Каким образом можно сделать валидацию данных формы для логина используя Security Bundle?

Question

[youlose]

Доброе время суток, проблема у меня такого плана:

на сайте что я сейчас делаю аутентификация происходит по email, собственно я хотел бы до вызова login_check проверять валидный ли почтовый адрес указан или нет и выводить об этом ошибку (мало ли, человек неопытный и забыл .ru в конце добавить, например).

Собственно вижу несколько вариантов решения:

1. Сначала анализировать POST данные, проверять валидатором их правильность и потом каким либо образом сделать подзапрос к /login_check

2. Прописать failure_handler и в нём уже проверять правильность введённых данных.

3. Попробовать разобраться при помощи событий


1й вариант мне реализовать не удалось, так как при редиректах и форвардах я не разобрался как передавать параметры

2й мне не очень нравиться потому что валидация происходит после первой неправильной попытки, мне кажеться что должен быть вариант решения в том виде как я хочу сделать

3е — даже не пробовал, ибо это для меня пока дремучий лес


P.S. Таки сделал я 1й вариант, не очень правильно, но если гуру меня поправят буду очень благодарен (лишнее я вырезал в примере, а то непонятно о чём речь):

use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpKernel\HttpKernelInterface;
    

            if ($form->isValid()) {
                $req = Request::create(
                    $this->generateUrl('security_check'),
                    'POST',
                    array(
                        '_username' => $customer->getEmail(),
                        '_password' => $customer->getPass()
                    ),
                    $request->cookies->all(),
                    array(),
                    $request->server->all()
                );

                $resp = $this->get('http_kernel')->handle($req,HttpKernelInterface::MASTER_REQUEST);
                if ($security_context->getToken()) {
                  return $resp;  
                } else {
                    $auth_errors []= 'Неверно набраны почтовый ящик и/или пароль';
                }
            }

P.P.S. Но теперь покопавшись в исходниках + увидев что после моих предыдущих махинаций какие-то совсем уж рекурсивно запутанные сессии получились, я считаю что правильный вариант — №3, как научусь вручную вызывать события — напишу, ибо в документации не нашёл про это.

Answer 1

[BoShurik]

Склоняюсь ко второму варианту, но без failure_handler
С точки зрения пользователя форма была отправлена и неважно был запрос к базе или нет.

// src/Acme/SecurityBundle/Controller/Main;
namespace Acme\SecurityBundle\Controller;

use Symfony\Bundle\FrameworkBundle\Controller\Controller;
use Symfony\Component\Security\Core\SecurityContext;

class SecurityController extends Controller
{
    public function loginAction()
    {
        $request = $this->getRequest();
        $session = $request->getSession();

        // get the login error if there is one
        if ($request->attributes->has(SecurityContext::AUTHENTICATION_ERROR)) {
            $error = $request->attributes->get(SecurityContext::AUTHENTICATION_ERROR);
        } else {
            $error = $session->get(SecurityContext::AUTHENTICATION_ERROR);
            $session->remove(SecurityContext::AUTHENTICATION_ERROR);
        }

        if ($error && !filter_var(SecurityContext::LAST_USERNAME, FILTER_VALIDATE_EMAIL)) {
            $error = new \Exception('Invalid e-mail');
        }

        return $this->render('AcmeSecurityBundle:Security:login.html.twig', array(
            // last username entered by the user
            'last_username' => $session->get(SecurityContext::LAST_USERNAME),
            'error'         => $error,
        ));
    }
}

плюс проверка на стороне пользователя

Comments

[BoShurik]

if ($error && !filter_var($session->get(SecurityContext::LAST_USERNAME), FILTER_VALIDATE_EMAIL))

[youlose]

Просто я хочу добавлять ещё и капчу, и там придётся проверять ДО /login_check, а писать свой обработчик мне кажется не очень правильно ибо по сути мне просто надо сделать запрос к /login_check, а я не понимаю как

Answer 2

[nuclear]

А почему не сделать валидацию стандартным способом?

Comments

[youlose]

тут вопрос не в реализации валидации её я реализовал через сущности, так удобнее и логичнее. Вот как выглядит код:

<?php

namespace MyBundle\Controller;

use Symfony\Bundle\FrameworkBundle\Controller\Controller;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\Security\Core\SecurityContext;
use Symfony\Component\HttpFoundation\RedirectResponse;
use MyBundle\Entity\Customer;

class SignInController extends Controller
{
    
    public function indexAction(Request $request)
    {
        $log = $this->get('logger');
        $session = $request->getSession();
        
        $customer = new Customer();
        
        $form = $this->createFormBuilder($customer)
            ->add('email', 'text', array('label' => 'E-mail'))
            ->add('pass', 'password', array('always_empty' => false, 'label' => 'Пароль'))
            ->getForm();
        
        if ($request->getMethod() == 'POST') {
            $form->bindRequest($request);
        
            if ($form->isValid()) {
                $log->info('authorising');
               // $request = Request::create($this->generateUrl('_security_check'), 'POST');
               // return $request->send();
            }
        }
        
        return $this->render(
            'MyBundle:SignIn:index.html.twig',
            array('form' => $form->createView() )
        );
    }
}

То есть, данные прошли валидацию и теперь я хочу проверить правильные ли почтовый ящик и пароль (я сюда ещё и капчу хочу выводить после нескольких неудачных попыток). И после

$log->info('authorising');

я и хочу использовать какую либо магию чтобы POSTом передать данные из формы, чтобы средствами SucurityBundle создался токен и всё заработало, ибо мне его функционала хватает с лихвой.

[BoShurik]

Мне кажется, без расширения стандартного функционала не обойтись.
stackoverflow.com/questions/8406001/is-there-any-sort-of-pre-login-event-or-similar
Тут предлагают расширить класс Symfony\Component\Security\Http\Firewall\UsernamePasswordFormAuthenticationListener, добавив в attemptAuthentication() кастомный евент, который можно будет обрабатывать в приложении.

[youlose]

честно говоря я так пока и не представляю как обеспечить взаимодействие событий и валидации форм, если есть ссылки на ресурсы где про это можно почитать буду благодарен

Answer 3

[BoShurik]

Еще, как вариант, создать свой UserProvider
(можно унаследовать от github.com/symfony/symfony/blob/master/src/Symfony/Bridge/Doctrine/Security/User/EntityUserProvider.php), у которого в методе loadUserByUsername сначала проверять $username на валидность.

Comments

[youlose]

Я думал об этом, но это не очень то верно идеологически…