Как сделать динамический контроль доступа в Symfony2?

Question

[Oldy777]

Мне нужно что бы в админке суперпользователю были доступны все страницы. А остальным только те что разрешил админ. Допустим для пользователя Сергей он может отметить доступные страницы /admin/news/, /admin/articles/. А так же тоже самое он может выставить для Группы пользователей. По умолчанию всем пользователям доступна только главная страница.
Соответственно вопросы
1. как можно реализовать контроль доступа по путям
2. как можно загрузить в интерфейс админа все пути что начинаются с /admin/*
3. Как можно задать Названия для путей, например вместо /admin/news/ выводить Новости. И жетально что бы это вместе с путями где то прописывалось

Answer 1

[Александр Евгеньевич]

https://symfony.com/doc/master/book/security.html

Comments

[Дмитрий]

там описан только доступ по ролям, а мне нужен по ролям + динамический по пути

[Александр Евгеньевич]

access_control:
        # require ROLE_ADMIN for /admin*
        - { path: ^/admin, roles: ROLE_ADMIN }

Т.е. это не подходит ?

[Дмитрий]

там в вопросе описано. Нет, мне надо что бы роль Админ была у всех, а по адресу /admin/news/ могли переходить только некоторые.

[Александр Евгеньевич]

Дмитрий: а, понял. Ну самое простое, что приходит в голову - это сохранять в таблице access_path и через слушателя symfony.com/doc/current/cookbook/event_dispatcher/... проверять путь на соответствие access_path и если не соответствует, то кидать AccessDeniedHttpException() .

[Александр Евгеньевич]

Дмитрий: может вот тут чего подсмотрите : symfony.com/doc/current/components/security/firewa...

[Дмитрий]

А на какое событие слушателя ставить? у нас же получается что роль есть, разрешение по роли проходить, все норм

[Дмитрий]

вроде как нашел для себя подходящий способ
- { path: ^/admin/*, allow_if: "has_role('ROLE_ADMIN_USER') and user.isAllowPath(request)" }
Получается что он срабатывает только в секции админ, а не по всему сайту. Но вот использования логики в User Entity как то не комильфо, а как по другому сделать пока не понял. С симфони только начал

[Александр Евгеньевич]

Дмитрий: А что вам мешает использовать иерархии ролей ?

[Александр Евгеньевич]

Дмитрий: роутинг-то у вас не динамический и префиксы стандартные есть. Так что используйте иерархии в ролях и все, а пользователям присваивайте роли.

[Дмитрий]

Александр Евгеньевич: Пути могут менять от проекта к проекту, добавляться удаляться. У одного пользователя может быть доступ к /admin/news/ и /admin/article/. У другого к /admin/news/ и /admin/media/ Короче вариантов масса, для всех роли делать замучаешься

Answer 2

[bears]

Нет стандартного решения данной проблемы. Я сделал так: Сохранил все роуты админки в БД, + роли тоже в БД и между ними связь многие-ко-многим, и ловлю событие onKernelRequest и там проверяю, является ли текущий роут "управляемым", если да, то идет проверка - есть ли у роли авторизованного пользователя связь с текущим роутом, если нет то бросаем исключение с кодом 403, если есть то все OK. Разумеется, в админке есть страница, где перечислено все что есть в админке и разрешения на просмотр/редактирование/удаление для каждой роли.

Comments

[Дмитрий]

Получается что проверка постоянно осуществляется на всех страницах сайта?
А если новые пути появляются вручную добавляете?

[bears]

Получается так... По крайней мере другого варианта я не нашел пока. Да и в админку ведь не так часто добавляются новые разделы, соответственно и ссылки/роуты. Так что это лучше всего сделать в самом конце разработки проекта. Либо же придетс добавлять вручную. Конечно же еще можно все время проверять текущий УРЛ, на то, есть ли там /admin**** но это как-то не красиво, да и рано или поздно запутаться можно будет без проблем.

[Дмитрий]

А если напрямую из конфига пути брать и просто отбирать те что начинаются с admin(для вывода в админку)?
я вот еще такой вариант придумал
- { path: ^/admin/*, allow_if: "has_role('ROLE_ADMIN_USER') and user.isAllowPath(request)" }
только вот не охота использовать User Entity тут. а как сервис тут использовать я не нашел. Есть ли тут минусы?

[bears]

Дмитрий: Предлагаемый Вами вариант мне не известен. Но в любом случае, если хотите как-то выбрать все пути админки динамически, то это можно сделать через сервис router но как тогда собираетесь связывать их с ролями пользователей? По моему Вам именно это ведь надо?

[Дмитрий]

Выбрать я их хочу в интерфейс, а связь будет с конкретным пользователем route<->user_id. Почему из конфигов: я думаю там можно прописать названия им человекопонятные.

[Дмитрий]

- { path: ^/admin/*, allow_if: "has_role('ROLE_ADMIN_USER') and user.isAllowPath(request)" }
это я в security.yml в access_control прописываю

[bears]

Дмитрий: Это я понял ) Я вот с этим не сталкивался - and user.isAllowPath(request)