Как в symfony secure проверить авторизованность пользователя?

Question

[galliard]

В общем черт дернул меня связаться с набором костылей под названием "Symfony Security Component", которые ставят в тупик даже при самых простых задачах.

Суть задачи: надо определить, авторизован пользователь или нет. Для этого Security Component предлагает внедрить инстанс TokenStorageInterface, из которого можно дернуть инстанс TokenInterface, который свою очередь содержит метод isAuthenticated. Казалось бы, ура, я решил задачу! Если бы не одно НО! Он возвращает true. Всегда. Вот вообще всегда. Даже когда пользователь не авторизован. Фабьен что, каких-то голюценогенных лягушек обожрался, когда это делал? Где логика вообще?

Если у того же инстанса TokenInterface вызвать метод getUsername, то мы получим строку 'anon.'

В общем вопрос такой: а нормальные способы проверить авторизацию пользователя есть? Или не завезли? Очень не хотелось бы делать сравнение со строкой 'anon.'

Comments

[BoShurik]

Авторизация и аутентификация - разные вещи

[Максим Федоров]

Не всегда возвращает true

[galliard]

BoShurik, ага, но я для простоты не стал вдаваться в подробности. Как мне кажется, из описания вполне понятно что я хочу сделать.

[BoShurik]

galliard, вы вызываете метод isAuthenticated, который относится к аутентификации, а хотите выполнить авторизацию. Если вы понимаете разницу, тогда ваше негодование немного странное :)

[galliard]

BoShurik, судя по всему наши представрения где-то расходятся. Авторизация - проверка прав доступа, аутентификация - установление подлинности юзера. Почему isAuthenticated должен возвращать true, если юзера никакого нет?

[BoShurik]

galliard, по факту пользователь представился анонимом, для него процедура установления подлинности несколько упрощена, но аутентификацию он прошел, мы точно знаем, что он аноним :)

[BoShurik]

galliard, можно это воспринимать как анонимный ftp. Там, так или иначе, приходится вводить логин anonymous и пароль в виде любого email. В данном случае тоже самое, только убрана необходимость вводить логин и пароль.

[galliard]

BoShurik, но он же не представлялся анонимом. Он вообще никак не представлялся. Анонимом его назначил Security Component.

[BoShurik]

galliard, ну это же для удобства. Т.к. аутентификация упрощена и от пользователя требуется только сказать, что он аноним, то нет причин городить какие-то UI для этого, просто по умолчанию считаем его таковым

[galliard]

BoShurik, по моему это какая-то попытка натянуть сову на глобус, причем крайне неудачная. То есть вот нет пока никакого пользователя, но Security Component пытается меня убедить, что на самом деле он есть, просто он представился как аноним, хотя он так не представлялся, но мы все равно будем считать что представился, потому что типа так типа удобнее, хотя и не понятно кому от этого удобнее, вот мне лично нет. Шиза какая-то.

[BoShurik]

galliard, тем не менее оно все так, как я описал. Можете создать отдельный вопрос, там, возможно, вам объяснят лучше

[galliard]

BoShurik, да я не спорю, что оно так. Я лишь утверждаю, что это не логично и не удобно.

[BoShurik]

galliard, тут вопрос в том, как вы вообще дошли до метода isAuthenticated? Нигде в документации он не упоминается, он нужен, по сути, для внутренней работы. По запросу авторизации везде выдается AuthorizationCheckerInterface

[galliard]

BoShurik, это я в самом вопросе об этом писал. Просто пробежался по цепочке вызовов и посмотрел что внутри у объектов. Про то, что он для внутренних нужд я не знал, на нем такого не написано.

AuthorizationCheckerInterface я тоже видел, но там везде были примеры с проверкой ролей, примеров с IS_AUTHENTICATED_REMEMBERED я не находил.

[BoShurik]

galliard, да, в доке компонента это не упоминается, видимо, надо просматривать и ту часть, которая относится к фреймворку

Answer 1

[BoShurik]

https://symfony.com/doc/current/components/securit...

/** @var AuthorizationCheckerInterface $authorizationChecker */
if (!$authorizationChecker->isGranted('ROLE_USER')) {
    throw new AccessDeniedException();
}

Если роль пользователя неважна (хотя хорошая практика все-таки всегда выдавать базовую роль)
https://symfony.com/doc/current/security.html#chec...

/** @var AuthorizationCheckerInterface $authorizationChecker */
if (!$authorizationChecker->isGranted('IS_AUTHENTICATED_REMEMBERED')) {
    throw new AccessDeniedException();
}

Comments

[galliard]

Это проверка роли, а мне нужно проверить вообще авторизован или нет, не зависимо от роли.

[BoShurik]

galliard, https://symfony.com/doc/current/security.html#chec...

IS_AUTHENTICATED_REMEMBERED

[galliard]

BoShurik, да, это уже ближе к тому, что нужно. Единственное что не использую функционал Remember Me. Единственное, что у меня хранится в куках - это обычная php-сессия.

[BoShurik]

galliard, вы читаете по ссылке вообще?

IS_AUTHENTICATED_REMEMBERED: All logged in users have this, even if they are logged in because of a “remember me cookie”. Even if you don’t use the remember me functionality, you can use this to check if the user is logged in.

Answer 2

[Игорь]

В Symfony есть так называемый фаервол.

В моём проекте это выглядит так:

security:
  encoders:
    App\Entity\User:
      algorithm: auto

  # https://symfony.com/doc/current/security.html#where-do-users-come-from-user-providers
  providers:
    app_security_user_provider:
      id: App\Security\UserProvider

  #    registration:
  #        pattern:  ^/secure.registration
  #        stateless: true
  #        anonymous: true


  firewalls:
    dev:
      pattern: ^/(_(profiler|wdt)|css|images|js)/
      security: false

    authorization:
      pattern: ^/authorization
      security: false

    main:
      anonymous: ~
      stateless: true
      provider: app_security_user_provider
      guard:
        authenticators:
          - App\Security\Authenticator

        # activate different ways to authenticate
        # https://symfony.com/doc/current/security.html#firewalls-authentication

        # https://symfony.com/doc/current/security/impersonating_user.html
      # switch_user: true

  # Easy way to control access for large sections of your site
  # Note: Only the *first* access control that matches will be used
  access_control:
  # - { path: ^/profile, roles: ROLE_USER }

Это глобальная защита всех маршрутов.
Так же существует так называемая локальная защита чего-то, например каких то действий в экшене.

// throw exception
  $this->denyAccessUnlessGranted(UserVoter::READ["read"], User::class, "Вам запрещено просматривать пользователей.");
// or
// return boolean
$this->isGranted(UserVoter::READ["read"], User::class)

Comments

[BoShurik]

Я так понял у автора не фреймворк, а компонент

[galliard]

Игорь Вы видимо не поняли суть вопроса.

[Игорь]

Наверное важен контекст, где всё это дело работает, как и куда эти компоненты прикручены.