api-平台:自定义操作的安全程度
api-platform : how secure custom operation
我想知道如何使用 api 平台保护自定义项目操作,我在文档中找到了这段代码:
/**
* Secured resource.
*
* @ApiResource(
* attributes={"access_control"="is_granted('ROLE_USER')"},
* collectionOperations={
* "get"={"method"="GET"},
* "post"={"method"="POST", "access_control"="is_granted('ROLE_ADMIN')"}
* },
* itemOperations={
* "get"{"method"="GET","access_control"="is_granted('ROLE_USER') and object.owner == user"}
* }
* )
* @ORM\Entity
*/
但我想做类似的事情:
/**
* @ApiResource(itemOperations={
* "get"={"method"="GET"} //Public route,
* "special"={"route_name"="special", "access_control"="is_granted('ROLE_ADMIN') or object.owner == user"}},
* "special2"={"route_name"="special2", "access_control"="is_granted('ROLE_USER')"}
* })
*/
有用吗?或者我必须检查特殊操作文件中的用户角色?
这种情况下的最佳做法是什么?
您应该考虑创建自定义 symfony voter
请试试这个代码,如果你对选民有什么不理解的,我就在这里
<?php
namespace yournamespace;
use App\Entity\User;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Authorization\Voter\Voter;
class YourObjectVoter extends Voter
{
const YOUR_CUSTOM_ACTION = 'custom_action';
protected function supports($attribute, $subject)
{
if (!$subject instanceof YourObject) {
return false;
}
if (!in_array($attribute, array(self::YOUR_CUSTOM_ACTION))) {
return false;
}
return true;
}
protected function voteOnAttribute($attribute, $subject, TokenInterface $token)
{
if($this->isGranted('ROLE_ADMIN')) {
return true;
}
$user = $token->getUser();
if(!$user instanceOf User) {
return false;
}
if($subject->getOwner() === $user) {
return true;
}
return false;
}
}
然后您需要将您的投票器定义为带有标签 security.voter
的服务
class: Yournamespace\Security\YourObjectVoter
public: false
tags:
- { name: security.voter }
custom_action 与投票器 class
中定义的字符串相同
使用此代码,您可以通过以下方式保护您的操作:
itemOperations={
* "get"{"method"="GET","access_control"="is_granted('custom_action', object)"}
* }
如果它不起作用,请告诉我。希望对您有所帮助!
我想知道如何使用 api 平台保护自定义项目操作,我在文档中找到了这段代码:
/**
* Secured resource.
*
* @ApiResource(
* attributes={"access_control"="is_granted('ROLE_USER')"},
* collectionOperations={
* "get"={"method"="GET"},
* "post"={"method"="POST", "access_control"="is_granted('ROLE_ADMIN')"}
* },
* itemOperations={
* "get"{"method"="GET","access_control"="is_granted('ROLE_USER') and object.owner == user"}
* }
* )
* @ORM\Entity
*/
但我想做类似的事情:
/**
* @ApiResource(itemOperations={
* "get"={"method"="GET"} //Public route,
* "special"={"route_name"="special", "access_control"="is_granted('ROLE_ADMIN') or object.owner == user"}},
* "special2"={"route_name"="special2", "access_control"="is_granted('ROLE_USER')"}
* })
*/
有用吗?或者我必须检查特殊操作文件中的用户角色?
这种情况下的最佳做法是什么?
您应该考虑创建自定义 symfony voter
请试试这个代码,如果你对选民有什么不理解的,我就在这里
<?php
namespace yournamespace;
use App\Entity\User;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Authorization\Voter\Voter;
class YourObjectVoter extends Voter
{
const YOUR_CUSTOM_ACTION = 'custom_action';
protected function supports($attribute, $subject)
{
if (!$subject instanceof YourObject) {
return false;
}
if (!in_array($attribute, array(self::YOUR_CUSTOM_ACTION))) {
return false;
}
return true;
}
protected function voteOnAttribute($attribute, $subject, TokenInterface $token)
{
if($this->isGranted('ROLE_ADMIN')) {
return true;
}
$user = $token->getUser();
if(!$user instanceOf User) {
return false;
}
if($subject->getOwner() === $user) {
return true;
}
return false;
}
}
然后您需要将您的投票器定义为带有标签 security.voter
的服务class: Yournamespace\Security\YourObjectVoter
public: false
tags:
- { name: security.voter }
custom_action 与投票器 class
中定义的字符串相同使用此代码,您可以通过以下方式保护您的操作:
itemOperations={
* "get"{"method"="GET","access_control"="is_granted('custom_action', object)"}
* }
如果它不起作用,请告诉我。希望对您有所帮助!