Symfony2 防火墙:保护 /web 文件夹

Symfony2 Firewall: protect /web folder

我正在开发一个完全受防火墙保护的 SF2 网络应用程序:在登录之前,任何人都不应该能够看到或修改任何内容(当然,登录表单除外)。

所以这是我的 security.yml 文件的 firewall 部分:

firewalls:
    dev:
        pattern:  ^/(_(profiler|wdt)|css|images|js)/
        security: false
    main_login:
        pattern:   ^/login$
        anonymous: true
    main:
        pattern:        ^/
        anonymous:      false
        form_login:
            login_path: fos_user_security_login
            check_path: fos_user_security_check
        logout:
            path:       fos_user_security_logout
            target:     /

这很好用:如果我在未登录时键入 url http://mywebsite.com/app.php/article/show/1,我将转到登录页面。

我的问题是我有一些文档和媒体文件位于 Symfony 的 web 目录(例如 myapp/web/document/myTextFile.txt)。登录用户可以通过我的应用程序访问它们,非登录用户 也可以访问它们!

任何键入 http://mywebsite.com/app.php/document/myTextFile.txt 的人都可以下载文件...

为什么 pattern: ^/ 行不阻止这种情况?默认排除 web 文件夹是因为它包含 app.phpjs/ 以及 css/ 文件夹吗?

如何保护我的文档?


更新:显示受保护的图片

我尝试了 Gerry 建议的解决方案,它可以很好地保护我的文档下载。

但是,我的document文件夹中也有图片,我想显示这些图片,直接包含在相关页面中。

例如http://mywebsite.com/app.php/article/show/1中会有一些文字和图片myapp/app/Resources/document/AAA.jpghttp://mywebsite.com/app.php/article/show/2中会有一些文字和图片myapp/app/Resources/document/BBB.jpg等.

我试着用 Assetic 来做,但它似乎是为 "static" 图片(比如顶部徽标,或不依赖于对象的图片)做的。

我看到的一个解决方案是将图像转换为 Base64 并像这样包含它:<img alt="" src="data:image/png;base64(...)" />,但它看起来真的很丑...

我现在没有有效的 Symfony 安装,但请尝试从 Web 移动您的文档,如果防火墙会继续。

请告诉我答案,如果它不起作用,或者您将无法在生产中移动这些文件,我们将尝试找出解决方案。

Web 目录是您的 public 根目录,由网络服务器 (Apache/Nginx/...) 提供服务。

默认情况下,对现有文件的任何请求根本不会通过 Symfony,因此没有防火墙设置会阻止对驻留在 Web 根目录中的文件的访问。

干净的解决方案是将这些文件移动到另一个目录,在 webroot 之外,例如 app/Resources/uploads。然后你可以编写一个 Symfony 控制器来下载这些文件。