Pengesahan keselamatan PHP dengan Symfony Security Bundle

Pengesahan Keselamatan PHP dengan Symfony Security Bundle

Symfony ialah rangka kerja pembangunan PHP yang popular yang menyediakan ciri yang kaya dan berkuasa untuk memudahkan proses pembangunan aplikasi web. Salah satu fungsi utama ialah pengesahan keselamatan Symfony melaksanakan pengesahan dan kebenaran dengan menyepadukan Security Bundle. Dalam artikel ini, kami akan membincangkan cara menggunakan Symfony Security Bundle untuk melindungi aplikasi PHP anda.

1. Pasang Symfony Security Bundle

Pertama, pastikan anda telah memasang rangka kerja Symfony. Seterusnya, anda boleh memasang Symfony Security Bundle melalui Composer. Jalankan arahan berikut dalam baris arahan:

composer require symfony/security-bundle

Selepas pemasangan selesai, anda perlu mendaftarkan Bundle dalam fail config/bundles.php: config/bundles.php文件中注册Bundle：

<?php

return [
    // ...
    SymfonyBundleSecurityBundleSecurityBundle::class => ['all' => true],
];

完成上述步骤后，您已经成功安装了Symfony Security Bundle。

二、配置安全验证

在Symfony中，安全验证的配置主要在security.yaml文件中完成。在项目的config文件夹下面创建一个名为security.yaml的文件，并进行以下基本配置：

security:
  encoders:
    AppEntityUser:
      algorithm: bcrypt
  providers:
    app_user_provider:
      entity:
        class: AppEntityUser
        property: username
  firewalls:
    main:
      anonymous: ~
      form_login:
        login_path: login
        check_path: login
      logout:
        path: /logout
      remember_me:
        secret: '%env(APP_SECRET)%'
  access_control:
    - { path: ^/admin, roles: ROLE_ADMIN }
    - { path: ^/profile, roles: ROLE_USER }

在上面的示例中，我们配置了密码的加密算法为bcrypt，提供了一个名为app_user_provider的用户提供者，定义了登录和注销的路径，并设置了一个APP_SECRET的环境变量来保护记住我的功能。

三、创建用户实体

在上一步的配置中，我们已经定义了用户提供者，现在需要创建一个用户实体类。创建一个名为User.php的文件，并编写以下代码：

<?php

namespace AppEntity;

use SymfonyComponentSecurityCoreUserUserInterface;

class User implements UserInterface
{
    private $id;
    private $username;
    private $password;
    private $roles = [];

    // 省略构造函数和getter/setter方法

    public function getRoles(): array
    {
        return $this->roles;
    }

    public function getPassword(): string
    {
        return $this->password;
    }

    public function getSalt()
    {
        // 不使用Salt
    }

    public function getUsername(): string
    {
        return $this->username;
    }

    public function eraseCredentials()
    {
        // 没有需要擦除的凭据
    }
}

在上面的示例中，我们实现了UserInterface接口，并提供了必要的方法。

四、创建登录控制器

接下来，我们需要创建一个登录控制器来处理用户的登录请求。创建一个名为SecurityController.php的文件，并编写以下代码：

<?php

namespace AppController;

use SymfonyBundleFrameworkBundleControllerAbstractController;
use SymfonyComponentRoutingAnnotationRoute;
use SymfonyComponentSecurityHttpAuthenticationAuthenticationUtils;

class SecurityController extends AbstractController
{
    /**
     * @Route("/login", name="login")
     */
    public function login(AuthenticationUtils $authenticationUtils)
    {
        $error = $authenticationUtils->getLastAuthenticationError();

        return $this->render('security/login.html.twig', [
            'error' => $error
        ]);
    }

    /**
     * @Route("/logout", name="logout")
     */
    public function logout()
    {
        // 该方法留空，Symfony会自动处理注销过程
    }
}

在上面的示例中，我们使用了AuthenticationUtils服务来获取上一次身份验证失败的错误信息，并将它们传递给登录模板进行展示。

五、创建登录模板

最后，我们需要创建登录模板来实现登录页面的展示。在应用程序的templates/security文件夹下创建一个名为login.html.twig的文件，并编写以下代码：

