如何使用Symfony安全组件进行用户身份验证

最新推荐文章于 2024-05-13 09:34:30 发布
最新推荐文章于 2024-05-13 09:34:30 发布
阅读量704 收藏 1
点赞数
文章标签: 数据库 java php 编程语言 mysql

在本文中,您将学习如何使用Symfony Security组件在PHP中设置用户身份验证。 除了身份验证之外,我还将向您展示如何使用其基于角色的授权,您可以根据需要对其进行扩展。

Symfony安全组件

Symfony安全组件使您可以更轻松地设置安全功能,例如身份验证,基于角色的授权,CSRF令牌。 实际上,它进一步分为四个子组件,您可以根据需要进行选择。

安全组件具有以下子组件:

  • symfony /安全核心
  • symfony /安全性-http
  • symfony /安全性-CSRF
  • symfony /安全性-acl

在本文中,我们将探讨symfony / security-core组件提供的身份验证功能。

与往常一样,我们将从安装和配置说明开始,然后我们将探索一些实际示例来演示关键概念。

安装与配置

在本节中,我们将安装Symfony Security组件。 我假设您已经在系统上安装了Composer,我们将需要它来安装Packagist上可用的Security组件。

因此,继续使用以下命令安装安全组件。 

$composer require symfony/security

在我们的示例中,我们将从MySQL数据库中加载用户,因此我们还需要一个数据库抽象层。 让我们安装最流行的数据库抽象层之一:Doctrine DBAL。 

$composer require doctrine/dbal

那应该已经创建了composer.json文件,它应该看起来像这样: 

{
    "require": {
        "symfony/security": "^4.1",
        "doctrine/dbal": "^2.7"
    }
}

让我们将composer.json文件修改为如下所示。 

{
    "require": {
        "symfony/security": "^4.1",
        "doctrine/dbal": "^2.7"
    },
    "autoload": {
         "psr-4": {
             "Sfauth\\": "src"
         },
         "classmap": ["src"]
    }
}

当我们添加了一个新的classmap条目后,让我们继续运行以下命令来更新composer自动加载器。 

$composer dump -o

现在,您可以使用Sfauth命名空间在src目录下自动加载类。

这就是安装部分,但是您应该如何使用它呢? 实际上,只需要在应用程序中包含由Composer创建的autoload.php文件即可,如以下代码片段所示。 

<?php
require_once './vendor/autoload.php';

// application code
?>

真实的例子

首先,让我们看一下Symfony Security组件提供的常规身份验证流程。

  • 第一件事是检索用户凭据并创建未经身份验证的令牌。
  • 接下来,我们将一个未经身份验证的令牌传递给身份验证管理器以进行验证。
  • 身份验证管理器可能包含不同的身份验证提供程序,并且其中一个将用于对当前用户请求进行身份验证。 在身份验证提供程序中定义了如何对用户进行身份验证的逻辑。
  • 身份验证提供程序与用户提供程序联系以检索用户。 用户提供者有责任从各自的后端加载用户。
  • 用户提供者尝试使用身份验证提供者提供的凭据来加载用户。 在大多数情况下,用户提供者返回实现UserInterface接口的用户对象。
  • 如果找到了用户,则身份验证提供程序将返回未经身份验证的令牌,您可以为后续请求存储此令牌。

在我们的示例中,我们将用户凭据与MySQL数据库进行匹配,因此我们需要创建数据库用户提供程序。 我们还将创建处理身份验证逻辑的数据库身份验证提供程序。 最后,我们将创建User类,该类实现UserInterface接口。

用户类别

在本节中,我们将创建User类,该类代表身份验证过程中的用户实体。

继续并使用以下内容创建src / User / User.php文件。 

<?php
namespace Sfauth\User;

use Symfony\Component\Security\Core\User\UserInterface;

class User implements UserInterface
{
    private $username;
    private $password;
    private $roles;

    public function __construct(string $username, string $password, string $roles)
    {
        if (empty($username))
        {
            throw new \InvalidArgumentException('No username provided.');
        }

