php – 如何在Symfony2中动态处理角色|权限:使用动态角色限制函数

2022-12-01 12:03:19

本文旨在成为this帖子的第二部分,因此您可能需要阅读它才能理解这个问题.拥有该信息和上一篇文章的答案,并且还发现this有用的UserBundle,它可以帮助我作为一个例子来说明角色和用户之间可能的关系,我可能会问:

>我有动态角色,现在我如何使用这些新角色?

我的意思是,例如,我想将现有的函数限制为动态创建的角色ROLE_NEWROLE,因此在基本代码(原始资源)上不存在,那么如何将现有函数限制为该新角色?以文档here为例:

use Sensio\Bundle\FrameworkExtraBundle\Configuration\Security;

class PostController extends Controller
{
    /**
     * @Security("has_role('ROLE_ADMIN')")
     */
    public function indexAction()
    {
        // ...
    }
}

上面的代码假定ROLE_ADMIN已经在某处以某种方式声明了但是如果我想通过安全组件将新的ROLE_NEWROLE添加到该函数呢?我是否需要一直触摸我的代码?这根本不好笑,所以我想知道你对这个话题的看法.

解决方法:

在我们讨论这个before时,你需要实现EventListener,它将监听你的onKernelRequest.

简单来说,这意味着在访问原始控制器之前,所有Controller操作都将首先执行onKernelRequest.所以这样你就不用写了

/**
* @Security("has_role('ROLE_ADMIN')")
*/

在每个控制器动作中.

现在,它取决于你想要在这个方法中做什么.我的方法是创建一个将ROLE与ROUTE联系起来的表.此表格相对较大,因为您必须包含您想要访问所有ROUTES的所有ROLES.

表结构可以是这样的:

ACCESSID      ROLENAME                ROUTENAME
    1       ROLE_NEWUSER       contacts_lookup_homepage
    2       ROLE_SUPER_USER    contacts_lookup_homepage

根据此表,只有ROLE_NEWUSER和ROLE_SUPER_USER才有资格访问路线contacts_lookup_homepage

这样,现在只允许那些角色访问contacts_lookup_homepage路由.现在在onKernelRequest上,您将要查询此表并检查该路由是否与该角色匹配.您可以使用此方法访问这两种方法.这些路由与您在每个路由的routing.yml文件中定义的路由相同.如果您不确定,它看起来像这样:

contacts_lookup_homepage:
    path:     /Contacts/Lookup
    defaults: { _controller: ContactsLookupBundle:Default:index }

现在终于在你的onKernelRequest中你可以这样做:

public function onKernelRequest(GetResponseEvent $event)
{
    $request = $event->getRequest();
    $route  = $request->attributes->get('_route');
    $routeArr = array('fos_js_routing_js', 'fos_user_security_login', '_wdt'); //These are excluded routes. These are always allowed. Required for login page
    $roleArr = $this->token_storage->getToken()->getUser()->getRoles();

    if(!is_int(array_search($route, $routeArr))) //This is for excluding routes that you don't want to check for.
    {
        //Check for a matching role and route
        $qb = $this->em->getRepository('AppBundle:UserAccess')->createQueryBuilder('o');
        $qb
            ->select('o')
            ->where('o.ROLENAME IN (:roleArr)')
            ->setParameter('roleArr', $roleArr)
            ->andWhere('o.ROUTENAME = :route')
            ->setParameter('route', $route)
        ;
        $result = $qb->getQuery()->getArrayResult();
        if(empty($result))
        {
            //A matching role and route was not found so we do not give access to the user here and redirect to another page.
            $event->setResponse(new RedirectResponse($this->router->generate('user_management_unauthorized_user', array())));
        }
    }
}

services.yml可以是这样的:

services:
    app.tokens.action_listener:
        class: EventListenerBundle\EventListener\TokenListener
        arguments:
            entityManager: "@doctrine.orm.entity_manager"
            token_storage: "@security.token_storage"
            templating: "@templating"
            router: "@router"
            resolver: "@controller_resolver"
        tags:
            - { name: kernel.event_listener, event: kernel.request, method: onKernelRequest }

这将保证没有未经授权的用户访问未经授权的控制器操作.我希望能让您对实施有所了解.

上一篇:Android:Google Maps Android API:授权失败


下一篇:python – 使用Google身份验证的Appengine ACL