Как проверять юзера при каждой аутентификации в Symfony 5?

Question

[Kripto77]

Есть админ и обычные юзеры. Обычного юзера могут заблокировать в любой момент - тогда надо при первой же аутентификации проверить не заблокирован ли он - если да - разлогинить и отправить на форму авторизации.
Пытался через EventListener - но ничего не происходит - AuthListener не вызывается.
На event: security.interactive_login тоже нет реакции

#config/services.xml
services:
    App\EventListener\AuthListener:
        tags:
            - { name: kernel.event_listener, event: security.authentication.success, method: onSecurityAuthenticationSuccess }

//App/EventListener/AuthListener.php
namespace App\EventListener;

use App\Entity\User;
use Symfony\Component\HttpFoundation\RedirectResponse;
use Symfony\Component\Security\Core\Security;

class AuthListener
{
    /** @var User $user */
    private $user;

    public function __construct(Security $security)
    {
        $this->user = $security->getUser();
    }

    public function onSecurityAuthenticationSuccess()
    {
        if ($this->user->isBlocked()) {
            file_put_contents('onSecurityAuthenticationSuccess.txt', $this->user->getId() . ' - User blocked', FILE);
            return new RedirectResponse('/logout');
        }
    }
}

Заранее спасибо

Comments

[padlyuck]

Не оно? https://github.com/symfony/symfony-docs/pull/11457
https://stackoverflow.com/questions/31124217/how-t...

[Kripto77]

padlyuck, спс, в одном из ответов на стаке навели на идею, хоть и код устаревший под 3.4

Answer 1

[Kripto77]

Спасибо всем за комментарии - навели на нужные идеи.
По итогу пришел к не очень красивому решению через EventSubscriber и глобальный onKernelRequest (срабатывает на любой запрос). Буду признателен если кто подскажет решение получше.

//src/Events/GlobalSubscriber.php

namespace App\Events;

use App\Entity\User;

use Symfony\Component\EventDispatcher\EventSubscriberInterface;
use Symfony\Component\HttpKernel\Event\RequestEvent;
use Symfony\Component\HttpFoundation\RedirectResponse;
use Symfony\Component\Routing\RouterInterface;
use Symfony\Component\Security\Core\Authentication\Token\Storage\TokenStorageInterface;

class GlobalSubscriber implements EventSubscriberInterface
{
    /** @var RouterInterface $router */
    private $router;

    /** @var TokenStorageInterface $tokenStorage */
    private $tokenStorage;

    /**
     * @param RouterInterface $router
     * @param TokenStorageInterface $tokenStorage
     */
    public function __construct(RouterInterface $router, TokenStorageInterface $tokenStorage)
    {
        $this->router = $router;
        $this->tokenStorage = $tokenStorage;
    }

    public function onKernelRequest(RequestEvent $event)
    {
        if(!$event->isMasterRequest())
            return;

        $this->isUserBlocked($event);
    }

    /**
     * Проверка блокировки пользователя
     * @param RequestEvent $event
     */
    private function isUserBlocked(RequestEvent $event)
    {
        if (empty($this->tokenStorage->getToken()) || !$this->tokenStorage->getToken()->getUser() instanceof User) return;

        /** @var User $user */
        $user = $this->tokenStorage->getToken()->getUser();

        if ($user->isBlocked()) {
            $event->setResponse(new RedirectResponse($this->router->generate('app_logout')));
        }

    }

    public static function getSubscribedEvents()
    {
        return [
            // Правка от @Flying
            KernelEvents::REQUEST => 'onKernelRequest'
            // Старый вариант - RequestEvent::class => 'onKernelRequest'
        ];
    }
}

Странно почему не заработал EventListener - делал по офф.докам https://symfony.com/doc/current/event_dispatcher.h...

Comments

[Flying]

Ваш вариант будет работать, правда лучше вместо RequestEvent::class использовать KernelEvents::REQUEST.

Однако, поскольку вы принимаете решение о допуске пользователя основываясь на содержимом token'а - то в целом более корректным будет всё-таки использование Security компонента для этой задачи или, если более конкретно - механизма авторизации. По сути вам просто нужен свой voter который будет голосовать за или против предоставления доступа на основании того заблокирован пользователь или нет. Вы можете использовать ExpressionVoter или написать свой.

Answer 2

[Dmitry]

Возможно, наиболее простым решением будет при блокировке пользователя удалять у него роли (User->setRoles([])). Тогда у заблокированного пользователя на следующем запросе будут разные данные в сессии и в бд, и его перенаправит на форму входа в аккаунт. Там через UserChecker можно показать ему сообщение, что аккаунт заблокирован.

https://symfony.com/doc/current/security/user_prov...

Разумеется для этого нужно, чтобы в сесии хранились роли пользователя (по умолчанию symfony так и делает), поэтому если ваш класс User имплементирует \Serializable, то нужно в serialize/unserialize или добавить роли, или сам флаг блокировки.

Еще вариант - проверять статус в UserProvider в методе refreshUser() и бросать исключение UsernameNotFoundException.

Comments

[Kripto77]

Спасибо за ответ, но в моем случае это не решение - ролей и юзеров много. Если случайно заблочил один из админов заново роли прописывать геморно + если юзер напортачил роли потом нужны для анализа его действий

[Dmitry]

Kripto77, а через UserProvider и метод refreshUser(), как указал выше? В этом варианте роли не нужны - достаточно проверить isBlocked()

security.authentication.success , судя по всему, генерируется только в момент, когда пользователь указывает логин и пароль.

[entermix]

Kripto77, а что, если для таких пользователей добавить новую роль, а не удалять существующие?

[Kripto77]

entermix, ролей много и на каждую проверку делать доп.проверку типа !is_granted('ROLE_BLOCKED') нереально. Только через глобальный обработчик - опять же возвращаемся к Event Listener или Subscriber.

[Kripto77]

Дмитрий, спс, через UserProvider не пробовал делать - времени как обычно не хватает.