Pengesahan keselamatan PHP dengan Symfony Security Bundle-tutorial php-php.cn

Rumah

pembangunan bahagian belakang

tutorial php

Pengesahan keselamatan PHP dengan Symfony Security Bundle

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 24, 2023 pm 02:25 PM

phpsymfonysecurity

Pengesahan Keselamatan PHP dengan Symfony Security Bundle

Symfony ialah rangka kerja pembangunan PHP yang popular yang menyediakan ciri yang kaya dan berkuasa untuk memudahkan proses pembangunan aplikasi web. Salah satu fungsi utama ialah pengesahan keselamatan Symfony melaksanakan pengesahan dan kebenaran dengan menyepadukan Security Bundle. Dalam artikel ini, kami akan membincangkan cara menggunakan Symfony Security Bundle untuk melindungi aplikasi PHP anda.

1. Pasang Symfony Security Bundle

Pertama, pastikan anda telah memasang rangka kerja Symfony. Seterusnya, anda boleh memasang Symfony Security Bundle melalui Composer. Jalankan arahan berikut dalam baris arahan:

composer require symfony/security-bundle

Selepas pemasangan selesai, anda perlu mendaftarkan Bundle dalam fail config/bundles.php: config/bundles.php文件中注册Bundle：

<?php

return [
    // ...
    SymfonyBundleSecurityBundleSecurityBundle::class => ['all' => true],
];

完成上述步骤后，您已经成功安装了Symfony Security Bundle。

二、配置安全验证

在Symfony中，安全验证的配置主要在security.yaml文件中完成。在项目的config文件夹下面创建一个名为security.yaml的文件，并进行以下基本配置：

security:
  encoders:
    AppEntityUser:
      algorithm: bcrypt
  providers:
    app_user_provider:
      entity:
        class: AppEntityUser
        property: username
  firewalls:
    main:
      anonymous: ~
      form_login:
        login_path: login
        check_path: login
      logout:
        path: /logout
      remember_me:
        secret: '%env(APP_SECRET)%'
  access_control:
    - { path: ^/admin, roles: ROLE_ADMIN }
    - { path: ^/profile, roles: ROLE_USER }

在上面的示例中，我们配置了密码的加密算法为bcrypt，提供了一个名为app_user_provider的用户提供者，定义了登录和注销的路径，并设置了一个APP_SECRET的环境变量来保护记住我的功能。

三、创建用户实体

在上一步的配置中，我们已经定义了用户提供者，现在需要创建一个用户实体类。创建一个名为User.php的文件，并编写以下代码：

<?php

namespace AppEntity;

use SymfonyComponentSecurityCoreUserUserInterface;

class User implements UserInterface
{
    private $id;
    private $username;
    private $password;
    private $roles = [];

    // 省略构造函数和getter/setter方法

    public function getRoles(): array
    {
        return $this->roles;
    }

    public function getPassword(): string
    {
        return $this->password;
    }

    public function getSalt()
    {
        // 不使用Salt
    }

    public function getUsername(): string
    {
        return $this->username;
    }

    public function eraseCredentials()
    {
        // 没有需要擦除的凭据
    }
}

在上面的示例中，我们实现了UserInterface接口，并提供了必要的方法。

四、创建登录控制器

接下来，我们需要创建一个登录控制器来处理用户的登录请求。创建一个名为SecurityController.php的文件，并编写以下代码：

<?php

namespace AppController;

use SymfonyBundleFrameworkBundleControllerAbstractController;
use SymfonyComponentRoutingAnnotationRoute;
use SymfonyComponentSecurityHttpAuthenticationAuthenticationUtils;

class SecurityController extends AbstractController
{
    /**
     * @Route("/login", name="login")
     */
    public function login(AuthenticationUtils $authenticationUtils)
    {
        $error = $authenticationUtils->getLastAuthenticationError();

        return $this->render('security/login.html.twig', [
            'error' => $error
        ]);
    }

