Как в Symfony 4.3 принудительно разлогинить юзера по ID?

Question

[Kripto77]

Админу необходимо периодически менять роли пользователей. Проблема в том что текущие роли юзера кешируются при залогине. И смена ролей в базе не меняет реальные права доступа в методах IS_GRANTED (в аннотациях, twig и т.д.)

Подскажите как принудительно разлогинить нужного юзера по ID ?

Заранее спасибо

Comments

[Антон Р.]

Уничтожить сессию?

[Kripto77]

Антон Р., По сути да. Придется вешать Listener сравнивающий роли из сессии с ролями из базы и разлогинивать при необходимости. Похожий код в AbstractToken->hasUserChanged() - но там проверяют только Password, Username, Salt.

[Антон Р.]

Kripto77, просто сделай время жизни сессии меньше чем интервал между сменой ролей. То есть если у тебя роли меняются раз в час сделай время жизни сессии 30 минут.

[kafkiansky]

А можно и не разлогинивать, чтобы добиться смены роли.

Answer 1

[Михаил Рыбалка]

В symfony для этих целей есть EquatableInterface. Каждый раз при загрузке кешированного юзера из токена, если у вас класс User имплементирует EquatableInterface запускается проверка соответствия сохраненного пользователя в токене и полученным из провайдера данным. Если данные не совпадают, токен авторизации аннулируется.

Проще говоря, в вашем случае - реализуйте у класса User EquatableInterface и добавьте в isEqualTo() проверку совпадения ролей.

Comments

[Михаил Рыбалка]

p.s. если интересно как это работает:
Symfony\Component\Security\Core\Authentication\Token\AbstractToken
строки 308 и 112

Answer 2

[Kripto77]

Doc

Решение через EquatableInterface. Сокращенный класс что получилось:

//src/Entity/User.php

namespace App\Entity;

use Doctrine\ORM\Mapping as ORM;
use Symfony\Component\Security\Core\User\UserInterface;
use Symfony\Bridge\Doctrine\Validator\Constraints\UniqueEntity;
use Symfony\Component\Validator\Constraints as Assert;
use Symfony\Component\Security\Core\User\EquatableInterface;

/**
 * @ORM\Table(name="user", uniqueConstraints={@ORM\UniqueConstraint(name="UNIQ_8D93D649E7927C74", columns={"email"})})
 * @ORM\Entity(repositoryClass="App\Repository\UserRepository")
 * @UniqueEntity(fields={"email"}, message="There is already an account with this email")
 * @ORM\HasLifecycleCallbacks()
 */

class User implements UserInterface, EquatableInterface
{
   /**
     * @see EquatableInterface
     * @param UserInterface $user
     * @return bool
     */
    public function isEqualTo(UserInterface $user): bool
    {
        return $user->roles === $this->roles;
    }

}

Comments

[Михаил Рыбалка]

все верно, только аккуратнее в подобных ситуациях с array_diff.

$a = [2];
$b = [2, 3];

dump(array_diff($a, $b), array_diff($b, $a));

вернет в первом случае пустой массив, а во втором массив с 1 элементом

[Kripto77]

Михаил Рыбалка, Спасибо, точное замечание. Изменил на другой вариант
return $user->roles === $this->roles;