我们有一个网站,人们可以使用hash登录。我们没有不同的用户。拥有有效哈希值的每个人都可以登录,区分谁登录并不重要。
我已经创建了一个表格来获取控制器中的哈希值。这是简化的代码:
public function index(Request $request) {
if ($request->isMethod('post')) {
$token = $request->request->get('token');
$hash = $request->request->get('hash');
if ($this->isCsrfTokenValid('login', $token) && $this->isHashValid($hash)) {
// redirect
}
// fail
}
return $this->render('login.html.twig', []);
}
现在在$this->isHashValid()中,我已经可以说散列是否有效。但是我不确定如何手动authenticate访问者:
isHashValid($hash) {
// pseudo-check for the question
if (in_array($hash, $hashes) {
// How to authenticate the user?
return true;
}
return false;
}
我还更新了 security.yaml 以将unauthenticated个访问者重定向到开始页面,该页面已经有效:
security:
providers:
in_memory: { memory: ~ }
firewalls:
dev:
pattern: ^/(_(profiler|wdt)|css|images|js)/
security: false
main:
anonymous: true
form_login:
login_path: '/'
access_control:
- { path: ^/secured, allow_if: "is_authenticated()" }
所以我的问题是,如何在Symfoy 4中以身份验证并稍后以编程方式注销访问者?
即使我们没有经典意义上的“ 真实用户”,我是否仍需要创建User类?
答案 0 :(得分:0)
您将必须创建实现User的{{1}},但是它可以是准系统类,不需要您设置任何值。只需确保UserInterface返回至少getRoles(),其他所有内容都应该可以返回虚拟数据或空值。
可以通过多种方式解决身份验证。
GuardAuthenticator似乎是一个很好的解决方案:https://symfony.com/doc/current/security/guard_authentication.html#step-2-create-the-authenticator-class
FormLoginAuthenticator非常相似,但是某些方法是根据使用登录表单自动处理的,因此实现起来比较容易:https://symfony.com/doc/current/security/form_login_setup.html
在两种情况下,您基本上都可以这样做:["ROLE_USER"]从请求中提取数据,在getCredentials中返回虚拟用户对象,在getUser中调用{ {1}}方法,其余的方法应该可以自我解释。