选民界面

自定义投票人必须实现VoterInterface，需要以下三种方法:

1 2 3 4 5 6

接口VoterInterface｛公共函数supportsAttribute（＄属性）；公共函数supportsClass（＄类）；公共函数投票(TokenInterface＄令牌，＄对象数组,＄属性）；｝

的supportsAttribute ()方法用于检查投票人是否支持给定的用户属性(即:像ROLE_USER， ACL编辑等)。

的supportsClass ()方法用于检查投票人是否支持正在检查其访问权限的对象的类。

的投票()方法必须实现验证用户是否具有访问权限的业务逻辑。该方法必须返回以下值之一:

• VoterInterface: ACCESS_GRANTED:授权将由该投票人授予;
• VoterInterface: ACCESS_ABSTAIN:选民无法决定是否给予授权;
• VoterInterface: ACCESS_DENIED:该授权将被该选民拒绝。

在本例中，您将检查用户的IP地址是否与黑名单地址列表相匹配，“某些东西”将是应用程序。如果用户的IP被列入黑名单，您将返回VoterInterface: ACCESS_DENIED，否则你会回来的VoterInterface: ACCESS_ABSTAIN因为这个投票人的目的只是拒绝访问，而不是授予访问。

创建自定义投票人

如果要根据IP地址将用户列入黑名单，可以使用request_stackservice，并将IP地址与黑名单中的IP地址进行比较:

12 34 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

/ / src / AppBundle /安全/授权/选民/ ClientIpVoter.php名称空间AppBundle＼安全＼授权＼选民；使用ob娱乐下载＼组件＼HttpFoundation＼RequestStack；使用ob娱乐下载＼组件＼安全＼核心＼授权＼选民＼VoterInterface；使用ob娱乐下载＼组件＼安全＼核心＼身份验证＼令牌＼TokenInterface；类ClientIpVoter实现了VoterInterface｛受保护的＄requestStack；私人＄blacklistedIp；公共函数__construct(RequestStack＄requestStack数组,＄blacklistedIp=数组（））｛＄这->requestStack =＄requestStack；＄这->blacklistedIp =＄blacklistedIp；｝公共函数supportsAttribute（＄属性）｛//你不会检查用户属性，所以返回true返回真正的；｝公共函数supportsClass（＄类）｛//你的投票人支持所有类型的令牌类，所以返回true返回真正的；｝公共函数投票(TokenInterface＄令牌，＄对象数组,＄属性）｛＄请求＝＄这->requestStack->getCurrentRequest ();如果(in_array (＄请求->getClientIp (),＄这->blacklistedIp)) {返回VoterInterface：：ACCESS_DENIED;｝返回VoterInterface：：ACCESS_ABSTAIN;}}

就是这样!投票人完成了。下一步是将投票人注入安全层。这可以通过服务容器轻松完成。

宣布选民为一项服务

要将投票人注入安全层，必须将其声明为服务，并将其标记为security.voter：

1 2 3 4 5 6 7 8

# src / Acme / AcmeBundle /资源/ config / services.yml服务:security.access.blacklist_voter:类:AppBundle \安全\ \选民\ ClientIpVoter授权参数:[" @request_stack ",[123.123.123.123,171.171.171.171]]公众:假标签:-｛名称:security.voter｝

1 2 3 4 5 6 7 8 9 10

<！--src/Acme/AcmeBundle/Resources/config/services.xml --><服务id＝“security.access.blacklist_voter”类＝“AppBundle \安全\ \选民\ ClientIpVoter授权”公共＝“假”><论点类型＝“服务”id＝“request_stack”严格的＝“假”/><论点类型＝“收集”><论点>123.123.123.123论点><论点>171.171.171.171论点>论点><标签的名字＝“security.voter”/>服务>

12 3 4 5 6 7 8 9 10 11 12 13 14 15

/ / src / Acme / AcmeBundle /资源/ config / services.php使用ob娱乐下载＼组件＼DependencyInjection＼定义；使用ob娱乐下载＼组件＼DependencyInjection＼参考；＄定义＝新定义(“AppBundle \安全\ \选民\ ClientIpVoter授权”，数组（新引用(“request_stack”)，数组（“123.123.123.123”，“171.171.171.171”)，)，);＄定义->addTag (“security.voter”）;＄定义->setPublic (假）;＄容器->setDefinition (“security.access.blacklist_voter”，＄定义）;

更改访问决策策略

为了使新的投票人生效，您需要更改默认的访问决策策略，默认情况下，该策略授予if访问权任何选民授予访问权限。

在本例中，选择一致策略。不像肯定的策略(默认值)，使用一致策略，如果只有一个选民拒绝访问(例如ClientIpVoter)，访问权限不会授予最终用户。

为此，重写默认值access_decision_manager部分，使用以下代码。

1 2 3 4 5

# app / config / security.yml安全:access_decision_manager:#策略可以是:肯定的，一致的或一致的策略:一致

1 2 3 4 5

<！--app/config/security.xml --><配置><！--策略can be: affirmative, unanimous or consensus --><access-decision-manager策略＝“一致”>配置>

1 2 3 4 5 6 7

/ / app / config / security.xml＄容器->loadFromExtension (“安全”，数组（//策略可以是:positive, unanimous或consensus“access_decision_manager”= >数组（“策略”= >“一致”，)，));

就是这样!现在，当决定用户是否应该访问时，新的投票将拒绝访问黑名单ip列表中的任何用户。