        $this->username = $username;
        $this->password = $password;
        $this->roles = $roles;
    }

    public function getUsername()
    {
        return $this->username;
    }

    public function getPassword()
    {
        return $this->password;
    }

    public function getRoles()
    {
        return explode(",", $this->roles);
    }

    public function getSalt()
    {
        return '';
    }

    public function eraseCredentials() {}
}

重要的是User类必须实现Symfony Security UserInterface接口。 除此之外,这里没有任何异常。

数据库提供程序类

用户提供者有责任从后端加载用户。 在本节中,我们将创建数据库用户提供程序,该程序从MySQL数据库加载用户。

让我们使用以下内容创建src / User / DatabaseUserProvider.php文件。 

<?php
namespace Sfauth\User;

use Symfony\Component\Security\Core\User\UserProviderInterface;
use Symfony\Component\Security\Core\User\UserInterface;
use Symfony\Component\Security\Core\Exception\UsernameNotFoundException;
use Symfony\Component\Security\Core\Exception\UnsupportedUserException;
use Doctrine\DBAL\Connection;
use Sfauth\User\User;

class DatabaseUserProvider implements UserProviderInterface
{
    private $connection;

    public function __construct(Connection $connection)
    {
        $this->connection = $connection;
    }

    public function loadUserByUsername($username)
    {
        return $this->getUser($username);
    }

    private function getUser($username)
    {
        $sql = "SELECT * FROM sf_users WHERE username = :name";
        $stmt = $this->connection->prepare($sql);
        $stmt->bindValue("name", $username);
        $stmt->execute();
        $row = $stmt->fetch();

        if (!$row['username'])
        {
            $exception = new UsernameNotFoundException(sprintf('Username "%s" not found in the database.', $row['username']));
            $exception->setUsername($username);
            throw $exception;
        }
        else
        {
            return new User($row['username'], $row['password'], $row['roles']);
        }
    }

    public function refreshUser(UserInterface $user)
    {
        if (!$user instanceof User)
        {
            throw new UnsupportedUserException(sprintf('Instances of "%s" are not supported.', get_class($user)));
        }

        return $this->getUser($user->getUsername());
    }

    public function supportsClass($class)
    {
        return 'Sfauth\User\User' === $class;
    }
}

用户提供者必须实现UserProviderInterface接口。 我们正在使用DBAL原则来执行与数据库相关的操作。 正如我们已经实现了UserProviderInterface界面,我们必须实现loadUserByUsernamerefreshUsersupportsClass方法。

loadUserByUsername方法应按用户名加载用户,这在getUser方法中完成。 如果找到用户,我们将返回相应的Sfauth\User\User对象,该对象实现UserInterface接口。

另一方面, refreshUser方法通过从数据库中获取最新信息来刷新提供的User对象。

最后, supportsClass方法检查DatabaseUserProvider提供程序是否支持所提供的用户类。

数据库身份验证提供程序类

最后,我们需要实现用户身份验证提供程序,该提供程序定义了身份验证逻辑-如何对用户进行身份验证。 在我们的例子中,我们需要将用户凭据与MySQL数据库进行匹配,因此我们需要相应地定义身份验证逻辑。

继续并使用以下内容创建src / User / DatabaseAuthenticationProvider.php文件。 

<?php
namespace Sfauth\User;

use Symfony\Component\Security\Core\Authentication\Provider\UserAuthenticationProvider;
use Symfony\Component\Security\Core\User\UserProviderInterface;
use Symfony\Component\Security\Core\User\UserCheckerInterface;
use Symfony\Component\Security\Core\Exception\UsernameNotFoundException;
use Symfony\Component\Security\Core\Exception\AuthenticationServiceException;
use Symfony\Component\Security\Core\Authentication\Token\UsernamePasswordToken;
use Symfony\Component\Security\Core\User\UserInterface;
use Symfony\Component\Security\Core\Exception\AuthenticationException;

class DatabaseAuthenticationProvider extends UserAuthenticationProvider
{
    private $userProvider;

    public function __construct(UserProviderInterface $userProvider, UserCheckerInterface $userChecker, string $providerKey, bool $hideUserNotFoundExceptions = true)
    {
        parent::__construct($userChecker, $providerKey, $hideUserNotFoundExceptions);

        $this->userProvider = $userProvider;
    }

    protected function retrieveUser($username, UsernamePasswordToken $token)
    {
        $user = $token->getUser();

        if ($user instanceof UserInterface)
        {
            return $user;
        }

        try {
            $user = $this->userProvider->loadUserByUsername($username);

            if (!$user instanceof UserInterface)
            {
                throw new AuthenticationServiceException('The user provider must return a UserInterface object.');
            }

            return $user;
        } catch (UsernameNotFoundException $e) {
            $e->setUsername($username);

            throw $e;
        } catch (\Exception $e) {
            $e = new AuthenticationServiceException($e->getMessage(), 0, $e);
            $e->setToken($token);
            throw $e;
        }
    }

    protected function checkAuthentication(UserInterface $user, UsernamePasswordToken $token)
    {
        $currentUser = $token->getUser();
        
        if ($currentUser instanceof UserInterface)
        {
            if ($currentUser->getPassword() !== $user->getPassword())
            {
                throw new AuthenticationException('Credentials were changed from another session.');
            }
        }
        else
        {
            $password = $token->getCredentials();

            if (empty($password))
            {
                throw new AuthenticationException('Password can not be empty.');
            }

            if ($user->getPassword() != md5($password))
            {
                throw new AuthenticationException('Password is invalid.');
            }
        }
    }
}

