Захист панелі керування
Внутрішній інтерфейс панелі керування має бути доступний тільки довіреним особам. Захист цієї області веб-сайту може бути виконана за допомогою компонента Symfony Security.
Визначення сутності користувача
Попри те що учасники не зможуть створити свої власні облікові записи на веб-сайті, ми створимо повнофункціональну систему аутентифікації для адміністратора. Тому у нас буде тільки один користувач — адміністратор веб-сайту.
Першим кроком є визначення сутності User. Щоб уникнути можливої плутанини, назвімо її Admin.
Щоб інтегрувати сутність Admin із системою аутентифікації Symfony Security, вона має відповідати певним вимогам. Наприклад, має бути властивість password.
Використовуйте спеціальну команду make:user, щоб створити сутність Admin, замість традиційної make:entity:
1
$ symfony console make:user AdminДайте відповідь на інтерактивні запитання: ми хочемо використовувати Doctrine для зберігання адміністраторів (yes), використовувати властивість username для відображення унікального імені адміністратору, та чи кожен користувач матиме пароль (yes).
Згенерований клас містить такі методи, як getRoles(), eraseCredentials() і деякі інші, які необхідні для системи аутентифікації Symfony.
Якщо ви хочете додати додаткові властивості до користувача Admin — використовуйте команду make:entity.
Додаймо метод __toString(), як цього потребує EasyAdmin:
1 2 3 4 5 6 7 8 9 10 11 12 13 14
--- a/src/Entity/Admin.php
+++ b/src/Entity/Admin.php
@@ -54,6 +54,11 @@ class Admin implements UserInterface, PasswordAuthenticatedUserInterface
return (string) $this->username;
}
+ public function __toString(): string
+ {
+ return $this->username;
+ }
+
/**
* @see UserInterface
*/На додаток до генерування сутності Admin, команда також оновила конфігурацію безпеки, щоб зв'язати сутність із системою аутентифікації:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
--- a/config/packages/security.yaml
+++ b/config/packages/security.yaml
@@ -1,7 +1,15 @@
security:
+ password_hashers:
+ App\Entity\Admin:
+ algorithm: auto
+
# https://symfony.com/doc/current/security.html#where-do-users-come-from-user-providers
providers:
- in_memory: { memory: null }
+ # used to reload user from session & other features (e.g. switch_user)
+ app_user_provider:
+ entity:
+ class: App\Entity\Admin
+ property: username
firewalls:
dev:
pattern: ^/(_(profiler|wdt)|css|images|js)/Ми дозволяємо Symfony вибрати найкращий з можливих алгоритмів хешування паролів (який буде розвиватися з часом).
Настав час згенерувати міграцію та застосувати її до бази даних:
1 2
$ symfony console make:migration
$ symfony console doctrine:migrations:migrate -nГенерування пароля для адміністратора
Ми не будемо розробляти окрему систему для створення облікових записів адміністраторів. Знову ж таки, у нас буде тільки один адміністратор. Логіном буде admin, і нам потрібно згенерувати хеш пароля.
Виберіть App\Entity\Admin, а потім виберіть потрібний пароль і виконайте наступну команду, щоб згенерувати хеш пароля:
1
$ symfony console security:hash-password1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
Symfony Password Hash Utility
=============================
Type in your password to be hashed:
>
------------------ ---------------------------------------------------------------------------------------------------
Key Value
------------------ ---------------------------------------------------------------------------------------------------
Hasher used Symfony\Component\PasswordHasher\Hasher\MigratingPasswordHasher
Password hash $argon2id$v=19$m=65536,t=4,p=1$BQG+jovPcunctc30xG5PxQ$TiGbx451NKdo+g9vLtfkMy4KjASKSOcnNxjij4gTX1s
------------------ ---------------------------------------------------------------------------------------------------
! [NOTE] Self-salting hasher used: the hasher generated its own built-in salt.
[OK] Password hashing succeededСтворення адміністратора
Додайте користувача-адміністратора за допомогою SQL-виразу:
1 2 3
$ symfony run psql -c "INSERT INTO admin (id, username, roles, password) \
VALUES (nextval('admin_id_seq'), 'admin', '[\"ROLE_ADMIN\"]', \
'\$argon2id\$v=19\$m=65536,t=4,p=1\$BQG+jovPcunctc30xG5PxQ\$TiGbx451NKdo+g9vLtfkMy4KjASKSOcnNxjij4gTX1s')"Зверніть увагу на екранування знака $ в значенні стовпця password; Екрануйте їх всі!
