Symfony 4:ROLE_USER 不继承 IS_AUTHENTICATED_FULLY 并且 Voter 抛出 AccessDeniedException
Symfony 4: ROLE_USER doesn't inherit IS_AUTHENTICATED_FULLY and Voter throws AccessDeniedException
我正在处理一个有很多旧员工的遗留项目。有大量很少使用的动作。半年前,我们从 Symfony 2.8 升级到 Symfony 4.4。一切都很好,直到经理尝试使用现在 returns AccessDeniedException: Access Denied.
的旧操作之一
我查看了 Symfony 文档,对我来说一切似乎都很简单。
Checking to see if a User is Logged In (IS_AUTHENTICATED_FULLY)
If you only want to check if a user is logged in (you don’t care about roles), you have two options. First, if you’ve given every user ROLE_USER, you can check for that role.
有 app/config/security.yml
下一个配置:
security:
access_decision_manager:
strategy: unanimous
allow_if_all_abstain: true
encoders:
FOS\UserBundle\Model\UserInterface:
algorithm: sha512
encode_as_base64: false
iterations: 1
role_hierarchy:
ROLE_CUSTOMER_ADMIN: ROLE_USER
ROLE_ADMIN: ROLE_USER
ROLE_ADMIN_CAN_EDIT_PERMISSIONS: ROLE_ADMIN
ROLE_SUPER_ADMIN: ROLE_ADMIN_CAN_EDIT_PERMISSIONS
providers:
fos_user:
id: fos_user.user_provider.username
firewalls:
main:
pattern: ^/
form_login:
provider: fos_user
default_target_path: /user-post-login
always_use_default_target_path: true
login_path: user_security_login
check_path: fos_user_security_check
logout:
path: /logout
target: /login
handlers: [mp.logout_handler]
invalidate_session: false
anonymous: ~
remember_me:
secret: "%secret%"
lifetime: 31536000 # 365 days in seconds
path: /
domain: ~ # Defaults to the current domain from $_SERVER
access_control:
- { path: ^/login, role: IS_AUTHENTICATED_ANONYMOUSLY }
...
- { path: ^/api, role: IS_AUTHENTICATED_ANONYMOUSLY }
...
- { path: ^/admin/select-customer-status, role: [ROLE_CUSTOMER_ADMIN, ROLE_SUPER_ADMIN] }
...
- { path: ^/admin, role: ROLE_USER }
我当前的用户有角色 ROLE_SUPER_ADMIN
,根据 role_hierarchy
这个角色在祖先中有 ROLE_USER
,但是当我尝试打开 http://localhost:8080/admin/select-customer-status/1 我得到这个 Access Denied
异常。
我尝试调试并发现此异常出现在 Symfony\Component\Security\Http\Firewall\AccessListener
但真正的问题是 Voter
正在检查 IS_AUTHENTICATED_FULLY
under the hood,但 $attributes
.
中不存在这个
另一件有趣的事情是,当我将此配置直接添加到 Action 时,它按预期工作并且没有抛出异常:
/**
* @Route("/admin/update-user-permissions/{id}", name="update_user_permissions")
* @Method({"POST"})
*
* @IsGranted("ROLE_SUPER_ADMIN")
* @IsGranted("ROLE_CUSTOMER_ADMIN")
*/
任何人都可以帮助解决这种奇怪的行为吗?
P.S。有 a similar question,但它适用于 Symfony 2,对我来说不可靠。
你可以使用
use Sensio\Bundle\FrameworkExtraBundle\Configuration\Security;
/**
* @Security("has_role('ROLE_SUPER_ADMIN') or has_role('ROLE_CUSTOMER_ADMIN')")
*/
that's all
显然发生的是,所有提到的角色都是必需的,即 ROLE_SUPER_ADMIN
以及 ROLE_CUSTOMER_ADMIN
。据我了解你的问题描述,你的用户是其中之一,但不是两者都是。
您提供的 screenshot 在底部显示了处理请求的访问管理器:
这清楚地表明,AuthenticatedVoter
不是问题,因为它投了弃权票(因为它只对 IS_AUTHENTICATED_*
角色(例如 IS_AUTHENTICATED_FULLY
)投票),这也很容易见于 its code.
但是,也很容易看出,两个 角色是分开检查的(!)。 RoleHierarchyVoter 现在尝试查看是否授予 ROLE_CUSTOMER_ADMIN
,并且我假设您的用户具有 ROLE_SUPER_ADMIN
,RoleHierarchyVoter 将通过使用层次结构将其扩展为 ROLE_SUPER_ADMIN
、ROLE_ADMIN_CAN_EDIT_PERMISSIONS
、ROLE_ADMIN
和 ROLE_USER
。 None 其中 ROLE_CUSTOMER_ADMIN
.
正如我在评论中所建议的那样,您可能希望选择添加一个 两个 扩展管理员角色都拥有的新角色。如果 ROLE_ADMIN
不合适,也许是 ROLE_EXTENDED_ADMIN
之类的。
ROLE_CUSTOMER_ADMIN: [ROLE_ADMIN, ROLE_EXTENDED_ADMIN]
ROLE_SUPER_ADMIN: [ROLE_ADMIN_CAN_EDIT_PERMISSIONS, ROLE_EXTENDED_ADMIN]
然后在访问控制中:
- { path: ^/admin/select-customer-status, roles: ROLE_EXTENDED_ADMIN }
我正在处理一个有很多旧员工的遗留项目。有大量很少使用的动作。半年前,我们从 Symfony 2.8 升级到 Symfony 4.4。一切都很好,直到经理尝试使用现在 returns AccessDeniedException: Access Denied.
