Symfony2 - 将安全性 access_control 设置为仅允许匿名身份验证
Symfony2 - set security access_control to allow only authenticated anonymously
假设我的 access_control 块位于 security.yml 下:
access_control:
- { path: ^/$, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/reset-password, roles: IS_AUTHENTICATED_ANONYMOUSLY }
在这种情况下,每个人都可以进入 homepage 和 reset-password 页面。但我想只允许匿名身份验证的用户使用这些页面。完全认证的用户应该得到 403 access denied error 或 404 page not found.
根据 documentation 和 allow_if 我应该 ablo 创建角色表达式来定义访问权限。但如果我这样做:
access_control:
- { path: ^/reset-password, allow_if: "has_role('IS_AUTHENTICATED_ANONYMOUSLY') and not has_role('IS_AUTHENTICATED_FULLY')" }
现在按照这个想法,完全认证的用户(登录)不应被允许访问该页面,匿名认证的用户应该能够访问,但不幸的是,none 的用户能够访问它...
知道我遗漏了什么吗?
更新
这使它按照正确答案的建议工作:
- { path: ^/reset-password, allow_if: "is_anonymous() and !is_authenticated()" }
您确定可以使用 has_role() 测试 IS_* 吗?这些行为像角色,但它们不是角色。也许这就是为什么它总是 returns false:
看来您最好在 allow_if 表达式中使用 is_anonymous() 和 is_authenticated() 自定义函数。
假设我的 access_control 块位于 security.yml 下:
access_control:
- { path: ^/$, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/reset-password, roles: IS_AUTHENTICATED_ANONYMOUSLY }
在这种情况下,每个人都可以进入 homepage 和 reset-password 页面。但我想只允许匿名身份验证的用户使用这些页面。完全认证的用户应该得到 403 access denied error 或 404 page not found.
根据 documentation 和 allow_if 我应该 ablo 创建角色表达式来定义访问权限。但如果我这样做:
access_control:
- { path: ^/reset-password, allow_if: "has_role('IS_AUTHENTICATED_ANONYMOUSLY') and not has_role('IS_AUTHENTICATED_FULLY')" }
现在按照这个想法,完全认证的用户(登录)不应被允许访问该页面,匿名认证的用户应该能够访问,但不幸的是,none 的用户能够访问它...
知道我遗漏了什么吗?
更新
这使它按照正确答案的建议工作:
- { path: ^/reset-password, allow_if: "is_anonymous() and !is_authenticated()" }
您确定可以使用 has_role() 测试 IS_* 吗?这些行为像角色,但它们不是角色。也许这就是为什么它总是 returns false:
看来您最好在 allow_if 表达式中使用 is_anonymous() 和 is_authenticated() 自定义函数。