Как сделать динамические поддомены (multiple dynamic firewalls, роутинг и т.д.) в symfony2?

Question

[Иван]

Делаю сервис.
Помимо frontend- и backend-частей есть еще dashboard (у каждой компании свой) со своей авторизацией и прочими плюшками.
Сейчас dashboard открывается по адресу site.com/dashboard/..., firewall один на всех, данные в контроллерах выводятся в зависимости от $company_id = $this->getUser()->getCompany()->getId()
Хочу перенести dashboard на поддомены аля companyname.site.com/...
Настроил nginx так, чтобы все запросы вида companyname.site.com/ шли на site.com/.
Теперь вопросики:
1) Сейчас для тестов прописан вручную 1 firewall для тестовой компании, у которой slug = democompany. Как запилить динамические firewall'ы для всех хостов типа companyname.site.com?

security.yml

security:
  ...
  providers:
    dashboard_user_provider:
      id: acme.dashboard.user_provider
  firewalls:
    ...
    dashboard:
      host: democompany.%domain%
      pattern: ^/
      form_login:
        login_path: /login
        check_path: /login_check
        provider: dashboard_user_provider
        csrf_provider: form.csrf_provider
        default_target_path: /
      logout:
        path: /logout
        target: /
      anonymous: true
      remember_me:
        key:      "%secret%"
        lifetime: 31536000 # 365 days in seconds
        path:     /
        domain:   ~
  access_control:
    ...
    - { host: democompany.%domain%, path: ^/login$, role: IS_AUTHENTICATED_ANONYMOUSLY }
    - { host: democompany.%domain%, path: ^/, role: [ROLE_DASHBOARD_USER] }

2) Чтобы ограничить выборку данных в пределах текущей компании в каждом контроллере сейчас делаю вот так:

public function listAction($company_slug) {
    if ($company_slug !== $this->getUser()->getCompany()->getSlug()) {
        throw $this->createNotFoundException(sprintf("No data found"));
    }
    
    ...
    ...
}

И ежу понятно, что это говнокод.
На каком уровне делать такие проверки?

Серфинг по гуглу и гитхабу ничего не дал.
Может кто уже делал подобное? Или видел пример?
Спасибо.

Answer 1

[Сергей Сенкевич]

Посмотрите вот здесь knpuniversity.com/screencast/question-answer-day/s... - вроде бы то, что вам надо.

Comments

[Иван]

Ага, спасибо, почитаю. Но там вроде ничего не сказано про файрволлы.

Answer 2

[Сергей Протько]

Ну... давайте прикинем...

1) в security.yml можно в правилах задавать host (регулярками), если у вас структура ссылок для каждого поддомена дублируется, можно ограничиться общими правилами.
2) можно вынести домен третьего уровня как переменную запроса (ваш slug)
3) можно реализовать свой фаервол/юзер провайдер, который сетит нужную роль пользователю в зависимости от slug и полномочий.
4) если вы хотите вместо 401/403 ошибки отдавать 404-ую, всеравно придется реализовывать обработку ошибок и взависимости от оной менять результат.

Но да, проверять это все в контроллере... ну можно, но стоит хотя бы вынести на уровень выше (обработчик события kernel.request).

Comments

[Иван]

1) Спасибо, не знал, что можно регуляркой.
3) Можно чуть подробнее?)
Я все равно не понимаю, что делать с этим файрволлом. В каком месте делать проверку принадлежности юзера компании при авторизации.
Еще хотелось бы что-то решить с роутами. Чтобы в шаблонах во всех роутах не писать в парамеры вручную slug текущей компании.

[Иван]

Сейчас у меня есть 4 сущности. Компании, группы пользователей, юзеры и роли. Юзерам роли (ROLE_DIRECTOR, ROLE_MANAGER и проч.) присваиваются в методе getRoles() самой модели User:

public function getRoles() {
    $roles = [];
    foreach ($this->getGroups() as $group) {
        $roles = array_merge($roles, $group->getRoleNames());
    }
    if (count($roles) < 1) {
        $roles[] = static::ROLE_DEFAULT;
    }
    return array_unique($roles);
}

Но, помоему, вы не про эти роли говорили.

Answer 3

[Павел Соловьёв]

С субдоменами нужно через роуты работать. Авторизацию делать в контроллёре и там же и проверять пользователей компаний.

Comments

[Иван]

Через роуты вроде и работаем. Про контроллер можно абстрактный примерчик?

[Павел Соловьёв]

@0neS я бы привёл пример, но видно не совсем понимаю суть проблемы - вот это вообще непонятно - Как запилить динамические firewall'ы для всех хостов? Зачем и что конкретнее нужно сделать, может если пойму помогу.