    /**
     * @Route("/logout", name="logout")
     */
    public function logout()
    {
        // 该方法留空，Symfony会自动处理注销过程
    }
}

在上面的示例中，我们使用了AuthenticationUtils服务来获取上一次身份验证失败的错误信息，并将它们传递给登录模板进行展示。

五、创建登录模板

最后，我们需要创建登录模板来实现登录页面的展示。在应用程序的templates/security文件夹下创建一个名为login.html.twig的文件，并编写以下代码：

{% extends 'base.html.twig' %}

{% block body %}
<h2 id="Login">Login</h2>

{% if error %}
    <div class="alert alert-danger">{{ error.messageKey|trans(error.messageData, 'security') }}</div>
{% endif %}

<form action="{{ path('login') }}" method="post">
    <input type="hidden" name="_csrf_token" value="{{ csrf_token('authenticate') }}">

    <div class="form-group">
        <label for="username">Username</label>
        <input type="text" id="username" name="_username" value="{{ last_username }}" required autofocus>
    </div>

    <div class="form-group">
        <label for="password">Password</label>
        <input type="password" id="password" name="_password" required>
    </div>

    <button type="submit">Login</button>
</form>
{% endblock %}

在上面的示例中，我们使用了Twig模板引擎来渲染登录表单，并通过csrf_token方法来生成隐藏的CSRF令牌。

六、保护受限页面

根据我们在上面的access_control配置中设定的规则，我们可以用ROLE_ADMIN角色来保护/admin路径下的页面，用ROLE_USERrrreee

Selepas melengkapkan langkah di atas, anda telah berjaya memasang Symfony Security Bundle.

2. Konfigurasikan pengesahan keselamatan

Dalam Symfony, konfigurasi pengesahan keselamatan diselesaikan terutamanya dalam fail security.yaml. Cipta fail bernama security.yaml di bawah folder config projek dan lakukan konfigurasi asas berikut: 🎜rrreee🎜Dalam contoh di atas, kami mengkonfigurasi kata laluan Algoritma penyulitan ialah bcrypt , yang menyediakan pembekal pengguna bernama app_user_provider, mentakrifkan laluan log masuk dan log keluar, dan menetapkan pembolehubah persekitaran APP_SECRET untuk melindungi rekod Live my. 🎜🎜3. Cipta entiti pengguna🎜🎜Dalam konfigurasi langkah sebelumnya, kami telah menentukan pembekal pengguna, dan kini kami perlu mencipta kelas entiti pengguna. Cipta fail bernama User.php dan tulis kod berikut: 🎜rrreee🎜Dalam contoh di atas, kami telah melaksanakan antara muka UserInterface dan menyediakan kaedah yang diperlukan. 🎜🎜4. Cipta pengawal log masuk🎜🎜Seterusnya, kita perlu mencipta pengawal log masuk untuk mengendalikan permintaan log masuk pengguna. Cipta fail bernama SecurityController.php dan tulis kod berikut: 🎜rrreee🎜Dalam contoh di atas, kami menggunakan perkhidmatan AuthenticationUtils untuk mendapatkan mesej ralat kegagalan pengesahan terakhir dan lulus mereka ke templat log masuk untuk paparan. 🎜🎜5. Cipta templat log masuk🎜🎜Akhir sekali, kita perlu mencipta templat log masuk untuk memaparkan halaman log masuk. Cipta fail bernama login.html.twig di bawah folder template/security aplikasi anda dan tulis kod berikut: 🎜rrreee🎜Dalam contoh di atas, Kami menggunakan Twig enjin templat untuk memaparkan borang log masuk dan menjana token CSRF tersembunyi melalui kaedah csrf_token. 🎜🎜6. Lindungi halaman terhad🎜🎜Mengikut peraturan yang kami tetapkan dalam konfigurasi access_control di atas, kami boleh menggunakan peranan ROLE_ADMIN untuk melindungi halaman di bawah laluan /admin , gunakan peranan ROLE_USER untuk melindungi halaman di bawah laluan /profile. Pengguna dengan peranan yang sepadan mesti ditambah di bawah laluan pengawal yang sepadan untuk mengakses. 🎜🎜7. Ringkasan🎜🎜Dengan Symfony Security Bundle, kami boleh melaksanakan pengesahan keselamatan aplikasi PHP dengan mudah. Langkah-langkah yang diterangkan dalam artikel boleh membantu anda mula membina aplikasi yang lebih selamat. Sudah tentu, Symfony Security Bundle juga menyediakan ciri yang lebih maju, seperti mengesahkan dengan LDAP, mengkonfigurasi tembok api dan banyak lagi. Semoga artikel ini dapat membantu kajian anda. 🎜

