Как добавить первичного администратора в Symfony?

Question

[vasx3]

Подскажите, как в Symfony 5 добавить первичного администратора?
Как управлять пользователями когда администратор уже есть понятно, но как его добавить?
В security.yaml?
Пробовал задавать в провайдере in_memory, но там даёт задать только 2 параметра: пароль и роль, а у меня больше обязательных полей. Да и не уверен, что это достаточно безопасно хранить доступы в коде.
Через фикстуры?
Так вроде рекомендуется использовать только для дева.

Как лучше всего, просветите начинающего

Comments

[Flying]

Уточните первичного администратора для чего вы хотите добавлять? Это какая-то готовая система типа Sonata или Easy Admin или что-то самописное? Если самописное - то что у вас отвечает за менеджмент пользователей? FOSUserBundle или что-то самописное? А то варианты различаются в зависимости от сценария.

[vasx3]

Flying, пока никакой системы нету, но планирую подключить easy admin

[Flying]

vasx3, Сам по себе EasyAdmin пользователей не создаёт, рассчитывает на менеджмент пользователей самой Symfony, а это обычно FOSUserBundle. Там есть специальная команда для создания пользователей, просто используйте её.

[vasx3]

Flying, просто для моих целей (небольшая панелька с минимумом настроек) кажется избыточной. Разве нельзя это сделать нативно?
Или обычно все пользуются FOSUserBundle?

[vasx3]

Flying, А Sonata умеет рулить пользователями?

[BoShurik]

Flying, ну не сказал бы что "обычно FOSUserBundle"... Сейчас может ситуация изменилась, но раньше его не очень жаловали. Вот есть даже доклад: https://jolicode.github.io/fosuserbundle-conf

[Flying]

BoShurik, Зависит от задач и силы желания скинуть с себя всякую рутину. Лично я в своих проектах её тоже не использую, но человеку хочется чего-то для начала, иначе бы и вопроса не появилось.

[Flying]

vasx3, нативно, конечно, можно, в документации Symfony Security всё описано. Но из вопроса вроде бы следовало что в дебри Securiy вы лезть пока не хотите (иначе, как мне показалось, вопроса бы не возникло). В FOSUserBundle есть много для простого и быстрого старта.

В Sonata есть свой UserBundle, но он опирается на тот же FOSUserBundle.

[Владислав Лысков]

Какой fosuserbundle, он же давно сдох

[vasx3]

Flying, вы меня видимо, не правильно поняли, Symfony Security не особо сложный, для меня не понятно только как реализовать добавление "стартовых" пользователей.
Чтобы когда я развернул приложение на новом сервере, там уже была учётка админа, и не нужно было бы накатывать дампов.
И вот как это делают в нормальных компаниях не понятно.

[vasx3]

Владислав Лысков, а чем сейчас пользуются?

[vasx3]

BoShurik, чтобы вы могли посоветовать по управлению пользователями?

[Владислав Лысков]

vasx3, на основе security и voters писать свою реализацию

[BoShurik]

vasx3, конкретно ваша задача решается добавлением команды app:user:create в которой добавите пользователя. Если речь про администрирование сущностей, то тут оно ничем не отличается от других и можно взять тот же EasyAdmin.

[golentor]

К чёрту Сонату. Сейчас напишу правильный ответ

[vasx3]

BoShurik, это команда из FOSUserBundle так?

[BoShurik]

vasx3, нет, ее создать самому

[vasx3]

BoShurik, а понял, обычная команда, а чем использование команды тогда отличается от использования фикстуры? Результат то по сути одинаковый

[vasx3]

BoShurik, оформите как ответ, пжлст

Answer 1

[BoShurik]

Если используется FOSUserBundle, то надо использовать команду

bin/console fos:user:create username em@ai.il 'p@55w0rd'

.

