强制用户在symfony上重新进行身份验证

时间:2015-03-05 16:35:37

标签: php security symfony authentication

我正在开发一个包含会员区和用户级别的网站。管理员可以访问他们可以查看,添加和更改某些敏感数据的区域。

要在这组页面上添加保护层,我想在访问受限区域的主页之前询问用户他们的登录名和密码,即使他们已经登录。

我该怎么做?在symfony doc中,我还没有找到关于用户的第二次身份验证的任何信息。

2 个答案:

答案 0 :(得分:1)

您在这里寻找的是IS_AUTHENTICATED_REMEMBERED与IS_AUTHENTICATED_FULLY。如果您记得我的功能,您可以将会话设置为在30分钟到一小时后过期(或者您认为可以的任何时间间隔)当会话超时时,在管理区域中,如果您检查完全已经过身份验证,那么它们将是要求登录,如果他们访问任何较低栏的地方(例如经过身份验证记录),他们仍然会出现登录。这基本上是亚马逊在您尝试访问您的用户设置页面时所做的事情。当然您已登录并可以向购物车添加内容,但是一旦您尝试访问敏感数据,就必须重新登录。

答案 1 :(得分:0)

我会避免第二次身份验证...我最好使用限制层(用户角色)...... FOSUserBundle已经提供了所有必需的功能