DatabaseAuthenticationProvider身份验证提供程序扩展了UserAuthenticationProvider抽象类。 因此,我们需要实现retrieveUsercheckAuthentication抽象方法。

retrieveUser方法的工作是从相应的用户提供程序加载用户。 在我们的例子中,它将使用DatabaseUserProvider用户提供程序从MySQL数据库加载用户。

另一方面, checkAuthentication方法执行必要的检查以认证当前用户。 请注意,我已经使用MD5方法进行密码加密。 当然,您应该使用更安全的加密方法来存储用户密码。

总共如何运作

到目前为止,我们已经创建了用于身份验证的所有必要元素。 在本节中,我们将看到如何将它们放在一起以设置身份验证功能。

继续创建db_auth.php文件,并用以下内容填充它。 

<?php
require_once './vendor/autoload.php';

use Sfauth\User\DatabaseUserProvider;
use Symfony\Component\Security\Core\User\UserChecker;
use Sfauth\User\DatabaseAuthenticationProvider;
use Symfony\Component\Security\Core\Authentication\AuthenticationProviderManager;
use Symfony\Component\Security\Core\Authentication\Token\UsernamePasswordToken;
use Symfony\Component\Security\Core\Exception\AuthenticationException;

// init doctrine db connection
$doctrineConnection = \Doctrine\DBAL\DriverManager::getConnection(
  array('url' => 'mysql://{USERNAME}:{PASSWORD}@{HOSTNAME}/{DATABASE_NAME}'), new \Doctrine\DBAL\Configuration()
);

// init our custom db user provider
$userProvider = new DatabaseUserProvider($doctrineConnection);

// we'll use default UserChecker, it's used to check additional checks like account lock/expired etc.
// you can implement your own by implementing UserCheckerInterface interface
$userChecker = new UserChecker();

// init our custom db authentication provider
$dbProvider = new DatabaseAuthenticationProvider(
    $userProvider,
    $userChecker,
    'frontend'
);

// init authentication provider manager
$authenticationManager = new AuthenticationProviderManager(array($dbProvider));

try {
    // init un/pw, usually you'll get these from the $_POST variable, submitted by the end user
    $username = 'admin';
    $password = 'admin';

    // get unauthenticated token
    $unauthenticatedToken = new UsernamePasswordToken(
        $username,
        $password,
        'frontend'
    );

    // authenticate user & get authenticated token
    $authenticatedToken = $authenticationManager->authenticate($unauthenticatedToken);

    // we have got the authenticated token (user is logged in now), it can be stored in a session for later use
    echo $authenticatedToken;
    echo "\n";
} catch (AuthenticationException $e) {
    echo $e->getMessage();
    echo "\n";
}

回想一下本文开头讨论的身份验证流程-上面的代码反映了该顺序。

第一件事是检索用户凭据并创建未经身份验证的令牌。 

$unauthenticatedToken = new UsernamePasswordToken(
    $username,
    $password,
    'frontend'
);

接下来,我们将该令牌传递给身份验证管理器进行验证。 

// authenticate user & get authenticated token
$authenticatedToken = $authenticationManager->authenticate($unauthenticatedToken);

调用authenticate方法时,幕后发生了很多事情。

首先,身份验证管理器选择适当的身份验证提供程序。 在我们的例子中,它是DatabaseAuthenticationProvider身份验证提供程序,将选择该身份验证提供程序。

接下来,它通过DatabaseUserProvider用户提供者的用户名检索用户。 最后, checkAuthentication方法执行必要的检查以验证当前用户请求。

如果您希望测试db_auth.php脚本,则需要在MySQL数据库中创建sf_users表。 

CREATE TABLE `sf_users` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) NOT NULL,
  `password` varchar(255) NOT NULL,
  `roles` enum('registered','moderator','admin') DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB;

INSERT INTO `sf_users` VALUES (1,'admin','21232f297a57a5a743894a0e4a801fc3','admin');

继续并运行db_auth.php脚本以查看其运行情况。 成功完成后,您将收到一个经过身份验证的令牌,如以下代码片段所示。 

$php db_auth.php
UsernamePasswordToken(user="admin", authenticated=true, roles="admin")

用户通过身份验证后,可以将身份验证的令牌存储在会话中以用于后续请求。

至此,我们已经完成了简单的身份验证演示!