Atas ialah kandungan terperinci Pengesahan keselamatan PHP dengan Symfony Security Bundle. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Artikel Berkaitan

Penggunaan PHP yang berterusan: Sebab -sebab ketahanannyaApr 19, 2025 am 12:23 AM

Apa yang masih popular adalah kemudahan penggunaan, fleksibiliti dan ekosistem yang kuat. 1) Kemudahan penggunaan dan sintaks mudah menjadikannya pilihan pertama untuk pemula. 2) Bersepadu dengan pembangunan web, interaksi yang sangat baik dengan permintaan HTTP dan pangkalan data. 3) Ekosistem yang besar menyediakan banyak alat dan perpustakaan. 4) Komuniti aktif dan Sumber Sumber Terbuka menyesuaikan mereka dengan keperluan baru dan trend teknologi.

PHP dan Python: Meneroka Persamaan dan Perbezaan merekaApr 19, 2025 am 12:21 AM

PHP dan Python adalah kedua-dua bahasa pengaturcaraan peringkat tinggi yang digunakan secara meluas dalam pembangunan web, pemprosesan data dan tugas automasi. 1.Php sering digunakan untuk membina laman web dinamik dan sistem pengurusan kandungan, sementara Python sering digunakan untuk membina kerangka web dan sains data. 2.Php Menggunakan Echo ke Kandungan Output, Python Menggunakan Cetakan. 3. Kedua-dua sokongan pengaturcaraan berorientasikan objek, tetapi sintaks dan kata kunci adalah berbeza. 4. PHP menyokong penukaran jenis lemah, manakala Python lebih ketat. 5. Pengoptimuman Prestasi PHP termasuk menggunakan OPCACHE dan pengaturcaraan asynchronous, manakala Python menggunakan pengaturcaraan CProfile dan tak segerak.

PHP dan Python: Paradigma yang berbeza dijelaskanApr 18, 2025 am 12:26 AM

PHP terutamanya pengaturcaraan prosedur, tetapi juga menyokong pengaturcaraan berorientasikan objek (OOP); Python menyokong pelbagai paradigma, termasuk pengaturcaraan OOP, fungsional dan prosedur. PHP sesuai untuk pembangunan web, dan Python sesuai untuk pelbagai aplikasi seperti analisis data dan pembelajaran mesin.

PHP dan Python: menyelam mendalam ke dalam sejarah merekaApr 18, 2025 am 12:25 AM

PHP berasal pada tahun 1994 dan dibangunkan oleh Rasmuslerdorf. Ia pada asalnya digunakan untuk mengesan pelawat laman web dan secara beransur-ansur berkembang menjadi bahasa skrip sisi pelayan dan digunakan secara meluas dalam pembangunan web. Python telah dibangunkan oleh Guidovan Rossum pada akhir 1980 -an dan pertama kali dikeluarkan pada tahun 1991. Ia menekankan kebolehbacaan dan kesederhanaan kod, dan sesuai untuk pengkomputeran saintifik, analisis data dan bidang lain.