{% extends 'base.html.twig' %}

{% block body %}
<h2>Login</h2>

{% if error %}
    <div class="alert alert-danger">{{ error.messageKey|trans(error.messageData, 'security') }}</div>
{% endif %}

<form action="{{ path('login') }}" method="post">
    <input type="hidden" name="_csrf_token" value="{{ csrf_token('authenticate') }}">

    <div class="form-group">
        <label for="username">Username</label>
        <input type="text" id="username" name="_username" value="{{ last_username }}" required autofocus>
    </div>

    <div class="form-group">
        <label for="password">Password</label>
        <input type="password" id="password" name="_password" required>
    </div>

    <button type="submit">Login</button>
</form>
{% endblock %}

在上面的示例中，我们使用了Twig模板引擎来渲染登录表单，并通过csrf_token方法来生成隐藏的CSRF令牌。

六、保护受限页面

根据我们在上面的access_control配置中设定的规则，我们可以用ROLE_ADMIN角色来保护/admin路径下的页面，用ROLE_USERrrreee

Selepas melengkapkan langkah di atas, anda telah berjaya memasang Symfony Security Bundle.

2. Konfigurasikan pengesahan keselamatan

Dalam Symfony, konfigurasi pengesahan keselamatan diselesaikan terutamanya dalam fail security.yaml. Cipta fail bernama security.yaml di bawah folder config projek dan lakukan konfigurasi asas berikut: 🎜rrreee🎜Dalam contoh di atas, kami mengkonfigurasi kata laluan Algoritma penyulitan ialah bcrypt , yang menyediakan pembekal pengguna bernama app_user_provider, mentakrifkan laluan log masuk dan log keluar, dan menetapkan pembolehubah persekitaran APP_SECRET untuk melindungi rekod Live my. 🎜🎜3. Cipta entiti pengguna🎜🎜Dalam konfigurasi langkah sebelumnya, kami telah menentukan pembekal pengguna, dan kini kami perlu mencipta kelas entiti pengguna. Cipta fail bernama User.php dan tulis kod berikut: 🎜rrreee🎜Dalam contoh di atas, kami telah melaksanakan antara muka UserInterface dan menyediakan kaedah yang diperlukan. 🎜🎜4. Cipta pengawal log masuk🎜🎜Seterusnya, kita perlu mencipta pengawal log masuk untuk mengendalikan permintaan log masuk pengguna. Cipta fail bernama SecurityController.php dan tulis kod berikut: 🎜rrreee🎜Dalam contoh di atas, kami menggunakan perkhidmatan AuthenticationUtils untuk mendapatkan mesej ralat kegagalan pengesahan terakhir dan lulus mereka ke templat log masuk untuk paparan. 🎜🎜5. Cipta templat log masuk🎜🎜Akhir sekali, kita perlu mencipta templat log masuk untuk memaparkan halaman log masuk. Cipta fail bernama login.html.twig di bawah folder template/security aplikasi anda dan tulis kod berikut: 🎜rrreee🎜Dalam contoh di atas, Kami menggunakan Twig enjin templat untuk memaparkan borang log masuk dan menjana token CSRF tersembunyi melalui kaedah csrf_token. 🎜🎜6. Lindungi halaman terhad🎜🎜Mengikut peraturan yang kami tetapkan dalam konfigurasi access_control di atas, kami boleh menggunakan peranan ROLE_ADMIN untuk melindungi halaman di bawah laluan /admin , gunakan peranan ROLE_USER untuk melindungi halaman di bawah laluan /profile. Pengguna dengan peranan yang sepadan mesti ditambah di bawah laluan pengawal yang sepadan untuk mengakses. 🎜🎜7. Ringkasan🎜🎜Dengan Symfony Security Bundle, kami boleh melaksanakan pengesahan keselamatan aplikasi PHP dengan mudah. Langkah-langkah yang diterangkan dalam artikel boleh membantu anda mula membina aplikasi yang lebih selamat. Sudah tentu, Symfony Security Bundle juga menyediakan ciri yang lebih maju, seperti mengesahkan dengan LDAP, mengkonfigurasi tembok api dan banyak lagi. Semoga artikel ini dapat membantu kajian anda. 🎜

Atas ialah kandungan terperinci Pengesahan keselamatan PHP dengan Symfony Security Bundle. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!