Как залогинить юзера без логина и пароля?

Question

[Tokenchik]

В приложении есть особый тип юзеров, у которых отсутствует логин и пароль, при этом запись в табличке users для них создается. Смысл таких юзеров - демо доступ без регистрации, после ознакомления они могут завершить уже регистрацию.

Сейчас добавил листенер и перед заходом в контроллер пытаюсь сделать так:

$user = $this->userService->createDemoUser();

$token = new UsernamePasswordToken($user, 'main');

$this->storage->setToken($token);

$event = new InteractiveLoginEvent(Request::createFromGlobals(), $token);

$this->eventDispatcher->dispatch($event, 'security.interactive_login');

$session = $this->requestStack->getSession();

$session->set('_security_main', serialize($token));

После отрисовки странички видно что пользователь аутентифицирован (дебаг панель пишет Authenticated = true), но при обновлении страницы юзер теряется либо не распознается и считается что больше его нет.

Подскажите как сохранить сессию при обновлении страницы либо как аутентифицировать таких юзеров без кредов.

Comments

[BoShurik]

userService создает пользователя в БД, правильно понимаю?

Request::createFromGlobals() - надо использовать оригинальный $request, а не новый, т.к. в нем могут быть нужные аттрибуты. Скорее всего не в этом дело, но лучше так не делать

[BoShurik]

Покажите security.yaml access_control

[Tokenchik]

userService создает пустого пользователя в бд, у которого проставляется флажок is_demo = true.

секция access_control:

access_control:
        # - { path: ^/admin, roles: ROLE_ADMIN }
        # - { path: ^/profile, roles: ROLE_USER }
        - { path: '^/test/auth', role: ROLE_USER }

[BoShurik]

Tokenchik, а в логах что? Обычно пишет, дескать "юзер в сессии есть, но почему-то не могу его использовать"

[Tokenchik]

Вот лог на 1 запрос-ответ.
Судя по сообщениям - Authenticator does not support the request и Token was deauthenticated after trying to refresh it - кажется что не может аутентифицировать юзера при повторном посещении страницы

[BoShurik]

Tokenchik, Cannot refresh token because user has changed.

https://github.com/symfony/symfony/blob/6.2/src/Sy... - этот метод должен возвращать false

[Tokenchik]

да, спасибо, все верно указали: я при создании UsernamePasswordToken не передавал роли и был пустой массив, и на проверке ролей метод отправлял false, но вот где роль ROLE_USER проставляется - еще предстоит найти.
В итоге при заходе делаю теперь так:

$token = new UsernamePasswordToken($user, 'main', ['ROLE_USER']);

и теперь при обновлении страницы сессия не теряется, еще раз спасибо)

если не сложно - скопируйте пожалуйста исправленную строку в ответы - я помечу решением, не хочется вопрос нерешенным оставлять)

Answer 1

[BoShurik]

Cannot refresh token because user has changed.

Эта ошибка возникает, если метод https://github.com/symfony/symfony/blob/6.2/src/Sy... возвращает false
Много вариантов: поменялся пароль, роль и тд.

В вашем случае, менялась роль (точнее роль вы не передавали и при получении пользователя роль бралась из метода $user->getRoles())

В вашем случае правильным будет что-то вроде:

$token = new UsernamePasswordToken($user, 'main', $user->getRoles());