В случае своего решения, эта команду надо создать самому. У меня она выглядит как-то так (по сути повторяет код экшена контроллера со своими нюансами)

CreateCommand

/**
 * @psalm-suppress PropertyNotSetInConstructor
 */
class CreateCommand extends AbstractCommand
{
    private DocumentManager $documentManager;
    private ValidatorInterface $validator;
    private PasswordGenerator $passwordGenerator;
    private AdministratorMapper $mapper;

    public function __construct(
        DocumentManager $documentManager,
        ValidatorInterface $validator,
        PasswordGenerator $passwordGenerator,
        AdministratorMapper $mapper
    ) {
        parent::__construct();

        $this->documentManager = $documentManager;
        $this->validator = $validator;
        $this->passwordGenerator = $passwordGenerator;
        $this->mapper = $mapper;
    }

    /**
     * @psalm-suppress MissingReturnType
     */
    protected function configure()
    {
        $this
            ->setName('app:administrator:create')
            ->addArgument('username', InputArgument::REQUIRED, 'Username')
            ->addOption('password', 'p', InputOption::VALUE_REQUIRED, 'Password')
            ->setDescription('Creates administrator')
        ;
    }
    
    protected function execute(InputInterface $input, OutputInterface $output)
    {
        /** @var string $username */
        $username = $input->getArgument('username');
        /** @var string|null $plainPassword */
        $plainPassword = $input->getOption('password');
        if (!$plainPassword) {
            $plainPassword = $this->passwordGenerator->generate();
        }

        $model = new AdministratorModel();
        $model->enabled = true;
        $model->username = $username;
        $model->password = $plainPassword;

        $errors = $this->validator->validate($model);
        if (\count($errors) > 0) {
            $this->io->error('Can\'t create administrator');
            $this->printConstraintViolations($errors);

            return 1;
        }

        $administrator = $this->mapper->map($model);

        $this->documentManager->persist($administrator);
        $this->documentManager->flush();

        $this->io->writeln(sprintf('Administrator <info>%s</info> with password <info>%s</info> has been created', $administrator->getUsername(), $plainPassword));

        return 0;
    }
}

bin/console app:administrator:create vasx3

Создавать пользователей, а тем более администраторов, через миграции и фикстуры - риск, т.к. в случае утечки кода все эти данные будут доступны третьим лицам

Comments

[golentor]

Где простите Вы увидели риск? Если современные парроли все шифрованы алгоритмом Argon.i? Их можно хоть тут печатать - никто ключ неподберёт) У Вас же также наверняка создаются миграции, и более того - Вы пишете парроли открыто в консоли - вот это мегасекьюрно!)

[BoShurik]

golentor, ну чаще всего в миграции все-таки пишут не SET password = 'hash' а SET password = password_hash("plain_password"), т.е. в миграции или фикстуре так или иначе хранится пароль в отрытом виде.
В моем примере пароль в консоле не набирается, а если набирается, то history -c решит проблему

[golentor]

BoShurik, ладно, Вы победили. Теперь ждём пока автор вопроса 5-й раз сделав попытку поставить bundle FOS опять приползёт к нам задавать вопросы - почему ошибки установки))

[vasx3]

golentor, спасибо за пожелание, но fos меня не интересует

Answer 2

[golentor]

В консоли

php bin/console make:auth
php bin/console make:user

Далее следуйте инструкциям.
https://symfony.com/doc/master/security.html

Неблагодарите.

Comments

[golentor]

В нормальных компаниях, делают развёртывание (deploy)

php bin/console database:create
php bin/console doctrine:create:migration

И если Вы позаботились заранее создав файл настроек .env и в папку ./migrations
положили нужные файлы произойдёт симфоническая магия)
Вот в Реакте такого я ещё невидел.

[vasx3]

golentor, то есть данные начальных пользователей забиваются в .env? Я правильно понял?

[vasx3]

да не, это не то. Вы мне предлагаете просто создать entity, а мне интересно как задавать "стартовых" пользователей. Вопрос про это

[profesor08]

golentor, в реакте и не увидишь, это фронтенд, а не бэкенд.

vasx3, он предлагает создать миграцию, где ты укажешь список изначальных данных (это и есть админ), с логином и паролем admin, и нужными полями.

[vasx3]

profesor08, эм, через миграцию только создаётся таблица. Заполняется он уже позже

[golentor]

vasx3, ответ: .env файл нужен чтобы комманда database:create у Вас сработала.
Пользователи задаются 2-мя коммандами make:auth make:user
Вы доки на оффициальном сайте читать умеете? Методом тыка на Симфони - непрокатит)

[v1t3man]

profesor08, ну такое забивать данные в базу через миграцию. Неудобно, чувствительно к изменениям и не секьюрно

[profesor08]

v1t3man, почему не секьюрно? Тебе нужно каким-то образом получить дефолтного админа, ты его будешь либо вручную в базу пихать, либо автоматически. Если автоматически, то пароль логин пароль admin это норма. Потом после логина меняешь пароль и все. Что касается чувствительности к изменению, то чувствительно к изменению будет всегда.