最近改了下之前用symfony做的项目,然后,突然发现防火墙失效了,简单说就是再未登录状态下居然可以访问配置了ROLE_USER、ROLE_ADMIN这些权限的路由,symfony框架很强大,但是文档太拉跨,尤其关于防火墙配置这块真的就是说了个屁。由于时间过的太久,一些防火墙配置的关键特性忘记了,排查解决这个问题花了1天时间、郁闷,做个笔记吧,避免下次再忘。。。

symfony的安全组件名为 symfony/security-bundle,一般创建项目后就已经有了,也可以单独composer require;

配置

配置文件:

# config/packages/security.yaml

安全组件配置的几个关键特性:

  1. providers 用户提供者(至少有一个)一般为用户实体
  2. firewalls 防火墙(可以有多个,通过firewalls.pattern属性里的正则匹配路由)
  3. guard.authenticators 路由守卫/身份验证程序(一个服务名)
  4. access_control 访问控制指定某个/某些路由的访问权限(可以使用正则,更精确的匹配规则会覆盖宽泛的匹配规则)

案例:

# config/packages/security.yaml
security:

    # https://symfony.com/doc/current/security.html#where-do-users-come-from-user-providers

    providers:

      # users_in_memory: { memory: null }

      app_user_provider:

        entity:

          class: 'App\Entity\User'

          property: 'username'       

    firewalls:

      dev:

        pattern: ^/(_(profiler|wdt)|css|images|js)/

        security: false

      api:

        pattern: ^/api/

        stateless: true

        anonymous: true

        provider: app_user_provider

        guard:

          authenticators:

            - lexik_jwt_authentication.jwt_token_authenticator           

      main:

        pattern: ^/_api/

        stateless: true

        anonymous: true

        # anonymous: lazy

        provider: app_user_provider

        # logout: ~

        # json_login:

        #   check_path: /_api/authentication

        #   username_path: username

        #   password_path: password

        #   success_handler: lexik_jwt_authentication.handler.authentication_success

        #   failure_handler: lexik_jwt_authentication.handler.authentication_failure

        guard:

          authenticators:

            - lexik_jwt_authentication.jwt_token_authenticator        

    # 7-31

    encoders:

      # legacy:

      #   algorithm: sha256

      #   encode_as_base64: false

      #   iterations: 1

      # use your user class name here

      App\Entity\User:

        # the new encoder, along with its options

        algorithm: sha256  # 指定用户密码的编码算法

        migrate_from:

          - bcrypt # uses the "bcrypt" encoder with the default options

          - legacy # uses the "legacy" encoder configured above

    # Easy way to control access for large sections of your site

    # Note: Only the *first* access control that matches will be used

    access_control:

      # 无需登录的路由

      - { path: /_api/pano_like, roles: IS_AUTHENTICATED_ANONYMOUSLY }

      - { path: /_api/project/rand, roles: IS_AUTHENTICATED_ANONYMOUSLY }

      # 登录注册相关

      - { path: /_api/authentication, roles: IS_AUTHENTICATED_ANONYMOUSLY }

      - { path: /_api/register, roles: IS_AUTHENTICATED_ANONYMOUSLY }

      - { path: /_api/refresh, roles: IS_AUTHENTICATED_ANONYMOUSLY }

      - { path: /_api/auth_code, roles: IS_AUTHENTICATED_ANONYMOUSLY }

      - { path: /_api/reset_pass_auth_code, roles: IS_AUTHENTICATED_ANONYMOUSLY }

      # api 文档页

      - { path: ^/api$, roles: IS_AUTHENTICATED_ANONYMOUSLY }

      # - { path: /, roles: IS_AUTHENTICATED_ANONYMOUSLY  }

      # 需要控制权限的路由

      - { path: ^/api/, roles: ROLE_USER }

      - { path: ^/_api/, roles: ROLE_USER }

      - { path: ^/admin, roles: ROLE_ADMIN }

    # 角色分层

    role_hierarchy:

      ROLE_ADMIN:       ROLE_USER

      ROLE_SUPER_ADMIN: [ROLE_ADMIN, ROLE_ALLOWED_TO_SWITCH]

      ^ROLE_CUSTOM_:    ROLE_USER      #自定义角色继承ROLE_USER

我这里使用的是symfony4.4,其他版本类似。

官方文档:安全性 (Symfony 4.4 Docs)

symfony框架安全组件(security)防火墙配置的更多相关文章

  1. Vue 框架-11-介绍src文件流程及根组件app+HBuilder 配置

    Vue 框架-11-介绍src文件流程及根组件app+HBuilder 配置 这是上一篇对目录简单介绍: 关于编辑器,可以使用轻量级的 Sublime Text 3,我使用的是 HBuilder, 但 ...

  2. Linux防火墙配置与管理(16)

    防火墙指的是一个由软件和硬件设备组合而成.在内部网和外部网之间.专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intra ...

  3. Symfony 框架实战教程——第一天:创建项目(转)

    这个系列的实战博客真是太有用了,很多例子自己调试也是通的,不同于很多网上不同的实战例子...附上原文地址  https://www.chrisyue.com/symfony-in-action-day ...

  4. Security命名空间配置

    http://www.mossle.com/docs/springsecurity3/html/ns-config.html Security命名空间配置 2.1. 介绍 从Spring-2.0开始可 ...

  5. Spring mvc Security安全配置

    Spring Security笔记:自定义Login/Logout Filter.AuthenticationProvider.AuthenticationToken SPRING SECURITY ...

  6. 6. Samba服务和防火墙配置笔记

    Samba文件服务器 (一)简介 内网文件服务器 windows-windows 文件共享服务 网络邻居linux-linux NFS windows-linux Samba (二)端口 smbd: ...

  7. setup 命令中防火墙配置选项无法打开

    故障提示 1.1 如何让setup 命令中防火墙配置生效 1.1.1 CentOS系统找不到setup命令工具的解决方法 yum -y install setuptool #安装setup命令工具 y ...

  8. Spring Security 入门(1-2)Spring Security - 从 配置例子例子 开始我们的学习历程

    1.Spring Security 的配置文件 我们需要为 Spring Security 专门建立一个 Spring 的配置文件,该文件就专门用来作为 Spring Security 的配置. &l ...

  9. 迷你MVVM框架 avalonjs 组件编写指南

    avalon经过半年的宣传,已经有不少公司在使用avalon应用于它们内外网应用或移动项目,比较大牌的客户有百度,搜狐,金山,边缘,去哪儿--最近成为去哪儿的前端架构师后,掌握更多资源,可以随使抓个人 ...

  10. Django之REST_framework 框架基本组件使用

    快速实例 快速实例: 点击查看官方文档 阅读推荐:点击查看 序列化 创建一个序列化类 简单使用 开发我们的Web API的第一件事是为我们的Web API提供一种将代码片段实例序列化和反序列化为诸如j ...

随机推荐

  1. 云主机 vs 轻量型云主机:性能与灵活性的平衡

    本文分享自天翼云开发者社区<云主机 vs 轻量型云主机:性能与灵活性的平衡>,作者:冯****芙 什么是轻量型云主机.什么是云主机? 云主机是云计算的一种基础设施服务模型,它是在云平台上通 ...

  2. initDB.sh初始化磁盘脚本centos7

    新加磁盘初始化脚本 跳转:优化(2022-4-14) vim initDB.sh #!/bin/bash # auther by wangxp EXCLUDE_LIST='2,11' EXCLUDE_ ...

  3. 『Python底层原理』--Python整数为什么可以无限大

    整数类型是编程中最常见的数据类型之一,但它的实现细节却鲜为人知. 与其他语言不同,Python 的整数是任意精度的,这意味着它们可以无限大,仅受限于内存. 这种特性使得 Python 在处理大整数时非 ...

  4. AI图像翻译

    在当今互联互通的世界中,快速准确地翻译图像中的文本的能力非常宝贵.无论您是商务人士.教育工作者.设计师还是内容创作者,Visual Paradigm Online 的 AI 图像翻译器都能提供强大的解 ...

  5. Linux - Centos操作系统iso文件下载

    CENTOS VERSION DOWNLOAD LINK CentOS 8.5(2111) Download CentOS 8.4(2105) Download CentOS 8.3(2011) Do ...

  6. ABC391E题解

    大概评级:绿. 题目传送门. 显然动态规划,设 \(f_{i,k}\) 表示经过 \(i\) 次变换后能将 \(a_k\) 取反的最大值,显然答案为 \(f_{n,1}\),状态转移很简单,枚举 \( ...

  7. STM32实战——DHT11温湿度获取并展示

    介绍 DHT11数字温湿度传感器是一款含有已校准数字信号输出的温湿度复合传感器,包括一个电阻式感湿元件和一个NTC测温元件,可以用来测量温度和湿度. 硬件连线 注意 本实验使用STM32F103C8T ...

  8. 【代码设计】C# 实现 AOP 面向切面编程

    简单记录一下对AOP的认识,正文为3个部分 一.AOP由来 二.用DispatchProxy动态代理实现AOP 三.通过特性标记,处理多种不同执行前.执行后的逻辑编排 一.AOP 由来 IUserHe ...

  9. gorm事务的rollback和commit操作

    一个事务内同一操作二次回滚(Rollback)会报错,二次提交(commit)也会报错, 如果回滚完又进行提交操作,一样会报错 循环注意把事务开启tx.Begin放在事务操作前边,操作完回滚或者提交

  10. phpstudy安装redis扩展 windows安装redis扩展

    1.首先查看自己本地环境的php版本信息: 执行phpinfo(),显示php相关信息 2.下载所需的扩展 php redis扩展下载地址 windows上,php开启扩展需要下载ddl 这里要注意的 ...