Question

当用户未使用自定义注释登录时，我似乎无法确定是否可以保护Controller's Action。

这就是我想要实现的目标：

...
class FooController extends Controller
{
    ...

    /*
    * The code bellow should only be executed if the user 
    * is authorized, otherwise should throw an exception 
    * or something.
    *
    * @Authorized
    */
    public function barAction($cid) {
        // do stuff only if user is authorized
    }

    ...
}

我知道我可以使用某种“装饰设计模式”来做到这一点，但我真正想要的更像是 Python 的装饰器使用 PHP 注释

这是真的吗？我该怎么做？

Answer 1

如果您正在使用SensioFrameworkExtraBundle，则可以annotate the controller class。从他们的例子中，

use Sensio\Bundle\FrameworkExtraBundle\Configuration\Security;

class PostController extends Controller
{
    /**
     * @Security("has_role('ROLE_ADMIN')")
     */
    public function indexAction()
    {
        // ...
    }
}

另一种选择是JMSSecurityExtraBundle到secure your service layer，例如，

namespace Acme\HelloBundle\Newsletter;

use JMS\SecurityExtraBundle\Annotation\Secure;
// ...

class NewsletterManager
{

    /**
     * @Secure(roles="ROLE_NEWSLETTER_ADMIN")
     */
    public function sendNewsletter()
    {
        // ...
    }

    // ...
}

使用Annotation保护Symfony2 Controller的操作免受未经授权的请求

1 个答案: