Проблема в каждом втором запросе?

Question

[Игорь]

Коллеги, здравствуйте!

Возникла проблема в системе безопасности synfony (firewalls)

Посмотрите на гифку.


По поводу анимации, при запросе я ожидаю ошибку и только её!

An exception occurred while executing 'INSERT INTO services (name, altName, lft, lvl, rgt, root_id, parent_id) VALUES (?, ?, ?, ?, ?, ?, ?)' with params [\"A\", null, 0, 0, 0, null, 26]:\n\nSQLSTATE[23000]: Integrity constraint violation: 1062 Duplicate entry 'A-26' for key 'services_unique_name_parent_id'

Описание проблемы.
Когда я выполняю запрос, в первый раз все срабатывает, стоит мне тут же выполнить повторный запрос, тут же возникает ошибка There is no user provider for user \"App\\Entity\\User\".

И так далее, получается что через раз происходит ошибка.

Вот некоторые параметры.

config/admin/packages/security.yaml

# https://symfony.com/doc/current/security.html#where-do-users-come-from-user-providers
    providers:
        in_memory: { memory: null }

    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false

        get_access_token:
            pattern: ^/security.getAccessToken
            guard:
                entry_point: App\Security\CreateAccessToken

        check_access_token:
            pattern: ^/security.checkAccessToken
            guard:
                entry_point: App\Security\CheckAccessToken

        main:
            anonymous: ~
            guard:
                authenticators :
                    - App\Security\TokenAuthenticator

src/Security/TokenAuthenticator.php

TokenAuthenticator

<?php

namespace App\Security;

use App\Entity\User;
use App\Exception\Api\EAuthorisationError;
use App\Exception\Api\ExceptionInvalidRequest;
use Doctrine\ORM\EntityManagerInterface;
use Jose\Component\Core\AlgorithmManager;
use Jose\Component\Core\AlgorithmManagerFactory;
use Jose\Component\Core\JWK;
use Jose\Component\Signature\JWSVerifier;
use Jose\Component\Signature\Serializer\CompactSerializer;
use Jose\Component\Signature\Serializer\JWSSerializerManager;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\Response;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Exception\AuthenticationException;
use Symfony\Component\Security\Core\User\UserInterface;
use Symfony\Component\Security\Core\User\UserProviderInterface;
use Symfony\Component\Security\Guard\AbstractGuardAuthenticator;

/**
 * Class TokenAuthenticator 
 * @package App\Security
 */
class TokenAuthenticator extends AbstractGuardAuthenticator
{

    /** @var AlgorithmManagerFactory */
    private $algorithmManagerFactory;

    /** @var AlgorithmManager */
    private $algorithmManager;

    /** @var EntityManagerInterface */
    private $entityManager;
    /** @var string */
    private $ip;


    /**
     * AppAuthAuthenticator constructor.
     * @param EntityManagerInterface $entityManager
     * @param AlgorithmManagerFactory $algorithmManagerFactory
     */
    public function __construct(EntityManagerInterface $entityManager, AlgorithmManagerFactory $algorithmManagerFactory)
    {
        $this->entityManager = $entityManager;
        $this->algorithmManagerFactory = $algorithmManagerFactory;
        $this->algorithmManager = $this->algorithmManagerFactory->create(["RS256", "HS512"]);
        $this->ip = $_SERVER['REMOTE_ADDR'];
    }

    /**
     * @param string $token
     * @return bool
     * @throws EAuthorisationError
     */
    public function verification(string $token): bool
    {
        $jwk = new JWK([
            "kty" => "oct",
            "k" => base64_encode($_ENV["JWT_KEY"] . $this->ip),
        ]);

        // The serializer manager. We only use the JWS Compact Serialization Mode.
        $serializerManager = new JWSSerializerManager([
            new CompactSerializer(),
        ]);

        $jwsVerifier = new JWSVerifier($this->algorithmManager);

        try {
            $jws = $serializerManager->unserialize($token);
        }catch (\Exception $exception) {
            throw new EAuthorisationError("Не удалось проверить токен");
        }

        return $jwsVerifier->verifyWithKey($jws, $jwk, 0);
    }

    /**
     * @param Request $request
     * @return bool|void
     */
    public function supports(Request $request)
    {
        return true;
    }


    /**
     * @param Request $request
     * @return array
     * @throws EAuthorisationError
     */
    public function getCredentials(Request $request)
    {
        try {
            preg_match('/Bearer\s+(.*?)$/m', $request->headers->get("authorization"), $match);
            return [
                "token" => $match[1],
            ];
        }catch (\Exception $exception) {
            throw new EAuthorisationError("Не верный токен");
        }
    }



    /**
     * Return a UserInterface object based on the credentials.
     *
     * The *credentials* are the return value from getCredentials()
     *
     * You may throw an AuthenticationException if you wish. If you return
     * null, then a UsernameNotFoundException is thrown for you.
     *
     * @param mixed $credentials
     *
     * @param UserProviderInterface $userProvider
     * @return User|UserProviderInterface
     */
    public function getUser($credentials, UserProviderInterface $userProvider)
    {
        return new User();
    }

    /**
     * Returns true if the credentials are valid.
     *
     * If any value other than true is returned, authentication will
     * fail. You may also throw an AuthenticationException if you wish
     * to cause authentication to fail.
     *
     * The *credentials* are the return value from getCredentials()
     *
     * @param mixed $credentials
     *
     * @return bool
     *
     * @throws AuthenticationException
     * @throws EAuthorisationError
     */
    public function checkCredentials($credentials, UserInterface $user)
    {
        if ($this->verification($credentials["token"])) {
            return true;
        }

        throw new EAuthorisationError("Не верный токен");
    }

    /**
     * Called when authentication executed, but failed (e.g. wrong username password).
     *
     * This should return the Response sent back to the user, like a
     * RedirectResponse to the login page or a 403 response.
     *
     * If you return null, the request will continue, but the user will
     * not be authenticated. This is probably not what you want to do.
     *
     * @return Response|null
     */
    public function onAuthenticationFailure(Request $request, AuthenticationException $exception)
    {
        return null;
    }

    /**
     * Called when authentication executed and was successful!
     *
     * This should return the Response sent back to the user, like a
     * RedirectResponse to the last page they visited.
     *
     * If you return null, the current request will continue, and the user
     * will be authenticated. This makes sense, for example, with an API.
     *
     * @param string $providerKey The provider (i.e. firewall) key
     *
     * @return Response|null
     */
    public function onAuthenticationSuccess(Request $request, TokenInterface $token, $providerKey)
    {
        return null;
    }

    /**
     * Does this method support remember me cookies?
     *
     * Remember me cookie will be set if *all* of the following are met:
     *  A) This method returns true
     *  B) The remember_me key under your firewall is configured
     *  C) The "remember me" functionality is activated. This is usually
     *      done by having a _remember_me checkbox in your form, but
     *      can be configured by the "always_remember_me" and "remember_me_parameter"
     *      parameters under the "remember_me" firewall key
     *  D) The onAuthenticationSuccess method returns a Response object
     *
     * @return bool
     */
    public function supportsRememberMe()
    {
        // TODO: Implement supportsRememberMe() method.
    }

    /**
     * Returns a response that directs the user to authenticate.
     *
     * This is called when an anonymous request accesses a resource that
     * requires authentication. The job of this method is to return some
     * response that "helps" the user start into the authentication process.
     *
     * Examples:
     *
     * - For a form login, you might redirect to the login page
     *
     *     return new RedirectResponse('/login');
     *
     * - For an API token authentication system, you return a 401 response
     *
     *     return new Response('Auth header required', 401);
     *
     * @param Request $request The request that resulted in an AuthenticationException
     * @param AuthenticationException $authException The exception that started the authentication process
     *
     * @return Response
     * @throws EAuthorisationError
     * @throws ExceptionInvalidRequest
     */
    public function start(Request $request, AuthenticationException $authException = null)
    {
        if (!$this->supports($request)) {
            throw new ExceptionInvalidRequest("Требуется параметр [token]!", $request);
        }

        $credentials = $this->getCredentials($request);

        if ($this->verification($credentials["token"])) {
            return new Response("");
        }

        throw new EAuthorisationError("Token is not valid!");
    }
}

Comments

[Денис Дерепко]

В логах должен быть стектрейс ошибки, нужно смотреть там откуда, что и куда идёт

[Игорь]

Денис Дерепко, Сделал 2 запроса, 1 с ошибкой которую я ожидаю, а второй с ошибой которую я не жду

Вот эту ошибку я не жду
[[2019-11-13 17:49:47] request.INFO: Matched route "app_admin_services_add". {"route":"app_admin_services_add","route_parameters":{"_route":"app_admin_services_add","_controller":"App\\Controller\\Admin\\ServicesController::add"},"request_uri":"http://127.0.0.150:8091/services.add","method":"POST"} []
[2019-11-13 17:49:47] security.DEBUG: Read existing security token from the session. {"key":"_security_main","token_class":"Symfony\\Component\\Security\\Guard\\Token\\PostAuthenticationGuardToken"} []
[2019-11-13 17:49:48] php.CRITICAL: Uncaught Exception: There is no user provider for user "App\Entity\User". {"exception":"[object] (RuntimeException(code: 0): There is no user provider for user \"App\\Entity\\User\". at /www/vendor/symfony/security-http/Firewall/ContextListener.php:241)"} []

Я ожидаю эту ошибку
[2019-11-13 17:49:51] request.INFO: Matched route "app_admin_services_add". {"route":"app_admin_services_add","route_parameters":{"_route":"app_admin_services_add","_controller":"App\\Controller\\Admin\\ServicesController::add"},"request_uri":"http://127.0.0.150:8091/services.add","method":"POST"} []
[2019-11-13 17:49:51] security.DEBUG: Checking for guard authentication credentials. {"firewall_key":"main","authenticators":1} []
[2019-11-13 17:49:51] security.DEBUG: Checking support on guard authenticator. {"firewall_key":"main","authenticator":"App\\Security\\TokenAuthenticator"} []
[2019-11-13 17:49:51] security.DEBUG: Calling getCredentials() on guard authenticator. {"firewall_key":"main","authenticator":"App\\Security\\TokenAuthenticator"} []
[2019-11-13 17:49:51] security.DEBUG: Passing guard token information to the GuardAuthenticationProvider {"firewall_key":"main","authenticator":"App\\Security\\TokenAuthenticator"} []
[2019-11-13 17:49:51] security.INFO: Guard authentication successful! {"token":"[object] (Symfony\\Component\\Security\\Guard\\Token\\PostAuthenticationGuardToken: PostAuthenticationGuardToken(user=\"\", authenticated=true, roles=\"ROLE_USER\"))","authenticator":"App\\Security\\TokenAuthenticator"} []
[2019-11-13 17:49:52] security.DEBUG: Guard authenticator set no success response: request continues. {"authenticator":"App\\Security\\TokenAuthenticator"} []
[2019-11-13 17:49:52] security.DEBUG: Remember me skipped: it is not configured for the firewall. {"authenticator":"App\\Security\\TokenAuthenticator"} []
[2019-11-13 17:49:54] php.CRITICAL: Uncaught Exception: An exception occurred while executing 'INSERT INTO services (name, altName, lft, lvl, rgt, root_id, parent_id) VALUES (?, ?, ?, ?, ?, ?, ?)' with params ["A", null, 0, 0, 0, null, 26]:  SQLSTATE[23000]: Integrity constraint violation: 1062 Duplicate entry 'A-26' for key 'services_unique_name_parent_id' {"exception":"[object] (Doctrine\\DBAL\\Exception\\UniqueConstraintViolationException(code: 0): An exception occurred while executing 'INSERT INTO services (name, altName, lft, lvl, rgt, root_id, parent_id) VALUES (?, ?, ?, ?, ?, ?, ?)' with params [\"A\", null, 0, 0, 0, null, 26]:\n\nSQLSTATE[23000]: Integrity constraint violation: 1062 Duplicate entry 'A-26' for key 'services_unique_name_parent_id' at /www/vendor/doctrine/dbal/lib/Doctrine/DBAL/Driver/AbstractMySQLDriver.php:55, Doctrine\\DBAL\\Driver\\PDOException(code: 23000): SQLSTATE[23000]: Integrity constraint violation: 1062 Duplicate entry 'A-26' for key 'services_unique_name_parent_id' at /www/vendor/doctrine/dbal/lib/Doctrine/DBAL/Driver/PDOStatement.php:119, PDOException(code: 23000): SQLSTATE[23000]: Integrity constraint violation: 1062 Duplicate entry 'A-26' for key 'services_unique_name_parent_id' at /www/vendor/doctrine/dbal/lib/Doctrine/DBAL/Driver/PDOStatement.php:117)"} []
[2019-11-13 17:49:54] security.DEBUG: Stored the security token in the session. {"key":"_security_main"} []

[Игорь]

То есть первую критическую ошибку я не жду.

[2019-11-13 17:49:48] php.CRITICAL:

[Игорь]

Денис Дерепко,

stack trace не желательной ошибки

{
    "code": 1,
    "msg": "There is no user provider for user \"App\\Entity\\User\".",
    "request": {
        "http_method": "POST",
        "request_method": "/services.add",
        "parameters": {
            "service_id": 26,
            "expand": false,
            "items": [
                "A",
                "B",
                "C",
                "D"
            ]
        },
        "stack_trace": [
            {
                "file": "/www/vendor/symfony/security-http/Firewall/ContextListener.php",
                "line": 112,
                "function": "refreshUser",
                "class": "Symfony\\Component\\Security\\Http\\Firewall\\ContextListener",
                "type": "->",
                "args": [
                    {}
                ]
            },
            {
                "file": "/www/vendor/symfony/security-bundle/Debug/WrappedListener.php",
                "line": 51,
                "function": "__invoke",
                "class": "Symfony\\Component\\Security\\Http\\Firewall\\ContextListener",
                "type": "->",
                "args": [
                    {}
                ]
            },
            {
                "file": "/www/vendor/symfony/security-bundle/Debug/TraceableFirewallListener.php",
                "line": 35,
                "function": "__invoke",
                "class": "Symfony\\Bundle\\SecurityBundle\\Debug\\WrappedListener",
                "type": "->",
                "args": [
                    {}
                ]
            },
            {
                "file": "/www/vendor/symfony/security-http/Firewall.php",
                "line": 97,
                "function": "callListeners",
                "class": "Symfony\\Bundle\\SecurityBundle\\Debug\\TraceableFirewallListener",
                "type": "->",
                "args": [
                    {},
                    {}
                ]
            },
            {
                "file": "/www/vendor/symfony/event-dispatcher/Debug/WrappedListener.php",
                "line": 126,
                "function": "onKernelRequest",
                "class": "Symfony\\Component\\Security\\Http\\Firewall",
                "type": "->",
                "args": [
                    {},
                    "kernel.request",
                    {}
                ]
            },
            {
                "file": "/www/vendor/symfony/event-dispatcher/EventDispatcher.php",
                "line": 260,
                "function": "__invoke",
                "class": "Symfony\\Component\\EventDispatcher\\Debug\\WrappedListener",
                "type": "->",
                "args": [
                    {},
                    "kernel.request",
                    {}
                ]
            },
            {
                "file": "/www/vendor/symfony/event-dispatcher/EventDispatcher.php",
                "line": 235,
                "function": "doDispatch",
                "class": "Symfony\\Component\\EventDispatcher\\EventDispatcher",
                "type": "->",
                "args": [
                    [
                        {},
                        {},
                        {},
                        {},
                        {},
                        {},
                        {},
                        {},
                        {},
                        {},
                        {}
                    ],
                    "kernel.request",
                    {}
                ]
            },
            {
                "file": "/www/vendor/symfony/event-dispatcher/EventDispatcher.php",
                "line": 73,
                "function": "callListeners",
                "class": "Symfony\\Component\\EventDispatcher\\EventDispatcher",
                "type": "->",
                "args": [
                    [
                        {},
                        {},
                        {},
                        {},
                        {},
                        {},
                        {},
                        {},
                        {},
                        {},
                        {}
                    ],
                    "kernel.request",
                    {}
                ]
            },
            {
                "file": "/www/vendor/symfony/event-dispatcher/Debug/TraceableEventDispatcher.php",
                "line": 168,
                "function": "dispatch",
                "class": "Symfony\\Component\\EventDispatcher\\EventDispatcher",
                "type": "->",
                "args": [
                    {},
                    "kernel.request"
                ]
            },
            {
                "file": "/www/vendor/symfony/http-kernel/HttpKernel.php",
                "line": 127,
                "function": "dispatch",
                "class": "Symfony\\Component\\EventDispatcher\\Debug\\TraceableEventDispatcher",
                "type": "->",
                "args": [
                    {},
                    "kernel.request"
                ]
            },
            {
                "file": "/www/vendor/symfony/http-kernel/HttpKernel.php",
                "line": 68,
                "function": "handleRaw",
                "class": "Symfony\\Component\\HttpKernel\\HttpKernel",
                "type": "->",
                "args": [
                    {
                        "attributes": {},
                        "request": {},
                        "query": {},
                        "server": {},
                        "files": {},
                        "cookies": {},
                        "headers": {}
                    },
                    1
                ]
            },
            {
                "file": "/www/vendor/symfony/http-kernel/Kernel.php",
                "line": 198,
                "function": "handle",
                "class": "Symfony\\Component\\HttpKernel\\HttpKernel",
                "type": "->",
                "args": [
                    {
                        "attributes": {},
                        "request": {},
                        "query": {},
                        "server": {},
                        "files": {},
                        "cookies": {},
                        "headers": {}
                    },
                    1,
                    true
                ]
            },
            {
                "file": "/www/public/admin.php",
                "line": 30,
                "function": "handle",
                "class": "Symfony\\Component\\HttpKernel\\Kernel",
                "type": "->",
                "args": [
                    {
                        "attributes": {},
                        "request": {},
                        "query": {},
                        "server": {},
                        "files": {},
                        "cookies": {},
                        "headers": {}
                    }
                ]
            }
        ]
    }
}

