않습니다(고급 수단을 사용하지 않는 한, 그렇지 않으면 사용자에게 FOO와 같은 역할을 할당한 다음 FOO를 확인하기 위한 다음

은 작동하지 않습니다.)

역할은 매우 간단하며 기본적으로 필요에 따라 생성하는 문자열입니다. 예를 들어, 웹사이트 블로그의 관리 섹션에 대한 액세스를 제한하려는 경우 ROLE_BLOG_ADMIN 역할을 사용하여 이를 보호할 수 있습니다. 역할은 다른 곳에서 정의할 필요가 없습니다. 그냥 사용하면 됩니다.

각 사용자에게 최소한 하나 역할이 있는지 확인하세요. 그렇지 않으면 다음과 같이 처리됩니다. 알 수 없음 유효성을 검사하는 사람입니다. 일반적인 접근 방식은 모든 일반 사용자에게 ROLE_USER를 제공하는 것입니다.

🎜이때 특정 역할을 소유한다는 것은 다른 역할도 소유한다는 것을 의미합니다. 🎜🎜액세스를 거부하는 코드 추가 ¶🎜🎜🎜무언가에 대한 액세스를 거부하려면 두 가지 방법이 있습니다. 달성 방법: 🎜

• 🎜security.yml에서 access_control🎜을 사용하면 URL의 조건부 보호를 사용할 수 있습니다(예: /admin/* ). 이는 쉽지만 그다지 유연하지는 않습니다. 🎜
• 🎜코드에서 security.authorization_checker 서비스를 사용하세요 🎜

URL 보호를 위한 조건부 매칭 통과(access_control) ¶🎜

🎜프로그램의 특정 부분을 보호하는 가장 기본적인 방법은 보호하는 것입니다. URL 완료 조건이 일치합니다. 이전에 본 것처럼 정규식 ^/admin과 일치하는 모든 페이지에는 ROLE_ADMIN이 필요합니다. 🎜

// yay! Use this to see if the user is logged in// 耶！使用这个来查看用户是否已登陆if (!$this->get('security.authorization_checker')->isGranted('IS_AUTHENTICATED_FULLY')) {
    throw $this->createAccessDeniedException();} // boo :(. Never check for the User object to see if they're logged in// 哄！:(. 切勿通过检查User对象来判断用户是否已登陆if ($this->getUser()) { }

PHP:<?php if ($view['security']->isGranted('IS_AUTHENTICATED_FULLY')): ?>
    <p>Username: <?php echo $app->getUser()->getUsername() ?></p><?php endif; ?>

🎜🎜🎜🎜🎜

Twig:{% if is_granted('IS_AUTHENTICATED_FULLY') %}
    <p>Username: {{ app.user.username }}</p>{% endif %}

🎜🎜🎜🎜🎜

전체 영역(URL이 속한)을 보호할 수 있는 것도 좋지만 컨트롤러의 특정 동작을 보호할 수도 있습니다.

URL 일치 조건을 원하는 만큼 정의할 수 있습니다. 각 조건은 정규식입니다. 이지만 은 과 하나만 일치합니다. Symfony는 파일의 맨 위에서 보기 시작하고 access_control에서 URL과 일치하는 항목을 찾는 즉시 종료됩니다. access_control 中的某个入口与URL相匹配，就立即结束。

PHP:// app/config/security.php$container->loadFromExtension('security', array(
    // ...     'firewalls' => array(
        'secured_area' => array(
            // ...
            'logout' => array('path' => '/logout', 'target' => '/'),
        ),
    ),));

Twig:<!-- app/config/security.xml --><?xml version="1.0" encoding="UTF-8"?><srv:container xmlns="http://Symfony.com/schema/dic/security"    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xmlns:srv="http://Symfony.com/schema/dic/services"    xsi:schemaLocation="http://Symfony.com/schema/dic/services        http://Symfony.com/schema/dic/services/services-1.0.xsd">     <config>
        <!-- ... -->         <firewall name="secured_area">
            <!-- ... -->
            <logout path="/logout" target="/" />
        </firewall>
    </config></srv:container>

