我对Symfony很新。我正在尝试在管理区域使用选民。
我希望管理员(ROLE_ADMIN)只有在他是superAdmin(ROLE_SUPER_ADMIN)的情况下才能删除(删除)用户。
我的防火墙似乎工作正常,因为我可以在管理区域登录并做我想要的,直到我不使用选民。这是我的用户对象的转储:
User {#300 ▼
-id: 1
-password: "$2y$13$e3LL2N/pYGrGn.7EFikqSuAMSkLolcnggtf1HsBgNMzdXnal1AIua"
-username: "JustMe"
-email: "me@me.fr"
-isActive: true
-roles: array:1 [▼
0 => "ROLE_ADMIN"
]
}
一旦我在我的控制器中使用denyUnlessGranted(),我就会得到这个例外:
DEBUG - Access denied, the user is neither anonymous, nor remember-me.
ERROR - Uncaught PHP Exception Symfony\Component\HttpKernel\Exception\AccessDeniedHttpException: "Access Denied." at /Volumes/Work/MAMP htdocs/a-symfony-re/vendor/symfony/symfony/src/Symfony/Component/Security/Http/Firewall/ExceptionListener.php line 119
这是我的安全配置:
role_hierarchy:
ROLE_AUTHOR: ROLE_USER
ROLE_EDITOR: ROLE_AUTHOR
ROLE_ADMIN : [ROLE_USER, ROLE_ALLOWED_TO_SWITCH]
firewalls:
# disables authentication for assets and the profiler, adapt it according to your needs
dev:
pattern: ^/(_(profiler|wdt)|css|images|js)/
security: false
main:
anonymous: ~
pattern: ^/
provider: app_users_provider
form_login:
login_path: jst_login
check_path: jst_login_check
logout:
path: jst_logout
target: /
access_decision_manager:
strategy: unanimous
这是我控制器中的基本动作,直到没有使用选民时才能正常工作:
public function deleteUserAction(User $user)
{
$this->denyAccessUnlessGranted('delete', $user);
$currentUser = $this->getUser();
$role = $currentUser->getRoles[0];
return new Response('Delete User AppBundle:AdminController:deleteUser : '.$role);
}
这是非常简单的选民:
namespace AppBundle\Security;
use AppBundle\Entity\User;
use AppBundle\Entity\Role;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Authorization\Voter\Voter;
use Symfony\Component\Security\Core\Authorization\AccessDecisionManagerInterface;
class UserVoter extends Voter
{
const EDIT = 'edit';
const DELETE = 'delete';
const CREATE = 'create';
private $decisionManager;
public function __construct(AccessDecisionManagerInterface, $decisionManager)
{
$this->decisionManager = $decisionManager;
}
public function support($attribute, $subject)
{
if (!in_array($attribute, array(selt::DELETE))) {
return false;
}
if (!$subject instanceOf USER) {
return false;
}
return true;
}
public function voteOnAttribute($attribute, $subject, TokenInterface $token)
{
$currentUser = $token->getUser();
$user = $subject;
if (!$currentUser instanceOf User) {
return false;
}
switch ($attribute) {
case self::DELETE :
//return $this->canDelete( $token );
return $this->canDelete($user, $currentUser);
break;
default:
throw new \LogicException('this code shoudn\'t be executed');
}
}
private function canDelete($user, $currentUser)
{
//return $this->decisionManager->decide( $token, array( 'ROLE_ADMIN' ) );
return $currentUser->getRoles()[0] == 'SUPER_ADMIN';
}
}
正如您所见,我已经尝试过使用AccessDecisionManagerInterface而没有结果..
Et bien heuuu ..有什么帮助吗? ; - )
Thanck's!
答案 0 :(得分:0)
您的role_hierarchy中的ROLE_SUPER_ADMIN
在哪里?
在voteOnAttribute
函数中尝试此操作。
case self::DELETE:
// if the user is an super admin, allow them to create new posts
if ($this->decisionManager->decide($token, array('ROLE_SUPER_ADMIN'))) {
return true;
}
当您登录网站时,您的角色是什么?检查分析器
答案 1 :(得分:0)
您的安全配置中没有角色ROLE_SUPER_ADMIN
。
将其添加到您的角色层次结构中:
role_hierarchy:
ROLE_AUTHOR: ROLE_USER
ROLE_EDITOR: ROLE_AUTHOR
ROLE_ADMIN : [ROLE_USER, ROLE_ALLOWED_TO_SWITCH]
ROLE_SUPER_ADMIN: ROLE_ADMIN
...
评论后更新
//return $this->decisionManager->decide( $token, array( 'ROLE_ADMIN' ) );
的问题是,您的逻辑在哪里定义用户是否可以删除另一个?
决策管理器不知道您是否未实现该接口并使用该实例。
对于return $currentUser->getRoles()[0] == 'ROLE_ADMIN';
井,令牌存储返回的用户可能有多个角色,而ROLE_ADMIN
不是第一个角色。在这种情况下,请尝试使用:
return in_array("ROLE_SUPER_ADMIN", $tokenInterface->getUser()->getRoles();
答案 2 :(得分:0)
此错误也可能是由于symfony 3.0与版本1.6.0中的jms/security-extra-bundle
不兼容造成的。
如果您使用jms-security-extra-bundle,请尝试在1.6.1或更高版本中使用它!