Точка входа: помощь пользователям с началом аутентификации

Дата обновления перевода 2022-02-03

Точка входа: помощь пользователям с началом аутентификации

Когда неаутентифицированный пользователь пытается получить доступ к защищенной странице, Symfony предоставляет ему подходящий ответ, чтобы позволить ему начать аутентификацию (например, перенаправляет на форму входа в систему, или отображает ответ HTTP 401 Неавторизовано, для API).

Однако, иногда, один файерволл имет множество способов аутентификации (к примеру, и форму входа в систему, и социальный вход в систему). В таких случаях необходимо сконфигурировать точку входу аутентификации.

Вы можете сконфигурировать ее, используя настройку entry_point:

YAML
XML
PHP

        1
2
3
4
5
6
7
8
9
10
11
12
13
14
        # config/packages/security.yaml
security:
    enable_authenticator_manager: true

    # ...
    firewalls:
        main:
            # позволить аутентификацию, используя форму или пользовательский аутентификатор
            form_login: ~
            custom_authenticators:
                - App\Security\SocialConnectAuthenticator

            # сконфигурировать форму аутентификации как точку входа для неаутентифицированных пользователей
            entry_point: form_login
    

        1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
        <!-- config/packages/security.xml -->
<?xml version="1.0" encoding="UTF-8"?>
<srv:container xmlns="http://symfony.com/schema/dic/security"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:srv="http://symfony.com/schema/dic/services"
    xsi:schemaLocation="http://symfony.com/schema/dic/services
        https://symfony.com/schema/dic/services/services-1.0.xsd
        http://symfony.com/schema/dic/security
        https://symfony.com/schema/dic/security/security-1.0.xsd">

    <config enable-authenticator-manager="true">
        <!-- ... -->

        <!-- entry-point: сконфигурировать форму аутентификации как точку входа
                          для неаутентифицированных пользователей -->
        <firewall name="main"
            entry-point="form_login"
        >
            <!-- позволить аутентификацию, используя форму или пользовательский аутентификатор -->
            <form-login/>
            <custom-authenticator>App\Security\SocialConnectAuthenticator</custom-authenticator>
        </firewall>
    </config>
</srv:container>
    

        1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
        // config/packages/security.php
use Symfony\Config\SecurityConfig;
use App\Security\SocialConnectAuthenticator;

return static function (SecurityConfig $security) {
    $security->enableAuthenticatorManager(true);
    // ....


    // позволить аутентификацию, используя форму или базовый HTTP
    $mainFirewall = $security->firewall('main');
    $mainFirewall
        ->formLogin()
        ->customAuthenticators([SocialConnectAuthenticator::class])

        // сконфигурировать форму аутентификации как точку входа для неаутентифицированных пользователей
        ->entryPoint('form_login');
    ;
};
    

Note

Вы также можете создать собственную точку входа аутентификации, создав класс, реализующий AuthenticationEntryPointInterface. Затем, вы можете установить entry_point в сервис-id (например, entry_point: App\Security\CustomEntryPoint)

Множество аутентификаторов с разными точками входа

Однако, существуют случаи применения, где у вас есть аутентификаторы, которые защищают разные части вашего приложения. Например, у вас есть форма входа в систему, защищающая основной веб-сайт и конечные точки API, используемые внешними сторонами, защищенные ключами API.

Так как вы можете сконфигурировать только по одной точке входа для одного файерволла, решением будет разделить конфигурацию на два отдельных файерволла:

YAML
XML
PHP

        1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
        # config/packages/security.yaml
security:
    # ...
    firewalls:
        api:
            pattern: ^/api/
            custom_authenticators:
                - App\Security\ApiTokenAuthenticator
        main:
            lazy: true
            form_login: ~

    access_control:
        - { path: '^/login', roles: PUBLIC_ACCESS }
        - { path: '^/api', roles: ROLE_API_USER }
        - { path: '^/', roles: ROLE_USER }
    

        1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
        <!-- config/packages/security.xml -->
<?xml version="1.0" encoding="UTF-8" ?>
<srv:container xmlns="http://symfony.com/schema/dic/security"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:srv="http://symfony.com/schema/dic/services"
    xsi:schemaLocation="http://symfony.com/schema/dic/services
        https://symfony.com/schema/dic/services/services-1.0.xsd
        http://symfony.com/schema/dic/security
        https://symfony.com/schema/dic/security/security-1.0.xsd">

    <config>
        <!-- ... -->
        <firewall name="api" pattern="^/api/">
            <custom-authenticator>App\Security\ApiTokenAuthenticator</custom-authenticator>
        </firewall>

        <firewall name="main" anonymous="true" lazy="true">
            <form-login/>
        </firewall>

        <rule path="^/login" role="PUBLIC_ACCESS"/>
        <rule path="^/api" role="ROLE_API_USER"/>
        <rule path="^/" role="ROLE_USER"/>
    </config>
</srv:container>
    

        1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
        // config/packages/security.php
use App\Security\ApiTokenAuthenticator;
use App\Security\LoginFormAuthenticator;
use Symfony\Config\SecurityConfig;

return static function (SecurityConfig $security) {
    $apiFirewall = $security->firewall('api');
    $apiFirewall
        ->pattern('^/api')
        ->customAuthenticators([ApiTokenAuthenticator::class])
    ;

    $mainFirewall = $security->firewall('main');
    $mainFirewall
        ->lazy(true)
        ->formLogin();

    $accessControl = $security->accessControl();
    $accessControl->path('^/login')->roles(['IS_AUTHENTICATED_ANONYMOUSLY']);
    $accessControl->path('^/api')->roles(['ROLE_API_USER']);
    $accessControl->path('^/')->roles(['ROLE_USER']);
};
    