YAML:# app/config/security.ymlsecurity:    # ...
    firewalls:
        secured_area:            # ...
            logout:
                path:   /logout
                target: /

在path中加了一个 ^ 是指，仅当URL“按照正则条件那样起头”时，才会匹配到。例如，一个path若只有 /admin（不包含 ^）则会匹配到 /admin/foo 但同时也匹配了 /foo/admin 这种。

理解access_control是如何工作的

access_control 部分异常强大，但如果你不明白它的工作原理，它也会很危险（毕竟涉及到安全性）。 access_control 除了匹配URL，还可匹配IP地址、主机名和HTTP method。它也可以用于将用户重定向到 https 版本的URL条件中去。

要了解这一切，参考 Security的access_control是如何工作的。

保护控制器和代码中的其他部分 ¶

在控制器中你可以轻松谢绝访问：

PHP:// app/config/routing.phpuse Symfony\Component\Routing\RouteCollection;use Symfony\Component\Routing\Route; $collection = new RouteCollection();$collection->add('logout', new Route('/logout')); return $collection;

两种情况下，一个特殊的 AccessDeniedException 会被抛出，这最终触发了Symfony内部的一个403 HTTP响应。

就是这样！如果是尚未登录的用户，他们会被要求登录（如，重定向到登录页面）。如果他们已经 登录，但不具备 ROLE_ADMIN 角色，则会被显示403拒绝访问页面（此页可以 自定义）。如果他们已登录同时拥有正确的roles，代码就会继续执行。

多亏了SensioFrameworkExtraBundle，你可以在控制器中使用annotations

XML:<!-- app/config/routing.xml --><?xml version="1.0" encoding="UTF-8" ?><routes xmlns="http://Symfony.com/schema/routing"    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xsi:schemaLocation="http://Symfony.com/schema/routing        http://Symfony.com/schema/routing/routing-1.0.xsd">     <route id="logout" path="/logout" /></routes>

参考 FrameworkExtraBundle 以了解更多。

模版中的访问控制 ¶

如果你想在模版中检查当前用户是否具有一个role，可以使用内置的 is_granted()

YAML:# app/config/routing.ymllogout:
    path: /logout

PHP:// app/config/security.php$container->loadFromExtension('security', array(
    // ...     'role_hierarchy' => array(
        'ROLE_ADMIN'       => 'ROLE_USER',
        'ROLE_SUPER_ADMIN' => array(
            'ROLE_ADMIN',
            'ROLE_ALLOWED_TO_SWITCH',
        ),
    ),));

XML:<!-- app/config/security.xml --><?xml version="1.0" encoding="UTF-8"?><srv:container xmlns="http://Symfony.com/schema/dic/security"    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xmlns:srv="http://Symfony.com/schema/dic/services"    xsi:schemaLocation="http://Symfony.com/schema/dic/services        http://Symfony.com/schema/dic/services/services-1.0.xsd">     <config>
        <!-- ... -->         <role id="ROLE_ADMIN">ROLE_USER</role>
        <role id="ROLE_SUPER_ADMIN">ROLE_ADMIN, ROLE_ALLOWED_TO_SWITCH</role>
    </config></srv:container>

경로에 ^를 추가하면 URL이 "일반 조건에 따라 시작"되는 경우에만 일치한다는 의미입니다. 예를 들어, 경로에 /admin(^ 제외)만 포함된 경우 /admin/foo와 일치하지만 /도 일치합니다. foo/admin 이거요. #🎜🎜#

access_control 작동 방식 이해

# 🎜 🎜#access_control 부분은 엄청나게 강력하지만 어떻게 작동하는지 이해하지 못하면 위험할 수도 있습니다(결국 보안이 관련됩니다). access_control URL 일치 외에도 IP 주소, 호스트 이름 및 HTTP 메서드도 일치시킬 수 있습니다. 또한 사용자를 https 버전의 URL 조건으로 리디렉션하는 데 사용할 수도 있습니다. #🎜🎜##🎜🎜#이 모든 내용을 이해하려면 보안의 access_control 작동 방식#🎜🎜#을 참조하세요. #🎜🎜##🎜🎜##🎜🎜#