Memilih antara php dan python: panduanApr 18, 2025 am 12:24 AM

PHP sesuai untuk pembangunan web dan prototaip pesat, dan Python sesuai untuk sains data dan pembelajaran mesin. 1.Php digunakan untuk pembangunan web dinamik, dengan sintaks mudah dan sesuai untuk pembangunan pesat. 2. Python mempunyai sintaks ringkas, sesuai untuk pelbagai bidang, dan mempunyai ekosistem perpustakaan yang kuat.

PHP dan Rangka Kerja: Memodenkan bahasaApr 18, 2025 am 12:14 AM

PHP tetap penting dalam proses pemodenan kerana ia menyokong sejumlah besar laman web dan aplikasi dan menyesuaikan diri dengan keperluan pembangunan melalui rangka kerja. 1.Php7 meningkatkan prestasi dan memperkenalkan ciri -ciri baru. 2. Rangka kerja moden seperti Laravel, Symfony dan CodeIgniter memudahkan pembangunan dan meningkatkan kualiti kod. 3. Pengoptimuman prestasi dan amalan terbaik terus meningkatkan kecekapan aplikasi.

Impak PHP: Pembangunan Web dan seterusnyaApr 18, 2025 am 12:10 AM

Phphassignificantelympactedwebdevelopmentandextendsbeyondit.1) itpowersmajorplatformslikeworderpressandexcelsindatabaseIntions.2) php'SadaptabilityAldoStoScaleforlargeapplicationFrameworksLikelara.3)

Bagaimanakah jenis membayangkan jenis PHP, termasuk jenis skalar, jenis pulangan, jenis kesatuan, dan jenis yang boleh dibatalkan?Apr 17, 2025 am 12:25 AM

Jenis PHP meminta untuk meningkatkan kualiti kod dan kebolehbacaan. 1) Petua Jenis Skalar: Oleh kerana Php7.0, jenis data asas dibenarkan untuk ditentukan dalam parameter fungsi, seperti INT, Float, dan lain -lain. 2) Return Type Prompt: Pastikan konsistensi jenis nilai pulangan fungsi. 3) Jenis Kesatuan Prompt: Oleh kerana Php8.0, pelbagai jenis dibenarkan untuk ditentukan dalam parameter fungsi atau nilai pulangan. 4) Prompt jenis yang boleh dibatalkan: membolehkan untuk memasukkan nilai null dan mengendalikan fungsi yang boleh mengembalikan nilai null.

See all articles

Alat AI Hot

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Penyingkiran pakaian AI

AI Hentai Generator

Menjana ai hentai secara percuma.

Tunjukkan Lagi

Artikel Panas

Assassin's Creed Shadows: Penyelesaian Riddle Seashell

3 minggu yang laluByDDD

Apa yang Baru di Windows 11 KB5054979 & Cara Memperbaiki Masalah Kemas Kini

2 minggu yang laluByDDD

Di mana untuk mencari kad kunci kawalan kren di atomfall

3 minggu yang laluByDDD

Penjimatan di R.E.P.O. Dijelaskan (dan simpan fail)

1 bulan yang laluBy尊渡假赌尊渡假赌尊渡假赌

Assassin's Creed Shadows - Cara Mencari Orang Panda

4 minggu yang laluByDDD

Tunjukkan Lagi

Alat panas

Notepad++7.3.1

Editor kod yang mudah digunakan dan percuma

SecLists

SecLists ialah rakan penguji keselamatan muktamad. Ia ialah koleksi pelbagai jenis senarai yang kerap digunakan semasa penilaian keselamatan, semuanya di satu tempat. SecLists membantu menjadikan ujian keselamatan lebih cekap dan produktif dengan menyediakan semua senarai yang mungkin diperlukan oleh penguji keselamatan dengan mudah. Jenis senarai termasuk nama pengguna, kata laluan, URL, muatan kabur, corak data sensitif, cangkerang web dan banyak lagi. Penguji hanya boleh menarik repositori ini ke mesin ujian baharu dan dia akan mempunyai akses kepada setiap jenis senarai yang dia perlukan.