[Денис Дерепко]

Класс App\Entity\User наследуется от Symfony\Component\Security\Core\User\User?
Попробуйте сделать наследование от него и добавить в security:

encoders:
        Symfony\Component\Security\Core\User\User: plaintext

[Игорь]

Денис Дерепко,

Класс App\Entity\User наследуется от Symfony\Component\Security\Core\User\User?

Нет

От
Symfony\Component\Security\Core\User\UserInterface;

[BoShurik]

Что значит нежелательной? У вас действительно нет провайдера для App\Entity\User

providers:
        in_memory: { memory: null }

[BoShurik]

Игорь, попробуйте добавить stateless: true для main firewall

[Игорь]

BoShurik,

Что значит нежелательной?

Это когда, например я добавляю новую категорию и вместо того что бы возвращать запрос из контроллера я бросаю исключение.

А тут исключение возникает в момент проверки токена, по идее этой ошибки не должно быть, тем более через раз.

Или например, в конкретном случае я вставляю данные в базу, но с уникальными полями, соответственно получаю mysql duplicate
Но не в этом дело.
Дело в другом.
Любой запрос нечет в себе access_token в заголовке.
Существует класс TokenAuthenticator который настроен на проверку JWT

Но я не хочу использовать провайдер!

Самое забавное, что до этого всё корректно работало и проверка выполнялась без загрузки данных из базы.

[Игорь]

BoShurik,

попробуйте добавить stateless: true для main firewall

Это решение!

Объясните, за что отвечает этот параметр?

[Игорь]

Денис Дерепко, Мне не удаётся унаследовать от Symfony\Component\Security\Core\User\User
IDE сигнализирует об ошибке, это связанно с тем, что у моей сущности одно и то же имя.

Решение найдено,
Коллега подсказал, установить stateless: true для main firewall

[BoShurik]

Игорь,

Но я не хочу использовать провайдер!

но почему? SRP же

[Игорь]

BoShurik, Правильно я понимаю, что провайдер нужен для постоянной загрузки данных пользователя из базы данных?

[BoShurik]

Игорь, не обязательно базы данных. В вашем случае будет что-то вроде

class UserProvider implements UserProviderInterface
{
    public function loadUserByUsername($username)
    {
        return new User();
    }
    
    public function refreshUser(UserInterface $user)
    {
        return new User();
    }
    
    public function supportsClass($class)
    {
        return $class === User::class;
    }
}

[Игорь]

BoShurik, Ок, логично.
Спасибо.

Answer 1

[BoShurik]

Вам нужно либо реализовать примитивный провайдер, который будет возвращать new User() вместо вашего кода

public function getUser($credentials, UserProviderInterface $userProvider)
{
    return new User();
}

либо добавить stateless: true
Проблема в ContextListener который

ContextListener manages the SecurityContext persistence through a session.

Он ожидает, что в сессии находится токен пользователя и пытается его восстановить из провайдера, которого у вас нет.

Comments

[BoShurik]

По хорошему, конечно, сделать и то и то

[Игорь]

BoShurik,

Спасибо.

Параметр конфигурации stateless предотвращает Symfony от попыток сохранить информацию аутентификации в сессии, что необязательно, так как клиент будет отправлять apikey по каждому запросу. Если вам нужно сохранить аутентификацию в сесии, то продолжайте читать!

Сессии не планирую использовать, от слова совсем.