컨트롤러와 코드의 다른 부분을 보호하세요 ¶#🎜🎜##🎜🎜#컨트롤러에서 액세스를 쉽게 거부할 수 있습니다. #🎜🎜#

YAML:# app/config/security.ymlsecurity:    # ...
    role_hierarchy:
        ROLE_ADMIN:       ROLE_USER
        ROLE_SUPER_ADMIN: [ROLE_ADMIN, ROLE_ALLOWED_TO_SWITCH]

#🎜🎜#두 경우 모두 특별한 AccessDeniedException#🎜🎜#가 발생하여 궁극적으로 내부 Symfony A 403 HTTP 응답이 트리거됩니다.
#🎜🎜##🎜🎜#그렇습니다! 사용자가 아직 로그인하지 않은 경우 로그인하라는 메시지가 표시됩니다(예: 로그인 페이지로 리디렉션됨). 이미 로그인했지만 ROLE_ADMIN 역할이 없는 경우 403 액세스 거부 페이지가 표시됩니다(이 페이지는 사용자 정의 #🎜🎜#). 로그인되어 있고 올바른 역할이 있으면 코드가 계속 실행됩니다. #🎜🎜##🎜🎜# SensioFrameworkExtraBundle 덕분에 컨트롤러에서 주석을 사용할 수 있습니다#🎜🎜#rrreee#🎜🎜#ReferenceFrameworkExtraBundle#🎜🎜# 자세히 알아보기
#🎜🎜#

템플릿의 액세스 제어 ¶#🎜🎜#

#🎜🎜#If you If 현재 사용자에게 템플릿에 역할이 있는지 확인하려면 내장된 is_granted() 도우미 함수를 사용할 수 있습니다. #🎜🎜#rrreee#🎜🎜#rrreee#🎜🎜#

다른 서비스 보호 ¶

"Protect Controller"와 같은 유사한 코드를 작성하면 Symfony 내 어디든 보호할 수 있습니다. 이메일을 보내기 위한 서비스(예: PHP 클래스)가 있다고 가정해 보겠습니다. 이 클래스의 사용을 - 사용 위치에 관계없이 - 특정 사용자로만 제한할 수 있습니다.

자세한 내용은 프로그램에서 서비스 및 메서드를 보호하는 방법을 참조하세요.

사용자가 로그인했는지 확인하세요(IS_AUTHENTICATED_FULLY) ¶

지금까지 역할 기반 액세스, 즉 사용자에게 할당된 ROLE_ 접두사로 시작하는 문자열을 확인했습니다. 하지만 ROLE_ 前缀开头的字符串，被分配给了用户。但是，如果你只 想检查用户是否登录（并不关心什么role不role的），那么你可以使用 IS_AUTHENTICATED_FULLY：// ... public function helloAction($name){

rrreee

你当然也可以使用在 access_control 中使用它。

IS_AUTHENTICATED_FULLY 不是一个role，但是它的某些行为又像是role，并且每个成功登录的用户都有这么一个。事实上，类似的特殊属性共有三个：

• IS_AUTHENTICATED_REMEMBERED：所有 已登录用户都有它，哪怕他们是通过“remember me cookie”登录进来的。就算你并没有使用 remember me功能，你依然能够通过这个属性来检查用户是否已经登录。

• IS_AUTHENTICATED_FULLY：类似于 IS_AUTHENTICATED_REMEMBERED ，但更健壮。那些仅凭 “remember me cookie”中的 IS_AUTHENTICATED_REMEMBERED 登录进来的用户，并不会拥有 IS_AUTHENTICATED_FULLY 。

• IS_AUTHENTICATED_ANONYMOUSLY만 사용자가 로그인했는지 확인하려는 경우(어떤 역할인지는 상관하지 않음) IS_AUTHENTICATED_FULLY를 사용할 수 있습니다. rgb(248, 248 , 248);">// ... 공개 함수 helloAction($name){rrreee

  물론 access_control에서도 사용할 수 있습니다.