结论

今天,我们研究了Symfony Security组件,该组件使您可以在PHP应用程序中集成安全功能。 具体来说,我们讨论了symfony / security-core子组件提供的身份验证功能,并向您展示了如何在自己的应用程序中实现此功能的示例。

请使用下面的提要随意发表您的想法!

翻译自: https://code.tutsplus.com/tutorials/how-to-set-up-user-authentication-by-using-the-symfony-security-component--cms-31643

cunjie3951
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用UserApp.io在Symfony2中进行用户身份验证
culi4814的博客
08-28 341
UserApp.io is a handy user management tool and API. It provides a web interface to deal with user accounts (and the many features this involves) and an API to hook them into your own web application. ...
Symfony3 检查用户操作权限
nouswait的博客
03-24 183
解决问题: 假设你有一个博客系统,用户可以在其中评论你的帖子。你还希望用户能够编辑自己的评论,但不能编辑其他用户的评论。此外,作为管理员用户,你希望自己能够编辑所有评论。 symfony3给出了两种解决方案: 1、Voters:文档地址:https://symfony.com/doc/3.3/security/voters.html 2、ACLs :文档地址:How to Use Access Control Lists (ACLs) (Symfony 3.3 Docs) 根据需要自己选择解决方案
推荐开源项目:Symfony Security组件——CSRF防护
最新发布
gitblog_00045的博客
05-13 420
推荐开源项目:Symfony Security组件——CSRF防护 项目地址:https://gitcode.com/symfony/security-csrf 1、项目介绍 在Web开发中,防止跨站请求伪造(Cross-Site Request Forgery, CSRF)是一项重要的安全措施。Symfony的Security CSRF组件正是为了解决这个问题而设计的。它提供了一个名为CsrfT...
php ldap 账号密码验证
weixin_41969959的博客
04-14 915
php自带ldap扩展在php 里\ext\ldap,如果没有请下载php复制到你安装的PHP里,开启php.ini里;extension=ldap去除;查询echo phpinfo();显示是否有ldap, //使用之前最好下载个ldapadmin文件,安装测试下,必须成功能用自己账号密码GSS-API 连接成功才可以编写下面代码 $ldapSrv = "192.168.1.1"; //目标机器的IP及端口 $dn = "管理账号"; // 这里是使用管理员账号...
symfony使用security实现验证登录
银狐的专栏
05-27 6231
symfony使用security实现验证登录
Symfony学习笔记之安全-----security总结
ppxin的专栏
06-19 168
参考:http://www.symfonychina.com/doc/current/security.html
AutoLogin:通过单一令牌自动登录Symfony安全组件
05-10
该库实现了身份验证提供程序和防火墙侦听器类,可以将它们插入到Symfony安全组件中,以拦截请求并基于单个请求参数自动对用户进行身份验证。 要在全栈Symfony应用程序中使用此库,您可能需要使用 。 在可以找到...
security-guard:Guard组件身份验证的多个层次放在一起,使您可以完全控制复杂的身份验证系统,创建起来更加容易
02-05
安全组件-防护 Guard组件身份验证的多个层次放在一起,使您可以完全控制复杂的身份验证系统,创建起来更加容易。 资源资源 并在
安全性:安全组件为您的Web应用程序提供了完整的安全性系统
02-05
安全组件 ... 它附带了用于使用HTTP基本,交互式表单登录或X.509证书登录进行身份验证的功能,但是还允许您实施自己的身份验证策略。 此外,该组件提供了根据身份验证用户授权角色的方法。 资源资源 并在
Symfony 1.3 Web Application Development
10-19
3. **版本控制**:使用Git或SVN进行版本控制,协同开发和代码回溯。 4. **错误和日志管理**:有效记录和分析错误信息,优化日志记录,便于问题排查。 **五、安全与认证** 1. **权限控制**:Symfony提供角色和权限...
87、角色继承1
08-04
Symfony 框架中的安全机制是一个非常重要的组件,它提供了身份验证和授权的功能,其中角色的继承机制是Symfony安全机制的一个关键部分。本文将详细介绍Symfony中的角色继承机制,并提供实践经验。 角色继承机制的...
