symfony:仅在 access_control on API 中授予所有人访问 GET 方法的权限,但如果用户没有令牌,仍会获得 401 未经授权

symfony: granted access to everyone only to GET method in access_control on API but still get 401 unauthorised if user do not have a token

我有一个使用 Lexik JWT v2.8.0、gesdinet jwt 刷新令牌 v0.9.1 和我自己的实体用户的 Symfony 5.1 项目。我可以使用 JWT 登录并获取令牌,将其保存在 HttpOnly cookie 中并成功将其与受保护的 APIs 一起使用。

我已经使用路由 /api/user/ 实现了 CRUD API,我不希望未登录的用户能够更新或删除用户,所以我需要授予非登录用户访问权限logged in and logged users 创建和读取用户。

我使用了不同的路径来创建用户 /api/register 并使用 IS_AUTHENTICATED_ANONYMOUSLY 将其添加到 access_control,因此对于未登录的用户它工作正常。

但是为了获取用户列表,我使用带有 GET 方法的 /api/user/ 路由,因为该路由与 PUT 和 DELETE 方法共享,我只希望 GET 方法可以访问。

我在 security.yaml 中的 access_control 是:

access_control:
    - { path: ^/api/user, roles: IS_AUTHENTICATED_ANONYMOUSLY, methods: [GET] }
    - { path: ^/api/linkpage, roles: IS_AUTHENTICATED_ANONYMOUSLY, methods: [GET] }
    - { path: ^/api/login, roles: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/api/token/refresh, roles: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/api/register, roles: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/api, roles: IS_AUTHENTICATED_FULLY } 

但是当我尝试在没有令牌的情况下获取用户时,我收到 401 未经授权的消息,如果我已登录并有令牌,我只能获得用户列表。

PD:如果我需要一个链接页面列表,但我没有令牌,那么使用 GET 方法的 /api/linkpage 路由也会遇到同样的问题。

编辑:这是完整的security.yaml:

security:
    encoders:
        UserBundle\Domain\Entity\User:
            algorithm: auto

    providers:
        app_user_provider:
            entity:
                class: UserBundle\Domain\Entity\User
                property: email
    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false
        login:
            pattern: ^/api/login
            stateless: true
            anonymous: true
            json_login:
                provider: app_user_provider
                check_path: /api/login_check
                success_handler: lexik_jwt_authentication.handler.authentication_success
                failure_handler: lexik_jwt_authentication.handler.authentication_failure
        refresh:
            pattern:  ^/api/token/refresh
            stateless: true
            anonymous: true
        register:
            pattern: ^/api/register
            stateless: true
            anonymous: true
        api:
            pattern: ^/api
            stateless: true
            provider: app_user_provider
            guard:
                authenticators:
                    - lexik_jwt_authentication.jwt_token_authenticator
        main:
            anonymous: true
            lazy: true
            provider: app_user_provider

    access_control:
        - { path: ^/api/user, roles: IS_AUTHENTICATED_ANONYMOUSLY, methods: [GET] }
        - { path: ^/api/linkpage, roles: IS_AUTHENTICATED_ANONYMOUSLY, methods: [GET] }
        - { path: ^/api/login, roles: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/api/token/refresh, roles: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/api/register, roles: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/api, roles: IS_AUTHENTICATED_FULLY }

问题就在这里

api:
  pattern: ^/api
  stateless: true
  provider: app_user_provider
  guard:
    authenticators:
      - lexik_jwt_authentication.jwt_token_authenticator

您可以添加 anonymous: true,因为您受到

的保护
access_control:
  - { path: ^/api, roles: IS_AUTHENTICATED_FULLY }

并且您明确列出了未经身份验证的用户可访问的其他路由。