  IS_AUTHENTICATED_FULLY는 역할이 아니지만 일부 동작은 역할과 유사하며 성공적으로 로그인한 모든 사용자는 이러한 역할을 갖습니다. 실제로 세 가지 유사한 특수 속성이 있습니다:
IS_AUTHENTICATED_REMEMBERED:

모든

로그인한 사용자는 "remember me cookie"를 통해 로그인한 경우에도 이 속성을 갖습니다. 기억하기 기능
을 사용하지 않더라도 이 속성을 통해 해당 사용자의 로그인 여부를 확인할 수 있습니다.
🎜
• 🎜IS_AUTHENTICATED_FULLY: IS_AUTHENTICATED_REMEMBERED와 유사하지만 더 강력합니다. "기억 쿠키"에서 IS_AUTHENTICATED_REMEMBERED만으로 로그인한 사용자는 IS_AUTHENTICATED_FULLY를 갖지 않습니다. 🎜🎜
• 🎜IS_AUTHENTICATED_ANONYMOUSLY: 🎜모든 🎜 사용자(익명 사용자도 포함)는 이 속성을 가집니다. URL을 🎜화이트리스트🎜에 넣어 액세스할 수 있도록 할 때 유용합니다. 자세한 내용은 🎜보안의 access_control 작동 방식🎜을 참조하세요. 🎜🎜🎜🎜템플릿에서 표현식을 사용할 수도 있습니다: 🎜rrreee🎜rrreee🎜

  식 및 보안에 대한 자세한 내용은 보안: 복잡한 액세스 제어 식 .

  액세스 제어 목록(ACL): 개별 데이터베이스 개체 보호 #🎜를 참조하세요. 🎜#¶

  사용자가 주제 아래에 댓글을 남길 수 있는 블로그를 디자인한다고 상상해 보세요. 또한 사용자는 자신의 댓글을 편집할 수 있지만 다른 사용자는 편집할 수 없도록 하려고 합니다. 또한 관리자로서 귀하는

  모든 ​​ 댓글을 편집할 수 있기를 원할 것입니다.

  이렇게 하려면 다음 두 가지 옵션이 있습니다.

  • Voters을 사용하면 사용자가 자신의 비즈니스 논리를 작성할 수 있습니다. (예: 사용자는 작성자이므로 이 게시물을 편집할 수 있음) 액세스 권한을 확인합니다. 이 옵션을 사용할 수도 있습니다. 이는 위의 문제를 해결하기에 충분히 유연합니다.

  • ACLs any 사용자에게 대상을 할당할 수 있는 데이터베이스 구조를 생성할 수 있습니다. 🎜🎜#Any Any 개체의 액세스 권한(예: EDIT, VIEW). ACL을 사용하려면 관리자가 일부 관리 인터페이스를 통해 시스템에 대한 사용자 정의 액세스 권한을 부여해야 합니다.

  두 경우 모두 액세스 거부를 구현하려면 이전 예와 유사한 방법을 사용해야 합니다.

