如何编写一个自定义身份验证
编辑该页面如何编写一个自定义身份验证
ob娱乐下载Symfony提供了许多的身份验证器和第三方包也实现更复杂的情况下,如JWT和oAuth 2.0。然而,有时你需要实现一个自定义的身份验证机制,尚不存在或您需要定制。在这种情况下,您必须创建和使用自己的身份。
身份验证器应该实现AuthenticatorInterface。你也可以扩展AbstractAuthenticator的默认实现createToken ()方法适合大多数用例:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57
/ / src /安全/ ApiKeyAuthenticator.php名称空间应用程序\安全;使用ob娱乐下载\组件\HttpFoundation\JsonResponse;使用ob娱乐下载\组件\HttpFoundation\请求;使用ob娱乐下载\组件\HttpFoundation\响应;使用ob娱乐下载\组件\安全\核心\身份验证\令牌\TokenInterface;使用ob娱乐下载\组件\安全\核心\异常\AuthenticationException;使用ob娱乐下载\组件\安全\核心\异常\CustomUserMessageAuthenticationException;使用ob娱乐下载\组件\安全\Http\身份验证\AbstractAuthenticator;使用ob娱乐下载\组件\安全\Http\身份验证\护照\徽章\UserBadge;使用ob娱乐下载\组件\安全\Http\身份验证\护照\护照;使用ob娱乐下载\组件\安全\Http\身份验证\护照\SelfValidatingPassport;类ApiKeyAuthenticator扩展AbstractAuthenticator{/ * * *呼吁每个请求决定如果这应该*用于身份验证请求。返回“false”将导致这个身份*被忽略。* /公共函数支持(请求美元请求):哦?bool{返回美元请求- >头- >有(“X-AUTH-TOKEN”);}公共函数进行身份验证(请求美元请求):护照{美元apiToken=美元请求- >头- >get (“X-AUTH-TOKEN”);如果(零= = =美元apiToken){/ /令牌头是空的,与HTTP认证失败状态/ /代码401“未经授权的”扔新CustomUserMessageAuthenticationException (“没有API提供的令牌”);}返回新SelfValidatingPassport (新UserBadge (美元apiToken));}公共函数onAuthenticationSuccess(请求美元请求,TokenInterface美元令牌、字符串美元firewallName):哦?响应{/ /成功,让请求继续比赛返回零;}公共函数onAuthenticationFailure(请求美元请求,AuthenticationException美元异常):哦?响应{美元数据= (/ /你可以定制或混淆消息“消息”= > strtr (美元异常- >getMessageKey (),美元异常- >getMessageData ())/ /或翻译这个消息/ / $ this - >翻译- >反式($例外- > getMessageKey(), $例外- > getMessageData ())];返回新JsonResponse (美元数据、响应::HTTP_UNAUTHORIZED);}}提示
如果您的自定义身份验证是一个登录表单,您可以扩展的AbstractLoginFormAuthenticator类来简化你的工作。
身份验证可以使用启用custom_authenticators设置:
1 2 3 4 5 6 7 8
#配置/包/ security.yaml安全:#……防火墙:主要:custom_authenticators:- - - - - -App \安全\ ApiKeyAuthenticator提示
你可能希望你的身份来实现AuthenticationEntryPointInterface。这个定义的响应发送给用户开始认证(如当他们访问一个受保护的页面)。阅读更多关于它入口点:帮助用户开始认证。
的authenticate ()身份验证的方法是最重要的方法。它的任务是提取凭证(如用户名和密码,或API令牌)的请求对象,并把这些变成一个安全护照(安全护照是本文后面会详细解释)。
身份验证过程完成后,用户身份验证或有错误的(如不正确的密码)。身份验证可以定义在这些情况下会发生什么:
-
onAuthenticationSuccess(请求请求美元,美元TokenInterface令牌,字符串firewallName美元):?反应 -
如果用户身份验证,调用这个方法时使用的身份验证
美元的令牌。该方法返回一个响应(如将用户重定向到主页)。如果
零返回,请求继续像正常(即调用控制器匹配登录路线)。这是有用的API路线,每个路由通过一个API键头保护。 -
onAuthenticationFailure(请求请求美元,美元AuthenticationException除外):?反应 -
如果一个
AuthenticationException扔在身份验证、过程失败,调用此方法。这种方法可以返回一个响应(如401年返回一个未经授权的反应API路线)。如果
零返回,请求继续像正常。这是有用的,如登录表单,登录再次运行控制器的登录错误。如果您正在使用登录节流,你可以检查
美元的例外是一个实例TooManyLoginAttemptsAuthenticationException(如显示适当的消息)。谨慎:永远不要使用
$例外- > getMessage ()为AuthenticationException实例。这个消息可能包含敏感信息,你不想被公开曝光。相反,使用$例外- > getMessageKey ()和$例外- > getMessageData ()像上面的完整示例所示。使用CustomUserMessageAuthenticationException如果你想设置自定义错误消息。
提示
如果你的登录方法是互动的,这意味着用户积极登录到您的应用程序,您可能希望你的身份来实现InteractiveAuthenticatorInterface所以它分派一个InteractiveLoginEvent
安全护照
护照是一个对象,其中包含的用户身份验证以及其他的信息,比如密码是否应该检查或者“记住我”的功能应该启用。
默认的护照需要一个用户和某种“凭证”(如密码)。
使用UserBadge把用户护照。的UserBadge需要一个用户标识符(如用户名或电子邮件),用于加载用户使用用户提供者:
