Symfony Voter:访问被拒绝,用户既不是匿名的,也不记得我

时间:2016-07-28 08:05:12

标签: php symfony security

我对Symfony很新。我正在尝试在管理区域使用选民。

我希望管理员(ROLE_ADMIN)只有在他是superAdmin(ROLE_SUPER_ADMIN)的情况下才能删除(删除)用户。

我的防火墙似乎工作正常,因为我可以在管理区域登录并做我想要的,直到我不使用选民。这是我的用户对象的转储:

User {#300 ▼
  -id: 1
  -password: "$2y$13$e3LL2N/pYGrGn.7EFikqSuAMSkLolcnggtf1HsBgNMzdXnal1AIua"
  -username: "JustMe"
  -email: "me@me.fr"
  -isActive: true
  -roles: array:1 [▼
    0 => "ROLE_ADMIN"
  ]
}

一旦我在我的控制器中使用denyUnlessGranted(),我就会得到这个例外:

DEBUG - Access denied, the user is neither anonymous, nor remember-me.
ERROR - Uncaught PHP Exception Symfony\Component\HttpKernel\Exception\AccessDeniedHttpException: "Access Denied." at /Volumes/Work/MAMP htdocs/a-symfony-re/vendor/symfony/symfony/src/Symfony/Component/Security/Http/Firewall/ExceptionListener.php line 119 

这是我的安全配置:

role_hierarchy:
    ROLE_AUTHOR: ROLE_USER
    ROLE_EDITOR: ROLE_AUTHOR
    ROLE_ADMIN : [ROLE_USER, ROLE_ALLOWED_TO_SWITCH]

firewalls:
    # disables authentication for assets and the profiler, adapt it according to your needs
    dev:
        pattern: ^/(_(profiler|wdt)|css|images|js)/
        security: false

    main:
        anonymous: ~
        pattern: ^/
        provider: app_users_provider
        form_login:
            login_path: jst_login
            check_path: jst_login_check
        logout:
            path: jst_logout
            target: /

access_decision_manager:
    strategy: unanimous

这是我控制器中的基本动作,直到没有使用选民时才能正常工作:

public function deleteUserAction(User $user)
{
    $this->denyAccessUnlessGranted('delete', $user);
    $currentUser = $this->getUser();
    $role = $currentUser->getRoles[0];

    return new Response('Delete User AppBundle:AdminController:deleteUser : '.$role);
}

这是非常简单的选民:

namespace AppBundle\Security;

use AppBundle\Entity\User;
use AppBundle\Entity\Role;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Authorization\Voter\Voter;
use Symfony\Component\Security\Core\Authorization\AccessDecisionManagerInterface;

class UserVoter extends Voter
{
    const EDIT = 'edit';
    const DELETE = 'delete';
    const CREATE = 'create';

    private $decisionManager;

    public function __construct(AccessDecisionManagerInterface, $decisionManager)
    {
        $this->decisionManager = $decisionManager;
    }

    public function support($attribute, $subject)
    {
        if (!in_array($attribute, array(selt::DELETE))) {
            return false;
        }
        if (!$subject instanceOf USER) {
            return false;
        }

        return true;
    }

    public function voteOnAttribute($attribute, $subject, TokenInterface $token)
    {
        $currentUser = $token->getUser();
        $user = $subject;

        if (!$currentUser instanceOf User) {
            return false;
        }

        switch ($attribute) {
            case self::DELETE :
                //return $this->canDelete( $token );
                return $this->canDelete($user, $currentUser);
                break;
            default:
                throw new \LogicException('this code shoudn\'t be executed');
        }
    }

    private function canDelete($user, $currentUser)
    {
        //return $this->decisionManager->decide( $token, array( 'ROLE_ADMIN' ) );
        return $currentUser->getRoles()[0] == 'SUPER_ADMIN';
    }
}

正如您所见,我已经尝试过使用AccessDecisionManagerInterface而没有结果..

Et bien heuuu ..有什么帮助吗? ; - )

Thanck's!

3 个答案:

答案 0 :(得分:0)

您的role_hierarchy中的ROLE_SUPER_ADMIN在哪里?

voteOnAttribute函数中尝试此操作。

  case self::DELETE:
            // if the user is an super admin, allow them to create new posts
            if ($this->decisionManager->decide($token,  array('ROLE_SUPER_ADMIN'))) {
                return true;
            }

当您登录网站时,您的角色是什么?检查分析器

答案 1 :(得分:0)

您的安全配置中没有角色ROLE_SUPER_ADMIN。 将其添加到您的角色层次结构中:

role_hierarchy:
    ROLE_AUTHOR: ROLE_USER
    ROLE_EDITOR: ROLE_AUTHOR
    ROLE_ADMIN : [ROLE_USER, ROLE_ALLOWED_TO_SWITCH]
    ROLE_SUPER_ADMIN: ROLE_ADMIN
...

评论后更新

//return $this->decisionManager->decide( $token, array( 'ROLE_ADMIN' ) );的问题是,您的逻辑在哪里定义用户是否可以删除另一个? 决策管理器不知道您是否未实现该接口并使用该实例。

对于return $currentUser->getRoles()[0] == 'ROLE_ADMIN';井,令牌存储返回的用户可能有多个角色,而ROLE_ADMIN不是第一个角色。在这种情况下,请尝试使用:

return in_array("ROLE_SUPER_ADMIN", $tokenInterface->getUser()->getRoles();

答案 2 :(得分:0)

此错误也可能是由于symfony 3.0与版本1.6.0中的jms/security-extra-bundle不兼容造成的。

如果您使用jms-security-extra-bundle,请尝试在1.6.1或更高版本中使用它!