Налаштування аутентифікації
Тепер, коли у нас є адміністратор, ми можемо захистити панель керування. Symfony підтримує декілька стратегій аутентифікації. Використовуймо класичну й популярну систему аутентифікації за допомогою форми.
Виконайте команду make:auth, щоб оновити конфігурацію безпеки, згенерувати шаблон форми входу та аутентифікатор:
1
$ symfony console make:authВиберіть 1, щоб згенерувати аутентифікатор форми входу, назвіть клас аутентифікатора — AppAuthenticator, контролер — SecurityController і згенеруйте URL-адресу /logout (yes).
Команда оновила конфігурацію безпеки для налаштування згенерованих класів:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
--- a/config/packages/security.yaml
+++ b/config/packages/security.yaml
@@ -16,6 +16,13 @@ security:
security: false
main:
anonymous: lazy
+ guard:
+ authenticators:
+ - App\Security\AppAuthenticator
+ logout:
+ path: app_logout
+ # where to redirect after logout
+ # target: app_any_route
# activate different ways to authenticate
# https://symfony.com/doc/current/security.html#firewalls-authenticationЗавдяки підказці, що з'явилася після виконання команди, можна зрозуміти, що нам потрібно налаштувати маршрут у методі onAuthenticationSuccess(), щоб переспрямувати користувача після успішного входу в систему:
1 2 3 4 5 6 7 8 9 10 11 12 13
--- a/src/Security/AppAuthenticator.php
+++ b/src/Security/AppAuthenticator.php
@@ -49,9 +49,7 @@ class AppAuthenticator extends AbstractLoginFormAuthenticator
return new RedirectResponse($targetPath);
}
- // For example:
- //return new RedirectResponse($this->urlGenerator->generate('some_route'));
- throw new \Exception('TODO: provide a valid redirect inside '.__FILE__);
+ return new RedirectResponse($this->urlGenerator->generate('admin'));
}
protected function getLoginUrl(Request $request): stringTip
Як я пам'ятаю, що маршрутом EasyAdmin є admin (як налаштовано в App\Controller\Admin\DashboardController)? Я не пам'ятаю. Ви можете поглянути на файл, але також можна виконати наступну команду, яка показує зв'язок між іменами маршрутів і шляхами:
1
$ symfony console debug:routerДодавання правил контролю доступу до авторизації
Система безпеки складається з двох частин: аутентифікація та авторизація. При створенні адміністратора ми дали йому роль ROLE_ADMIN. Дозвольмо доступ до розділу /admin тільки тим користувачам, які мають цю роль, додавши правило в access_control:
1 2 3 4 5 6 7 8 9 10 11
--- a/config/packages/security.yaml
+++ b/config/packages/security.yaml
@@ -35,7 +35,7 @@ security:
# Easy way to control access for large sections of your site
# Note: Only the *first* access control that matches will be used
access_control:
- # - { path: ^/admin, roles: ROLE_ADMIN }
+ - { path: ^/admin, roles: ROLE_ADMIN }
# - { path: ^/profile, roles: ROLE_USER }
when@test:Правила access_control обмежують доступ за допомогою регулярних виразів. При спробі переходу за URL-адресою, що починається з /admin, система безпеки перевірить наявність ролі ROLE_ADMIN у користувача, що здійснив вхід.
Аутентифікація через форму входу
Якщо ви спробуєте отримати доступ до адміністративного розділу, то будете перенаправлені на сторінку входу, де буде запропоновано ввести логін і пароль:
Увійдіть у систему, використовуючи логін admin і будь-який текстовий пароль, який ви вибрали раніше. Якщо ви повністю скопіювали мою SQL-команду, паролем буде admin.
Зверніть увагу, що EasyAdmin автоматично розпізнає систему аутентифікації Symfony:
Спробуйте натиснути на посилання "Sign out". Готово! Тепер у вас є повністю захищена панель керування.
Note
Якщо ви хочете створити повнофункціональну систему аутентифікації з використанням форми, перегляньте команду make:registration-form