  사용자 개체 가져오기

  ¶

  확인 후 security.token_storage 서비스 사용자 개체. 컨트롤러 내부에 다음과 같이 작성하세요:

  rrreee

  
  security.token_storage 服务来访问当前用户的 User 对象。在控制器内，这样写：

  rrreee

  
  

  用户将是一个对象，该对象所属的类，则取决于你的user provider。

  
  

  3.2通过方法签名（method signature）来取得用户的功能，是从Symfony 3.2开始引入的。如果你继承了 Controller，则仍然可以通过调用 $this->getUser()

  사용자는 해당 개체가 속한 개체가 됩니다. 클래스는 사용자 공급자

  에 따라 다릅니다. #🎜🎜##🎜🎜##🎜🎜#
  #🎜🎜#

  #🎜🎜#3.2메서드 서명별(메서드 시그니처)는 Symfony 3.2부터 도입된 사용자 기능을 얻기 위한 것입니다. Controller#에서 상속받은 경우 🎜🎜#, $this->getUser()를 호출하여 얻을 수 있습니다. #🎜🎜##🎜🎜#

  이제 사용자 개체를 기반으로 모든 메서드를 호출할 수 있습니다. 예를 들어, User 개체에 getFirstName() 메서드가 있는 경우 이를 사용할 수 있습니다. getFirstName() 方法，你可以使用它：

  rrreee

  始终检测用户是否登录 ¶
  

  对用户的初次验证十分重要。如果未登陆，$user 就是 null 或者 anon. 字符串之一。等一下，为什么呢？是的，这很奇怪。如果你没有登录，严格来讲，用户应该是 anon.，尽管控制器中的 getUser() 快捷方法会出于方便将其转变为 null。当使用 UserInterface 的类型提示并且登入（being logged in）是可选的时候，你可以为参数配置null值：

  rrreee

  观点是这样的：在使用User对象之前应该始终检查用户是否已登录，可使用 isGranted 方法（或 access_control）来完成：
  

  rrreee

  在模版中获取用户 ¶
  

  对象在twig模版中可以使用app.user键：

  rrreeerrreee

  Logging out/退出登录 ¶
  

  注意，当使用http-basic验证方式的防火墙时，是没有办法退出的：log out 的唯一方式就是令浏览器停止在每次请求中发送你的用户名和密码。清除浏览器缓存或重启它，往往有用。某些web开发工具（译注：可能是指浏览器的f12）也可能有用。

  通常情况下，你希望用户能够注销。幸运的是，当你激活 logoutrrreee

  Always는 사용자가 로그인되어 있는지 감지합니다. ¶

  
  

  은 사용자의 초기 확인에 매우 중요합니다. 로그인하지 않은 경우 $user는 null 또는 anon. 문자열 중 하나입니다. 잠깐, 왜요? 응, 이상해. 로그인하지 않은 경우 기술적으로 사용자는 anon.이어야 하지만 컨트롤러의 getUser() 바로가기 메서드는 편의상 로 변환합니다. null< /코드>. UserInterface가 유형 힌트이고 로그인이 선택 사항인 경우 매개변수에 null 값을 구성할 수 있습니다.

  rrreee

  관점은 다음과 같습니다. 사용자 개체를 사용하려면 항상 사용자가 로그인되어 있는지 미리 확인해야 합니다. 이 작업은 isGranted 메서드(또는 access_control)를 사용하여 수행할 수 있습니다. #🎜🎜 ##🎜🎜#rrreee #🎜🎜#템플릿에서 사용자 가져오기 ¶#🎜🎜##🎜🎜##🎜 🎜#개체는 twig 템플릿에 있습니다. app.user 키: #🎜🎜#rrreeerrreee#🎜 🎜#로그아웃/로그아웃 ¶#🎜🎜##🎜🎜#

  #🎜🎜#http-basic 인증으로 방화벽을 사용하는 경우 종료할 방법이 없다는 점에 유의하세요. way is #🎜🎜#log out#🎜🎜# 요청할 때마다 사용자 이름과 비밀번호 전송을 중지하도록 브라우저에 지시하세요. 브라우저 캐시를 지우거나 다시 시작하면 도움이 되는 경우가 많습니다. 특정 웹 개발 도구도 유용할 수 있습니다. #🎜🎜##🎜🎜##🎜🎜##🎜🎜# 일반적으로 사용자가 로그아웃할 수 있기를 원합니다. 다행히 logout 구성 매개변수를 활성화하면 방화벽이 이를 자동으로 처리하는 데 도움이 될 수 있습니다. #🎜🎜#rrreeerrreeerrreee#🎜🎜#다음으로 이 URL에 대한 경로를 생성해야 합니다(컨트롤러는 아님). 필수): #🎜🎜##🎜🎜#rrreeerrreee#🎜🎜#rrreee#🎜🎜#

