Механизм аутентификации на основе доктрин в проекте Symfony2 - PullRequest
Новая
       10

Механизм аутентификации на основе доктрин в проекте Symfony2

14 голосов
/ 16 января 2011

Я работаю над небольшим проектом с поддержкой Doctrine2, использующим Symfony2 впервые.В настоящее время я борюсь с компонентом безопасности symfony2, а точнее с механизмом аутентификации, описанным в документации .

Я хочу использовать аутентификацию на основе форм и сделал все, что указано в документации:

У меня есть файл конфигурации security.yml, который выглядит так: 

security.config:
    firewalls:
        admin:
            pattern:                             /admin/.*
            form-login:                          true
            logout:                              true
            login_path:                          /login
            check_path:                          /validateLogin
            always_use_default_target_path:      false
            target_path_parameter:               target
        check_page:
            pattern:                             /validateLogin
            form-login:                          true
            login_path:                          /login
            check_path:                          /validateLogin
            always_use_default_target_path:      false
            target_path_parameter:               target
        public:
            pattern:                             /.*
            security:                            false
    providers:
        admin:
            password_encoder:                    md5
            entity:
                class:                           AdminBundle:User
                property:                        username
    access_control:
        - { path: /admin/.*, role: ROLE_ADMIN }
        - { path: /validateLogin, role: IS_AUTHENTICATED_ANONYMOUSLY }
    role_hierarchy:
        ROLE_ADMIN:       ROLE_USER

Страница check_ исключается из области "secureless" после прочтения аналогичной темы на devcomments .

В моей конфигурации маршрутизации я включаю два правила для аутентификации: 

_security_login:
    pattern:                      /login
    defaults:    
        _controller:              PublicBundle:Auth:index

_security_check:
    pattern:                      /validateLogin

Класс сущности, который я использую для представления пользователя, является сущностью Doctrine2 и реализует AccountInterface: 

<?php

namespace Application\AdminBundle\Entity;

use Symfony\Component\Security\User\AccountInterface;

/**
 * @orm:Entity
 */
class User implements AccountInterface
{
/**
 * @orm:Id
 * @orm:Column(type="integer")
 * @orm:GeneratedValue(strategy="IDENTITY")
 */
protected $id;
/**
 * @orm:Column(type="string", length="255")
 */
protected $username;
/**
 * @orm:Column(type="string", length="40")
 */
protected $password;

public function getId()
{
    return $this->id;
}

public function setId($id)
{
    $this->id = $id;
}

public function getUsername()
{
    return $this->username;
}

public function setUsername($username)
{
    $this->username = $username;
}

public function getPassword()
{
    return $this->password;
}

public function setPassword($password)
{
    $this->password = $password;
}

/**
 * Implementing the AccountInterface interface
 */
public function __toString()
{
    return $this->getUsername();
}

public function getRoles()
{
    return array('ROLE_ADMIN');
}

public function eraseCredentials()
{

}

public function getSalt()
{
    return $this->getId();
}
}

В классе AuthController я использую пример кода из документов symfony2: 

public function indexAction()
{
    if ($this->get('request')->attributes->has(SecurityContext::AUTHENTICATION_ERROR)) {
        $error = $this->get('request')->attributes->get(SecurityContext::AUTHENTICATION_ERROR);
    } else {
        $error = $this->get('request')->getSession()->get(SecurityContext::AUTHENTICATION_ERROR);
    }

    return
        $this->render(
            'PublicBundle:Auth:index.twig',
            array(
                'last_username' => $this->get('request')->getSession()->get(SecurityContext::LAST_USERNAME),
                'error' => $error));
}

Теперь возникает проблема: правило перенаправления с http://symfony2.localhost/app_dev.php/admin/test на http://symfony2.localhost/app_dev.php/login работает, но после ввода имени пользователя / пароля и отправки формы входа в систему меня снова перенаправляют на URL входа безсообщение об ошибке.

Я знаю, что это, вероятно, действительно базовая проблема, но поскольку документации по symfony2 еще не много, я думаю, что этоНаше место, чтобы задавать такие вопросы, как этот.В целом, в проекте symfony2 есть некоторые моменты, которые, кажется, работают магически (конечно, с помощью DI), что делает процесс обучения немного сложным.Мои мысли о том, как работает аутентификация, заключаются в том, что существует некоторый магический контроллер, который перехватывает действие validateLogin, ищет хранилище сущностей для моей сущности User, вызывает findOneBy ('username' => $ username) и сравнивает пароли ...верно?

Заранее спасибо за любой намек, я уже несколько часов ищу эту проблему ... :)

Пол

Ответы [ 3 ]

20 голосов
/ 23 января 2011

Мои мысли о том, как работает аутентификация, заключаются в том, что существует какой-то магический контроллер, который перехватывает действие validateLogin, ищет хранилище сущностей для моей сущности User, вызывает findOneBy ('username' => $ username) и сравнивает пароли. это правильно?

