symfony:仅在 access_control on API 中授予所有人访问 GET 方法的权限,但如果用户没有令牌,仍会获得 401 未经授权
symfony: granted access to everyone only to GET method in access_control on API but still get 401 unauthorised if user do not have a token
我有一个使用 Lexik JWT v2.8.0、gesdinet jwt 刷新令牌 v0.9.1 和我自己的实体用户的 Symfony 5.1 项目。我可以使用 JWT 登录并获取令牌,将其保存在 HttpOnly cookie 中并成功将其与受保护的 APIs 一起使用。
我已经使用路由 /api/user/ 实现了 CRUD API,我不希望未登录的用户能够更新或删除用户,所以我需要授予非登录用户访问权限logged in and logged users 创建和读取用户。
我使用了不同的路径来创建用户 /api/register 并使用 IS_AUTHENTICATED_ANONYMOUSLY 将其添加到 access_control,因此对于未登录的用户它工作正常。
但是为了获取用户列表,我使用带有 GET 方法的 /api/user/ 路由,因为该路由与 PUT 和 DELETE 方法共享,我只希望 GET 方法可以访问。
我在 security.yaml 中的 access_control 是:
access_control:
- { path: ^/api/user, roles: IS_AUTHENTICATED_ANONYMOUSLY, methods: [GET] }
- { path: ^/api/linkpage, roles: IS_AUTHENTICATED_ANONYMOUSLY, methods: [GET] }
- { path: ^/api/login, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api/token/refresh, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api/register, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api, roles: IS_AUTHENTICATED_FULLY }
但是当我尝试在没有令牌的情况下获取用户时,我收到 401 未经授权的消息,如果我已登录并有令牌,我只能获得用户列表。
PD:如果我需要一个链接页面列表,但我没有令牌,那么使用 GET 方法的 /api/linkpage 路由也会遇到同样的问题。
编辑:这是完整的security.yaml:
security:
encoders:
UserBundle\Domain\Entity\User:
algorithm: auto
providers:
app_user_provider:
entity:
class: UserBundle\Domain\Entity\User
property: email
firewalls:
dev:
pattern: ^/(_(profiler|wdt)|css|images|js)/
security: false
login:
pattern: ^/api/login
stateless: true
anonymous: true
json_login:
provider: app_user_provider
check_path: /api/login_check
success_handler: lexik_jwt_authentication.handler.authentication_success
failure_handler: lexik_jwt_authentication.handler.authentication_failure
refresh:
pattern: ^/api/token/refresh
stateless: true
anonymous: true
register:
pattern: ^/api/register
stateless: true
anonymous: true
api:
pattern: ^/api
stateless: true
provider: app_user_provider
guard:
authenticators:
- lexik_jwt_authentication.jwt_token_authenticator
main:
anonymous: true
lazy: true
provider: app_user_provider
access_control:
- { path: ^/api/user, roles: IS_AUTHENTICATED_ANONYMOUSLY, methods: [GET] }
- { path: ^/api/linkpage, roles: IS_AUTHENTICATED_ANONYMOUSLY, methods: [GET] }
- { path: ^/api/login, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api/token/refresh, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api/register, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api, roles: IS_AUTHENTICATED_FULLY }
问题就在这里
api:
pattern: ^/api
stateless: true
provider: app_user_provider
guard:
authenticators:
- lexik_jwt_authentication.jwt_token_authenticator
您可以添加 anonymous: true,因为您受到
的保护
access_control:
- { path: ^/api, roles: IS_AUTHENTICATED_FULLY }
并且您明确列出了未经身份验证的用户可访问的其他路由。
我有一个使用 Lexik JWT v2.8.0、gesdinet jwt 刷新令牌 v0.9.1 和我自己的实体用户的 Symfony 5.1 项目。我可以使用 JWT 登录并获取令牌,将其保存在 HttpOnly cookie 中并成功将其与受保护的 APIs 一起使用。
我已经使用路由 /api/user/ 实现了 CRUD API,我不希望未登录的用户能够更新或删除用户,所以我需要授予非登录用户访问权限logged in and logged users 创建和读取用户。
我使用了不同的路径来创建用户 /api/register 并使用 IS_AUTHENTICATED_ANONYMOUSLY 将其添加到 access_control,因此对于未登录的用户它工作正常。
但是为了获取用户列表,我使用带有 GET 方法的 /api/user/ 路由,因为该路由与 PUT 和 DELETE 方法共享,我只希望 GET 方法可以访问。
我在 security.yaml 中的 access_control 是:
access_control:
- { path: ^/api/user, roles: IS_AUTHENTICATED_ANONYMOUSLY, methods: [GET] }
- { path: ^/api/linkpage, roles: IS_AUTHENTICATED_ANONYMOUSLY, methods: [GET] }
- { path: ^/api/login, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api/token/refresh, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api/register, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api, roles: IS_AUTHENTICATED_FULLY }
但是当我尝试在没有令牌的情况下获取用户时,我收到 401 未经授权的消息,如果我已登录并有令牌,我只能获得用户列表。
PD:如果我需要一个链接页面列表,但我没有令牌,那么使用 GET 方法的 /api/linkpage 路由也会遇到同样的问题。
编辑:这是完整的security.yaml:
security:
encoders:
UserBundle\Domain\Entity\User:
algorithm: auto
providers:
app_user_provider:
entity:
class: UserBundle\Domain\Entity\User
property: email
firewalls:
dev:
pattern: ^/(_(profiler|wdt)|css|images|js)/
security: false
login:
pattern: ^/api/login
stateless: true
anonymous: true
json_login:
provider: app_user_provider
check_path: /api/login_check
success_handler: lexik_jwt_authentication.handler.authentication_success
failure_handler: lexik_jwt_authentication.handler.authentication_failure
refresh:
pattern: ^/api/token/refresh
stateless: true
anonymous: true
register:
pattern: ^/api/register
stateless: true
anonymous: true
api:
pattern: ^/api
stateless: true
provider: app_user_provider
guard:
authenticators:
- lexik_jwt_authentication.jwt_token_authenticator
main:
anonymous: true
lazy: true
provider: app_user_provider
access_control:
- { path: ^/api/user, roles: IS_AUTHENTICATED_ANONYMOUSLY, methods: [GET] }
- { path: ^/api/linkpage, roles: IS_AUTHENTICATED_ANONYMOUSLY, methods: [GET] }
- { path: ^/api/login, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api/token/refresh, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api/register, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api, roles: IS_AUTHENTICATED_FULLY }
问题就在这里
api:
pattern: ^/api
stateless: true
provider: app_user_provider
guard:
authenticators:
- lexik_jwt_authentication.jwt_token_authenticator
您可以添加 anonymous: true,因为您受到
access_control:
- { path: ^/api, roles: IS_AUTHENTICATED_FULLY }
并且您明确列出了未经身份验证的用户可访问的其他路由。