1 2 3 4
使用ob娱乐下载\组件\安全\Http\身份验证\护照\徽章\UserBadge;/ /……美元护照=新护照(新UserBadge (美元电子邮件),美元凭证);请注意
允许的最大长度是4096个字符,以防止用户标识符会话存储洪水攻击。
请注意
你可以通过一个用户装载机作为第二个参数UserBadge。可接收userIdentifier美元而且必须返回一个用户界面对象(否则UserNotFoundException抛出):
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日24日25
/ / src /安全/ CustomAuthenticator.php名称空间应用程序\安全;使用应用程序\存储库\UserRepository;/ /……类CustomAuthenticator扩展AbstractAuthenticator{公共函数__construct(私人UserRepository美元userRepository,){}公共函数进行身份验证(请求美元请求):护照{/ /……返回新护照(新UserBadge (美元电子邮件,函数(字符串美元userIdentifier):哦?用户界面{返回美元这- >userRepository- >findOneBy ([“电子邮件”= >美元userIdentifier]);}),美元凭证);}}以下默认凭据支持类:
- PasswordCredentials
-
这需要一个明文
美元的密码,这是使用进行验证为用户密码编码器配置:1 2 3 4
使用ob娱乐下载\组件\安全\Http\身份验证\护照\凭证\PasswordCredentials;/ /……返回新护照(新UserBadge (美元电子邮件),新PasswordCredentials (美元plaintextPassword)); - CustomCredentials
-
允许自定义闭包检查凭证:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
使用ob娱乐下载\组件\安全\核心\用户\用户界面;使用ob娱乐下载\组件\安全\Http\身份验证\护照\凭证\CustomCredentials;/ /……返回新护照(新UserBadge (美元电子邮件),新CustomCredentials (/ /如果这个函数返回什么事比“真实”,凭证/ /被标记为无效。/ / $凭证参数等于下一个这个类的参数函数(字符串美元凭证,用户界面美元用户):bool{返回美元用户- >getApiToken () = = =美元凭证;},/ /自定义凭证美元apiToken));
自我验证护照
如果你不需要任何凭证检查(如使用API的令牌)时,您可以使用SelfValidatingPassport。这个类只需要一个UserBadge对象和选择护照徽章。
护照徽章
的护照也可以选择允许您添加安全徽章。徽章将更多的数据附加到护照(扩展安全性)。默认情况下,以下徽章支持:
- RememberMeBadge
-
当这个徽章被添加到护照,身份表示支持记得我。记得我是否实际使用取决于特殊
remember_me配置。读如何添加“记住我”登录功能为更多的信息。 - PasswordUpgradeBadge
- 这是用于自动密码升级到一个新的哈希在成功登录(如果需要)。这个徽章需要明文密码和密码升级程序(例如用户存储库)。看到密码散列和验证。
- CsrfTokenBadge
- 自动验证CSRF这个期间身份验证令牌。构造函数需要一个令牌ID(每形成独特)和CSRF令牌(独特的每个请求)。看到如何实现CSRF保护吗。
- PreAuthenticatedUserBadge
- 表明该用户pre-authenticated Symfony开始之前(即)。ob娱乐下载跳过这个pre-authentication用户检查程序。
请注意
的PasswordUpgradeBadge自动添加到护照如果护照PasswordCredentials。
例如,如果您想要添加CSRF定制身份验证,您将初始化的护照是这样的:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日24日25日26日
/ / src /服务/ LoginAuthenticator.php名称空间应用程序\服务;/ /……使用ob娱乐下载\组件\安全\Http\身份验证\AbstractAuthenticator;使用ob娱乐下载\组件\安全\Http\身份验证\护照\徽章\CsrfTokenBadge;使用ob娱乐下载\组件\安全\Http\身份验证\护照\徽章\UserBadge;使用ob娱乐下载\组件\安全\Http\身份验证\护照\护照;类LoginAuthenticator扩展AbstractAuthenticator{公共函数进行身份验证(请求美元请求):护照{美元密码=美元请求- >请求- >get (“密码”);美元用户名=美元请求- >请求- >get (“用户名”);美元csrfToken=美元请求- >请求- >get (“csrf_token”);/ /……验证没有参数是空的返回新护照(新UserBadge (美元用户名),新PasswordCredentials (美元密码),(新CsrfTokenBadge (“登录”,美元csrfToken)));}}护照属性
除了徽章,护照可以定义属性,允许authenticate ()方法来存储任意信息的护照从其他身份验证方法(如访问它。createToken ()):
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日24日25
/ /……使用ob娱乐下载\组件\安全\Http\身份验证\护照\徽章\UserBadge;类LoginAuthenticator扩展AbstractAuthenticator{/ /……公共函数进行身份验证(请求美元请求):护照{/ /……处理请求美元护照=新SelfValidatingPassport (新UserBadge (美元用户名),[]);/ /设置一个自定义属性(如范围)美元护照- >setAttribute (“范围”,美元oauthScope);返回美元护照;}公共函数createToken(护照美元护照、字符串美元firewallName):TokenInterface{/ /读取属性值返回新CustomOauthToken (美元护照- >getUser (),美元护照- >getAttribute (“范围”));}}
