Как организовать роли в Symfony?

Question

[drboboev]

Добрый день.

Суть вопроса: есть приложение, есть пользователи. Каждый пользователь относится к какой то группе пользователей, эти группы хочу хранить в БД. У каждой группы есть набор прав. Схема не иерархическая, группы абсолютно разные и эти группы (роли) можно менять в админке, то есть давать и забирать какие либо права.

Собственно вопрос - как это сделать в Symfony?

Смотрел в доках, видел что это можно делать в security.yaml, но прав будет довольно много, да и ролей будет неточное множество, может и 10, а может и 20. И каждый раз, когда появляется роль, не хотелось бы лезть в secutiry.yaml чтобы добавлять роли.

Видится что то типа проверки isGranted при запросе какого то роута, и при наличии прав, юзер видит страницу.

Comments

[bears]

Боюсь что эта проблема еще не решена стандартными способами, посмотрите мой ответ на аналогичный вопрос.

Answer 1

[BoShurik]

security.yml

security:
    access_control:
        - { path: ^/ }

RequestVoter.php

use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Authorization\Voter\VoterInterface;
use Symfony\Component\Security\Core\Security;

class RequestVoter implements VoterInterface
{
    /**
     * @var Security
     */
    private $security;

    public function __construct(Security $security)
    {
        $this->security = $security;
    }

    /**
     * @inheritDoc
     */
    public function vote(TokenInterface $token, $subject, array $attributes)
    {
        if (!$subject instanceof Request) {
            return self::ACCESS_ABSTAIN;
        }

        $route = $subject->attributes->get('_route');
        $routeRole = $this->getRoleByRoute($route);

        if ($this->security->isGranted($routeRole)) {
            return self::ACCESS_GRANTED;
        }

        return self::ACCESS_DENIED;
    }

    protected function getRoleByRoute(string $route): string
    {
        // ...
    }
}

Comments

[drboboev]

Это означает то, что надо хранить роуты в БД ?

[BoShurik]

drboboev, да. Роуты либо урлы, как вам удобно.
Группы ролей вы же храните в БД, при создании ролей можно им как-то назначать нужные урлы

[BoShurik]

drboboev, как вариант сделать через соглашение. Какой-нибудь регуляркой в зависимости от названия роли:
ROLE_NEWS => ^/news
ROLE_ARTICLES => ^/articles

Answer 2

[Иван Шумов]

Секунду. В Symfony до сих пор нет нормального RBAC/ACL?

Comments

[drboboev]

Не знаю на счёт "нормального", но ACL убрали из 4й версии. Ну точнее можно поставить отдельно ACL bundle. А в 4й версии используются voters, но не совсем понятно из документации, как его использовать для моей задачи

[Артемий Лапко]

Voter

Answer 3

[Олег Бондаренко]

Роли (точнее иерархию ролей) вам в любом случае указывать в security.yaml, как и указывать в коде is_granted(ROLE_XXXX). В админке можете добавлять и удалять роли (пара строк sonata admin). Если хотите все это делать через какой-то готовый интерфейс - пилите сами или ищите бандл для этого, где-то такое уже видел.

Comments

[BoShurik]

Роли (точнее иерархию ролей) вам в любом случае указывать в security.yaml

За что люблю Symfony, так за то что там ничего гвоздями не прибито. За иерархию ролей отвечает Symfony\Component\Security\Core\Authorization\Voter\RoleHierarchyVoter. Если иерархия динамическая, то достаточно переопределить/написать свой Voter, security.yaml все не ограничивается