Как разграничить права в Symfony2 для REST API маршрутов?

Question

[Quber]

Установлен FOSUserBundle.
Стандартные настройки безопасности для маршрутов:

/* app/config/secutiry.yml */

access_control:
    - { path: ^/login$,   role: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/register, role: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/admin/,   roles: ['ROLE_ADMIN'] }
    - { path: ^/,         role: IS_AUTHENTICATED_REMEMBERED }

Есть маршруты на создание, удаление, редактирование, получение сущности.
Так вот права на получение должны быть у всех пользователей. А у администраторов всё остальное (редактирование, удаление, создание). Все API маршруты у меня начинаются с site.ru/api

Конечно можно сделать что то вроде:

/* app/config/secutiry.yml */

access_control:
    - { path: ^/api/entity/delete$,   roles: ['ROLE_ADMIN'] }
    - { path: ^/api/entity/create$,   roles: ['ROLE_ADMIN'] }
    - { path: ^/api/entity/update$,   roles: ['ROLE_ADMIN'] }

Но что если этих сущностей много? Порядка 15. Для каждой надо так прописывать? Что то мне подсказывает, что это не самый лучший способ. В контроллере проверять права тоже не правильно, я считаю, это задача роутера.

Может сделать приставку site.ru/api/admin ?
Получится тогда так:

/* app/config/secutiry.yml */

access_control:
    - { path: ^/api/admin/,   roles: ['ROLE_ADMIN'] }

Answer 1

[Сергей Протько]

- { path: ^/api/\w+/(create|update|delete)$,   roles: ['ROLE_ADMIN'] }

Хотя по сути у вас не должно быть этих update/delete/create. У вас должно быть POST/PUT/DELETE метод.

Я обычно это дело прописываю в контроллере (через аннотации), либо разруливаю в сервисе. Если у нас все очень сложно - можно реализовать воутер (начиная с Syfony2.4 вроде как).

Comments

[Quber]

То есть по сути я должен иметь один url, аля: site.ru/api/post
И в зависимости от метода передачи раздавать разным методам в контроллере? Так получается? Даже если и так, то для каждой ссылки (сущности) всё равно надо прописывать доступ в access control?

Что такое воутер? Можно ссылочку?

[Quber]

Просто хочу понять, как делают люди. Я могу сделать любым способом, только прошу чтобы натолкнули на мысль как правильно поступить.

[Сергей Протько]

@Quber: не совсем.

POST site.ru/api/post
PUT site.ru/api/post/id
DELETE site.ru/api/post/id

что-то в этом духе.

Воутеры имею в виду RoleVoter если у нас сложная иерархия ролей и их много.
Вообще можно пойти по пути запрещения для не админов любых POST/PUT/DELETE запросов кроме какого-то списка урлов.

[Quber]

Сергей Протько: про маршруты понял. А как их разграничить, для одних пользователей одни, для других другие? (например, для администраторов одно, для модераторов другое, для супер-администраторов третье). Надо каждый отдельный маршрут прописывать в access_control? или есть какая то лучшая практика аля:
access_control:
- { path: ^/api/admin/, roles: ['ROLE_ADMIN'] }
- { path: ^/api/user/, roles: ['ROLE_USER'] }

[Сергей Протько]

@Quber: все от задачи зависит сильно. Если у вас по одному маршруту разное поведение для админов/пользователей и т.д. для одного метода, то это стоит разруливать в контроллере или сервисе уже.