禁止仅未经授权的用户直接访问上传的文件-Symfony

时间:2019-01-01 06:06:38

标签: php symfony sonata-media-bundle

出于安全方面的考虑,我试图仅允许我网站上已登录用户直接访问上载的文件。我尝试进行this配置,但似乎正在处理下载映像。

这是我显示图片的 Twig文件代码

{% if(req.media!='') %}
      <a href="{% path req.media, 'reference' %}"
      data-fancybox class="fancybox">
       <img src="{% path (req.media), 'reference' %}" alt="" width="70px"
        height="70px"/>
      </a>
{% endif %}

以下奏鸣曲媒体的配置。

Sonata_media.yml 

sonata_media:
# if you don't use default namespace configuration
#class:
#    media: MyVendor\MediaBundle\Entity\Media
#    gallery: MyVendor\MediaBundle\Entity\Gallery
#    gallery_has_media: MyVendor\MediaBundle\Entity\GalleryHasMedia
db_driver: doctrine_orm # or doctrine_mongodb, doctrine_phpcr it is mandatory to choose one here
default_context: default # you need to set a context
contexts:
    default:  # the default context is mandatory
        download:
            strategy: sonata.media.security.forbidden_strategy
        providers:
            #- sonata.media.provider.dailymotion
            #- sonata.media.provider.youtube
            - sonata.media.provider.image
            - sonata.media.provider.file
            #- sonata.media.provider.vimeo

2 个答案:

答案 0 :(得分:3)

我按照以下步骤实现了这一要求。

  1. 创建了一个函数并将其路由添加到防火墙中,因此匿名用户无法转到该路径。
  2. 创建一条路线以设置其路径。
  3. 该函数中有媒体ID,并执行了返回文件的功能。
  4. 使用参数mediaId通过其路径调用该函数,而不是在树枝中调用直接媒体。

这是代码。

security.yml 

- { path: ^/user(.*), roles: ROLE_DASHBOARD_USER }

routing.yml 

cms_direct_access_uploaded_files:
path:     /user/image-return/{fileId}
defaults: { _controller: CMSFrontUserBundle:Dashboard:DirectAccessUploadedMedia }

控制器 

    public function DirectAccessUploadedMediaAction(Request $request,$fileId = null){
    $user = $this->getUser();
    if(!empty($user)){
        $DM = $this->getDoctrineManager();
        $media = $DM->getRepository('ApplicationSonataMediaBundle:Media')->find($fileId);
        if(!empty($media)) {
            $provider   = $this->container->get( $media->getProviderName() );
            $format     = $provider->getFormatName( $media, 'reference' );
            $url        = $provider->generatePublicUrl( $media, $format );
            $ext = pathinfo($url, PATHINFO_EXTENSION);
            $returnFile = $_SERVER['DOCUMENT_ROOT'] .'/web'. $url;
            if (file_exists($returnFile)) {
                if($ext == 'pdf'){
                    header("Content-Type: application/pdf");
                }else{
                    header("Content-Type: image/jpeg");
                }
                header('Expires: 0');
                header('Cache-Control: must-revalidate');
                header('Pragma: public');
                header('Content-Length: ' . filesize($returnFile));
                readfile($returnFile);
                exit;
            }
        }else{
            throw $this->createAccessDeniedException('Forbidden!');
        }
    }else{
        throw $this->createAccessDeniedException('Forbidden!');
    }
}

树枝 

{{ url('homepage') }}user/image-return/{{ req.media.id }}

答案 1 :(得分:-2)

是的,您是对的。您提供的链接包含下载策略,但不包含上传策略。我还浏览了文档并进行了高级配置。

不幸的是,文档中没有提到这样的事情。好吧,在这种情况下,您必须编写自己的uploadStrategyInterface,例如DownloadStrategyInterface。然后编写您自己的安全性上载策略,或者可以使用“ sonata.media.security.connected_strategy”之一。这是link可以为您提供帮助的地方。

相关问题
最新问题