AdminLTEBundle:Symfony 4的AdminLTE捆绑软件-一个backendadmin主题,可轻松与SF4集成。 它基于AdminLTE模板并使用webpack-encore构建。 支持KNPMenuBundle和FOSUserBundle
02-06
AdminLTE Symfony 4捆绑包 该存储库包含AvanzuAdminThemeBundle的升级版本,将AdminLTE主题引入了Symfony 4。 介绍 -如何安装,使用和享受此捆绑包 -使用此捆绑包的演示应用程序 -使用此捆绑包和Symfony 4的在线时间跟踪应用程序 最低要求 Symfony 4.0 PHP 7.1.3 树枝2.0 兼容性: 版本3.x仅与Symfony> = 4.3兼容 该捆绑软件的2.x版本与Symfony <4.3兼容 产品特点 该主题包的一些主要功能: 主要应用程序和安全性的两种主要布局(登录,忘记密码,注册帐户...) 支持Symfon
SymfonyRESTAPI的JWT身份验证
08-07
此Bundle为您的Symfony API提供JWT(Json Web Token)身份验证
symfony使用oauth
快乐de馒头
11-11 484
symfony使用oauth 下载oauth组件方法 这个可以下载,版本是2.4 composer create-project authbucket/oauth2-symfony-bundle authbucket/oauth2-symfony-bundle  或 composer create-project authbucket/oauth2-symfony-bundle
Symfony之FOSYUserBundle的security配置问题
Sinkiang的博客
12-25 448
问题如下: 修改如下: 自己感觉有些奇怪:昨晚这样配置不行今天又可以了。  that check_path has as value only a string. If you use the value fos_user_security_check you are calling to SecurityController.php class
symfony5初体验:doctrine、配置、文件上传、jwt登录/auth等常见问题
facing-screen's blog
03-08 2291
之前用symfony3.4一直感觉他太重了,动辄4-5百m,最上手symfony5发现加入了很多新特性,而且体积也变得相当的轻量了很多,瞬间爱了。 下面记一些使用时遇到的小问题: 1、配置mysql 文档说配置到/config/doctrine.yml,实际上doctrine.yml又读取了根目录下的.env文件的DATABASE_URL的值,所以可以直接对.env的DATABASE_...
Symfony CSRF 教程
PHP代码的博客
10-31 258
Symfony 是一组可重用的 PHP 组件和一个用于 Web 项目的 PHP 框架Symfony 于 2005 年发布为免费软件。Symfony 的原始作者是 Fabien Potencier。 Symfony 的灵感来自 Djanog,Spring 和 ROR 框架
Symfony2 'The CSRF token is invalid. Please try to resubmit the form' 错误
Txsing的专栏
05-15 1839
当一个form页面http交互方法既有 GET 也有 POST时 提交form时必须遵循以下的流程 if($request->getMethod() == 'POST'){ //先判断交互方法 $form->submit($request); //然后提交 if($form->isValid()) //有效性检测
symfony 如何高效开发使用
05-05
Symfony 是一个流行的 PHP 开源框架,它提供了一系列的工具和组件,可以帮助开发者快速构建高质量的 Web 应用程序。以下是一些高效使用 Symfony 的建议: 1. 使用 Symfony 的标准版:Symfony 提供了多个版本,包括标准版和微框架版。如果你需要构建一个大型的 Web 应用程序,建议使用 Symfony 标准版,因为它包含了更多的工具和组件,可以帮助你更快地开发和管理应用程序。 2. 使用 Symfony组件Symfony组件可以独立使用,可以帮助你处理许多常见的任务,例如表单处理、路由、缓存、安全性等等。使用这些组件可以节省大量的时间和精力,同时还可以确保你的应用程序具有高质量的代码。 3. 使用 Symfony 的命令行工具:Symfony 提供了许多命令行工具,可以帮助你生成代码、清理缓存、执行数据库迁移等等。这些工具可以提高你的开发效率,并且可以确保你的应用程序保持一致的代码风格和结构。 4. 使用 Symfony 的文档:Symfony 的文档非常详细,包括了许多教程、示例代码和最佳实践。阅读文档可以帮助你更好地理解 Symfony 的工作原理,并且可以帮助你快速解决遇到的问题。 5. 使用 Symfony 的社区资源:Symfony 有一个庞大的社区,包括了许多开发者、博客和论坛。参与社区可以帮助你学习新技术、解决问题,并且可以让你结识更多的开发者,建立有意义的关系。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值