我查看了 Symfony 文档,对我来说一切似乎都很简单。
Checking to see if a User is Logged In (IS_AUTHENTICATED_FULLY)
If you only want to check if a user is logged in (you don’t care about roles), you have two options. First, if you’ve given every user ROLE_USER, you can check for that role.
有 app/config/security.yml
下一个配置:
security:
access_decision_manager:
strategy: unanimous
allow_if_all_abstain: true
encoders:
FOS\UserBundle\Model\UserInterface:
algorithm: sha512
encode_as_base64: false
iterations: 1
role_hierarchy:
ROLE_CUSTOMER_ADMIN: ROLE_USER
ROLE_ADMIN: ROLE_USER
ROLE_ADMIN_CAN_EDIT_PERMISSIONS: ROLE_ADMIN
ROLE_SUPER_ADMIN: ROLE_ADMIN_CAN_EDIT_PERMISSIONS
providers:
fos_user:
id: fos_user.user_provider.username
firewalls:
main:
pattern: ^/
form_login:
provider: fos_user
default_target_path: /user-post-login
always_use_default_target_path: true
login_path: user_security_login
check_path: fos_user_security_check
logout:
path: /logout
target: /login
handlers: [mp.logout_handler]
invalidate_session: false
anonymous: ~
remember_me:
secret: "%secret%"
lifetime: 31536000 # 365 days in seconds
path: /
domain: ~ # Defaults to the current domain from $_SERVER
access_control:
- { path: ^/login, role: IS_AUTHENTICATED_ANONYMOUSLY }
...
- { path: ^/api, role: IS_AUTHENTICATED_ANONYMOUSLY }
...
- { path: ^/admin/select-customer-status, role: [ROLE_CUSTOMER_ADMIN, ROLE_SUPER_ADMIN] }
...
- { path: ^/admin, role: ROLE_USER }
我当前的用户有角色 ROLE_SUPER_ADMIN
,根据 role_hierarchy
这个角色在祖先中有 ROLE_USER
,但是当我尝试打开 http://localhost:8080/admin/select-customer-status/1 我得到这个 Access Denied
异常。
我尝试调试并发现此异常出现在 Symfony\Component\Security\Http\Firewall\AccessListener
但真正的问题是 Voter
正在检查 IS_AUTHENTICATED_FULLY
under the hood,但 $attributes
.
另一件有趣的事情是,当我将此配置直接添加到 Action 时,它按预期工作并且没有抛出异常:
/**
* @Route("/admin/update-user-permissions/{id}", name="update_user_permissions")
* @Method({"POST"})
*
* @IsGranted("ROLE_SUPER_ADMIN")
* @IsGranted("ROLE_CUSTOMER_ADMIN")
*/
任何人都可以帮助解决这种奇怪的行为吗?
P.S。有 a similar question,但它适用于 Symfony 2,对我来说不可靠。
你可以使用
use Sensio\Bundle\FrameworkExtraBundle\Configuration\Security;
/**
* @Security("has_role('ROLE_SUPER_ADMIN') or has_role('ROLE_CUSTOMER_ADMIN')")
*/
that's all
显然发生的是,所有提到的角色都是必需的,即 ROLE_SUPER_ADMIN
以及 ROLE_CUSTOMER_ADMIN
。据我了解你的问题描述,你的用户是其中之一,但不是两者都是。
您提供的 screenshot 在底部显示了处理请求的访问管理器:
这清楚地表明,AuthenticatedVoter
不是问题,因为它投了弃权票(因为它只对 IS_AUTHENTICATED_*
角色(例如 IS_AUTHENTICATED_FULLY
)投票),这也很容易见于 its code.
但是,也很容易看出,两个 角色是分开检查的(!)。 RoleHierarchyVoter 现在尝试查看是否授予 ROLE_CUSTOMER_ADMIN
,并且我假设您的用户具有 ROLE_SUPER_ADMIN
,RoleHierarchyVoter 将通过使用层次结构将其扩展为 ROLE_SUPER_ADMIN
、ROLE_ADMIN_CAN_EDIT_PERMISSIONS
、ROLE_ADMIN
和 ROLE_USER
。 None 其中 ROLE_CUSTOMER_ADMIN
.
正如我在评论中所建议的那样,您可能希望选择添加一个 两个 扩展管理员角色都拥有的新角色。如果 ROLE_ADMIN
不合适,也许是 ROLE_EXTENDED_ADMIN
之类的。
ROLE_CUSTOMER_ADMIN: [ROLE_ADMIN, ROLE_EXTENDED_ADMIN]
ROLE_SUPER_ADMIN: [ROLE_ADMIN_CAN_EDIT_PERMISSIONS, ROLE_EXTENDED_ADMIN]
然后在访问控制中:
- { path: ^/admin/select-customer-status, roles: ROLE_EXTENDED_ADMIN }