[Иван]

@0neS Сейчас у приложении 2 firewall'а — один для backend (admin.site.com, своя форма авторизации, свои контроллеры, своя модель пользователя Acme/Model/Admin) и один для dashboard (пока что site.com/dashboard, что-то вроде личного кабинета компании).
Есть модель компания и у нее пользователи со связью manytoone. После авторизации в форме site.com/dashboard/login в контроллерах dashboard'а сейчас делаю проверку getUser()->getCompany->getId() чтобы отдавать из базы только данные, принадлежании компании этого пользователя.
Я же хочу вынести этот личный кабинет на поддомены типа companyname.site.com (у каждой компании своя авторизация companyname.site.com/login).

[Иван]

@pavel_salauyou прошла неделя, появилось время и я вернулся к этой задаче. Можно пример про контроллер? Сейчас авторизацию делаю также, как в fosuserbundle и для меня не совсем понятно, куда уходят данные, где и как они проверяются. В идеале хотел бы запилить для логина свою форму со своими ошибками для каждого кейса (сейчас же Bad credentials на все поля) и туда же и добавить нужные проверки аля принадлежит ли пользователь текущей компании

[Павел Соловьёв]

@0neS да, задача нетривиальная, прямого решения нету, своб авторизацию не проблема замутить, я всегда так и делаю и авторизую в нужный мне файрвол. Я бы вынес текущую компанию в сервис, для урлов написал свои теги для твига, определение компании по юзеру вынес в kernel request, но вроде в скринкасте об этом и сказано

[Иван]

@pavel_salauyou можно по порядку?
1) В security.yml у меня так:

security:
    firewalls:
        backend:
            ...
        dashboard:
            host: (.*).%main_host% # в %main_host% site.com
            pattern: ^/
            form_login:
                provider: dashboard_user_provider
                login_path: /login
                check_path: /login_check
                ...
            logout:
                path: /logout
                target: /login
            anonymous: true
            ...
    access_control:
        - { host: %backend_host%, path: ^/login$, role: IS_AUTHENTICATED_ANONYMOUSLY, requires_channel: https }
        - { host: %backend_host%, path: ^/, role: [ROLE_BACKEND_MODER], requires_channel: https }
        - { host: (.*).%main_host%, path: ^/login$, role: IS_AUTHENTICATED_ANONYMOUSLY, requires_channel: https }
        - { host: (.*).%main_host%, path: ^/, role: [ROLE_DASHBOARD_MANAGER], requires_channel: https }

2) Что значит вынести компанию в сервис? У меня сейчас Model\Dashboard\CompanyManager зарегистрирован как сервис, Вы это имели ввиду?
3) Про теги для твига не понял вообще(
4) Сделал как в скринкасте класс EventListener\Dashboard\CurrentCompanyListener, в нем делаю $this->companyManager->setCurrentCompany($company);
5) Насчет своей авторизации можно примерчик?

[Павел Соловьёв]

здесь не удобно, что-то объяснять, если хочешь добавляйся в скайп - "pavel.salauyou" попробую помочь, надо видеть твой код, а так я не смогу помочь.

[Иван]

@pavel_salauyou так намного лучше, добавил

Answer 4

[Иван]

Вот проблемы, которые мучают меня в настоящий момент:
1) Как на этапе авторизации проверять, принадлежит ли пользователь компании, на поддомене которой он авторизуется?
2) Как лучше ограничить вывод данных по id текущей компании. Делать в каждом контроллере вручную проверку?
3) Как в шаблонах выводить, к примеру, company.name? app.user.company.name? Мне кажется это не самый корректный способ.
4) Как сделать текущую компанию значением по-умолчанию в роутах? Т.е. сейчас же все разруливаю через роуты (host: "{company_slug}.%domain%") и приходится абсолютно в каждом роуте в шаблоне выводить доп. параметром slug текущей компании, типа:

<a href="{{ path("dashboard.user.list", { "company_slug": app.user.company.slug }) }}">Users</a>

Сейчас вынес часть логики в эвентлистнер как пишут здесь: knpuniversity.com/screencast/question-answer-day/s...

public function listAction() {
    $companyManager = $this->container->get('acme.dashboard.company_manager');
    $currentCompany = $companyManager->getCurrentCompany();
    $userManager = $this->container->get('acme.dashboard.user_manager');
    $users = $userManager->findUsersByCompanyId($currentCompany->getId());

    return [
        'company' => $currentCompany,
        'users' => $users,
    ];
}

Но, помоему, это все еще не предел мечтаний.

Comments

[BoShurik]

4) Я делал по аналогии с _locale во фреймворке. https://github.com/symfony/symfony/blob/397687f345...

[Иван]

@BoShurik спасибо