  바로 그거에요! 사용자를 /logout(또는 구성한 path 옵션)으로 보내면 Symfony는 현재 사용자의 인증을 해제합니다. /logout （或者你任意配置的 path 选项），Symfony将取消当前用户的验证信息。

  一旦用户被注销，他们会被重定向到已经定义的 target 参数所对应的路径中（如 homepage）。

  如果你需要在注销后做一些更有趣的事，可以通过添加 success_handler 键来指定一个“登出成功控制器”（logout success handler），将它填写成一个服务定义之id，该服务的class必须实现 LogoutSuccessHandlerInterface接口。参考 Security Configuration Reference。

  按等级划分的Roles ¶

  并非把大量roles统统关联到用户，通过创建role hierarchy（角色层级），你可以定义一套“角色继承规则”：

  rrreeerrreee

  rrreee

  在上面的配置中，用户 ROLE_ADMIN 也将具备 ROLE_USER role。ROLE_SUPER_ADMIN role，同时拥有 ROLE_ADMIN，ROLE_ALLOWED_TO_SWITCH 以及 ROLE_USER（继承自 ROLE_ADMIN

  사용자가 로그아웃되면 정의된 target 매개변수(예: homepage)에 해당하는 경로로 리디렉션됩니다.

  로그아웃한 후 더 흥미로운 작업을 수행해야 하는 경우 < 코드를 추가할 수 있습니다. >success_handler 키를 사용하여 "로그아웃 성공 핸들러"(로그아웃 성공 핸들러)를 지정하고 서비스 정의의 ID를 입력합니다. 서비스 클래스는 LogoutSuccessHandlerInterfaceInterface. 참조

  보안 구성 참조

  .

  레벨별 역할 ¶

  # 🎜🎜 #사용자에게 많은 수의 역할을 연결하는 대신 역할 계층 구조를 생성하여 "역할 상속 규칙" 집합을 정의할 수 있습니다.

  rrreeerrreee

  rrreee# 🎜🎜 #

  위 구성에서 ROLE_ADMIN 사용자는 ROLE_USER 역할도 갖게 됩니다. ROLE_SUPER_ADMIN 역할은 ROLE_ADMIN, ROLE_ALLOWED_TO_SWITCH 및 ROLE_USER(ROLE_ADMIN에서 상속됨)도 포함합니다. ) .

  요약

  ¶

  #🎜🎜##🎜🎜#아~ 수고했어요! 보안의 기본보다 더 많은 것을 배웠습니다. 가장 어려운 부분은 인증 전략(예: API 토큰) 정의, 복잡한 인증 논리 및 기타 여러 가지(보안은 본질적으로 복잡하기 때문입니다!)와 같은 사용자 정의 요구 사항이 있을 때입니다. #🎜🎜##🎜🎜# 다행히도 여기에는 다양한 상황을 명확히 하는 것을 목표로 하는 기사가 많이 있습니다. 그동안 #🎜🎜#보안 참조 #🎜🎜#를 참조하세요. 많은 구성 옵션이 자세히 설명되어 있지는 않지만 전체 구성 트리를 보는 데는 여전히 도움이 됩니다. #🎜🎜##🎜🎜#행운을 빌어요! #🎜🎜##🎜🎜##🎜🎜##🎜🎜##🎜🎜##🎜🎜#

  ← 성능

  직렬 변환기를 사용하는 방법 →

제출하다

PHP 중국어 웹사이트

집강의기사Q&A사전수동다운로드찾다 APP다운로드