Ты не прав. Аутентификация не требует никакого контроллера, поэтому вы не указываете ни одного в _security_check маршруте. Auth основан на EventDispatcher. Всякий раз, когда вы указываете какого-либо слушателя в брандмауэре (например, form_login, anonymous, logout и т. Д.), Вы фактически регистрируете нового слушателя для события core.security. Symfony\Component\HttpKernel\Security\Firewall::handle() - это место, где эти слушатели фактически зарегистрированы.

Общий, упрощенный поток:

  1. Пользователь заполняет форму входа (поля _username и _password).
  2. Запрос обрабатывается Symfony2.
  3. core.security событие сработало.
  4. EventDispatcher уведомляет всех слушателей.
  5. UsernamePasswordFormAuthenticationListener запускается (метод handle()) и проверяет:
    1. URL соответствует опции check_path.
    2. Запрос имеет параметры _username и _password.
  6. Слушатель пытается аутентифицировать пользователя (attemptAuthentication() метод).
  7. Диспетчер аутентификации запускает всех зарегистрированных провайдеров.
  8. Наконец, DaoAuthenticationProvider запускается и пытается получить пользователя, используя класс хранилища данных Doctrine.
  9. Если все в порядке UsernamePasswordToken (который содержит $user объект, возвращенный методом loadUserByUsername()) возвращается и пользователь перенаправляется.

Действительно, механизм безопасности довольно сложен и труден для понимания (документация еще не закончена). Но когда вы, наконец, поймете, как это работает, вы увидите, насколько это мощный механизм.

Я написал свой собственный механизм аутентификации, и он отлично работает.

  1. Конфигурация:

    Я использую собственный провайдер и кодировщик. 

    security.config:
    providers:
        main:
            id:         project.user_repository # DI id. Doctrine's UserRepositry
            check_path: /login-check
    encoders:
        main:
            class: Project\SiteBundle\Entity\User
            id:    security.encoder.sha512     # DI id. Service %security.encoder.digest.class% (with "sha512" as first parameter)
    firewalls:
        restricted:
            pattern:    /panel/.*
            form_login: 
                check_path: /login-check
        public:
            pattern:    /.*
            anonymous:  true
            form_login: 
                check_path: /login-check
            logout:     true
    access_control:
        - { path: /panel/.*, role: ROLE_USER }
        - { path: /.*, role: IS_AUTHENTICATED_ANONYMOUSLY }

    Как видите, /panel/* ограничен, в то время как /* общедоступен.

  2. Сервис security.encoder.sha512 - это встроенный кодировщик: 

    <service id="security.encoder.sha512" class="%security.encoder.digest.class%">
    <argument>sha512</argument>
</service>

  3. Project\SiteBundle\Entity\User 

    /**
 * @orm:Entity(repositoryClass="Project\SiteBundle\Repository\UserRepository")
 */
class User implements AdvancedAccountInterface {
    /** 
     * @orm:Id @orm:Column(type="integer")
     * @orm:GeneratedValue(strategy="AUTO")
     */
    protected $id;

    /**
     * @orm:Column(unique=true, nullable=true)
     */
    protected $email;

    /**
     * @orm:Column(unique=true, nullable=true)
     */
    protected $xmpp;

    /**
     * @orm:Column(length=128)
     */
    protected $password;

    /**
     * @orm:Column(length=16)
     */
    protected $salt;

    // User can be logged in using email address or xmpp adress.

    // Dozens of getters/setters here.
}

  4. Project\SiteBundle\Repository\UserRepository

    class UserRepository extends EntityRepository implements UserProviderInterface {
    public function loadUserByUsername($username) {
        $dql = sprintf('
            SELECT u
            FROM %s u
            WHERE u.email = :id OR u.xmpp = :id
        ', $this->_entityName);

        $user = null;

        try {
            $user = $this->_em->createQuery($dql)->setParameter('id', $username)->getSingleResult();
        } catch (ORMException $e) {
            throw new UsernameNotFoundException("User $username not found.", $e->getCode(), $e);
        }

        return $user;
    }

    public function loadUserByAccount(AccountInterface $user) {
        return $this->loadUserByUsername($user->getUsername());
    }
}

  5. Маршруты безопасности и контроллер такие же, как у вас.

4 голосов
/ 20 января 2011

Вы должны использовать https://github.com/FriendsOfSymfony/FOSUserBundle FOS UserBundle, он реализует все это с Doctrine 2 и имеет множество функций.

1 голос
/ 31 января 2011

По сути, причина, по которой страница входа в систему загружается снова без сообщения об ошибке, заключается в том, что, по иронии судьбы, ваши настройки безопасности не настроены на анонимный доступ к странице входа в систему.

...