#symfony #access-control
#symfony #управление доступом
Вопрос:
Я хочу создать индексную страницу, представляющую зарегистрированному пользователю список URL-адресов ресурсов, к которым он может получить доступ в соответствии с назначенными ему ролями
Я нашел решение, проанализировав безопасность.файл yaml с использованием компонента Yaml и через раздел security.acces_control:
security:
......
access_control:
- {path: ^/admin, roles: ROLE_ADMIN}
- {path: ^/profile, roles: ROLE_USER}
- {path: ^/login, roles: IS_AUTHENTICATED_ANONYMOUSLY}
- {path: ^/register, roles: IS_AUTHENTICATED_ANONYMOUSLY}
- {path: ^/resetting, roles: IS_AUTHENTICATED_ANONYMOUSLY}
- {path: ^/path1, roles: ROLE_USER}
- {path: ^/path2, roles: ROLE_CONTRIBUTOR}
- .....
- {path: ^/pathn, roles: ROLE_CONTRIBUTOR}
Таким образом, если у вошедшего в систему пользователя есть только роль ROLE_USER , он будет видеть только /profile и /path1 на индексной странице.
Но я знаю, что этот способ сделать это — плохая практика. Есть ли у вас лучшее решение с компонентами Symfony, чтобы избежать синтаксического анализа security.yaml?
Я думал об использовании AccesMap, но служба security.acces_map является частной и не может быть использована.
Ответ №1:
Я нашел решение, основанное на классах AccessMap и AccessDecisionManager.
Поскольку AccessMap не подключается автоматически, необходимо написать и объявить сервис, позволяющий подключать его вручную.
Объявление этой службы в services.yaml:
AppSecurityUtilAccessControlInterface:
class: AppSecurityUtilAccessControl
arguments:
- '@security.access_map'
Код службы:
namespace AppSecurityUtil;
<? php declare (strict_types = 1);
interface AccessControlInterface {
/ **
* Checks if the connected user can access to $path.
*
* @param string $path
*
* @return bool
* /
public function isPathAuthorized (string $path);
}
и
<? php declare (strict_types = 1);
namespace AppSecurityUtil;
use SymfonyComponentHttpFoundationRequest;
use SymfonyComponentHttpFoundationRequestStack;
use SymfonyComponentSecurityCoreAuthorizationAccessDecisionManagerInterface;
use SymfonyComponentSecurityCoreAuthenticationTokenStorageTokenStorageInterface;
use SymfonyComponentSecurityHttpAccessMapInterface;
class AccessControl implements AccessControlInterface
{
/ **
* @var array
* /
protected $server;
/ **
* @var string
* /
protected $baseUrl;
/ **
* @varSymfonyComponentSecurityHttpAccessMapInterface
* /
protected $accessMap;
/ **
* @varSymfonyComponentSecurityCoreAuthenticationTokenStorageTokenStorageInterface
* /
protected $tokenStorage;
/ **
* @varSymfonyComponentSecurityCoreAuthorizationAccessDecisionManagerInterface
* /
protected $accessDecisionManager;
public function __construct (
AccessMapInterface $accessMap,
RequestStack $requestStack,
TokenStorageInterface $tokenStorage,
AccessDecisionManagerInterface $accessDecisionManager
)
{
$this->accessMap = $accessMap;
$this->server = $requestStack->getCurrentRequest()->server->all();
$this->baseUrl = $requestStack->getCurrentRequest()->getBaseUrl();
$this->tokenStorage = $tokenStorage;
$this->accessDecisionManager = $accessDecisionManager;
}
public function isPathAuthorized (string $path)
{
$request = Request::create ($this->baseUrl. $path, 'GET', [], [], [], $this->server);
$token = $this->tokenStorage->getToken();
[$attributes] = $this->accessMap->getPatterns ($request);
if (null === $attributes) {
$attributes = ['IS_AUTHENTICATED_ANONYMOUSLY'];
}
return $this->accessDecisionManager->decide($token, $attributes, $request);
}
}
Возможное использование с контроллера:
use AppSecurityUtilAccessControlInterface;
...
class IndexController extends AbstractController {
public function index (Request $request, AccessControlInterface $accessControl)
{
if ($accessControl->isPathAuthorized("/path1")) {
// do stuff
}
}
}