Я могу немного ошибиться в своей терминологии, но дни проб и ошибок, гугления, документации по symfony, поиска здесь и чтения различных туториалов, моя голова, возможно, немного поджарилась.
Что я использую:
Среди других пакетов композитора
Я пытаюсь перенаправить пользователя, который хочет войти на мой сайт через систему единого входа (EveOnline). После возвращения на мой сайт сохраните соответствующие данные и аутентифицируйте пользователя для доступа к областям только для участников на моем сайте.
В будущем я буду делать запросы ESI (EveSwaggerInterface) от имени пользователя.
В настоящее время у меня есть SSO, работающий с OAuth2, я создаю URL-адрес, перенаправляюсь на Eve, пользователь входит в систему и отправляется обратно мне, затем я перехватываю ответ, заполняю/обновляю базу данных или ловлю ошибку, наконец, перенаправляю участника области, все в моем контроллере.
use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
use Symfony\Component\Routing\Annotation\Route;
use Evelabs\OAuth2\Client\Provider\EveOnline;
use Doctrine\Persistence\ManagerRegistry;
use App\Entity\User;
class SecurityController extends AbstractController
{
#[Route('/login', name: 'page_login')]
public function login_page()
{
return $this->render('login.html.twig');
}
#[Route('/redirect', name: 'app_login')]
public function login(ManagerRegistry $doctrine)
{
session_start();
$provider = new EveOnline([
'clientId' => $this->getParameter('eve.client_id'),
'clientSecret' => $this->getSecret,
'redirectUri' => $this->getParameter('eve.redirect_uri'),
]);
if (!isset($_GET['code'])) {
$options = [
'scope' => ['publicData'] // array or string
];
// If we don't have an authorization code then get one
$authUrl = $provider->getAuthorizationUrl($options);
$_SESSION['oauth2state'] = $provider->getState();
unset($_SESSION['token']);
header('Location: '.$authUrl);
exit;
// Check given state against previously stored one to mitigate CSRF attack
} elseif (empty($_GET['state']) || ($_GET['state'] !== $_SESSION['oauth2state'])) {
unset($_SESSION['oauth2state']);
exit('Invalid state');
} else{ // In this example we use php native $_SESSION as data store
if (!isset($_SESSION['token']))
{
$_SESSION['token'] = $provider->getAccessToken('authorization_code', [
'code' => $_GET['code']
]);
}elseif ($_SESSION['token']->hasExpired()) {
// This is how you refresh your access token once you have it
$new_token = $provider->getAccessToken('refresh_token', [
'refresh_token' => $_SESSION['token']->getRefreshToken()
]);
// Purge old access token and store new access token to your data store.
$_SESSION['token'] = $new_token;
}try{
// Try to get an access token using the authorization code grant.
$accessToken = $provider->getResourceOwner($_SESSION['token']);
//Store eve user data
$userdata = $accessToken->toArray();
//Init Entity Manager
$entityManager = $doctrine->getManager();
//Get Repo
$userobject = $doctrine->getRepository(User::class)->findBy(['userID' => $userdata['CharacterID']]);
//If user exist, update database
if ($accessToken && $userobject != null){
$id = $userobject[0]->getId();
$userobject[0]->setId($id);
$userobject[0]->setUserName($userdata['CharacterName']);
$userobject[0]->setUserID($userdata['CharacterID']);
$userobject[0]->setToken($_SESSION['token']->getToken());
$userobject[0]->setTokenRefresh($_SESSION['token']->getRefreshToken());
$userobject[0]->setExpiry($_SESSION['token']->getExpires());
$entityManager->flush();
//If user exists update tokens
}elseif ($accessToken != null){
$userobject = new User();
$userobject->setUserName($userdata['CharacterName']);
$userobject->setUserID($userdata['CharacterID']);
$userobject->setRoles(['ROLE_USER']);
$userobject->setToken($_SESSION['token']->getToken());
$userobject->setTokenRefresh($_SESSION['token']->getRefreshToken());
$userobject->setExpiry($_SESSION['token']->getExpires());
$entityManager->persist($userobject);
$entityManager->flush();
}else{
print_r('You messed it all, go slap undo');
//TODO: Update this error with a real error
}
}catch (\League\OAuth2\Client\Provider\Exception\IdentityProviderException $e) {
// Failed to get the access token or user details.
exit($e->getMessage());
}
}
return $this->redirectToRoute('page_success');
}
#[Route('/success', name: 'page_success')]
public function success()
{
return $this->render('callback.html.twig');
}
}
Моя проблема в том, что я не могу решить, где и как в этом проверить, вошел ли пользователь в систему или установить флаги, аутентифицирующие пользователя локально.
Я предположил, что в случае успешного возврата из SSO с полезной нагрузкой пользователь аутентифицируется удаленным хостом. Когда мне удалось установить флаги аутентификации, я могу сделать свой процесс аутентификации более безопасным, проверив токен обновления, который должен подтвердите, что это не ложная полезная нагрузка && || печенье
мой профилировщик показывает, что пользователь не аутентифицирован, а также что сеанс вообще не активен, даже при вызове session_start(); хотя я могу сбросить($_SESSION['токен']); с успехом
любая помощь в преодолении этого контрольно-пропускного пункта будет оценена по достоинству
Конфиг\безопасность.yaml
enable_authenticator_manager: true
# https://symfony.com/doc/current/security.html#registering-the-user-hashing-passwords
password_hashers:
Symfony\Component\Security\Core\User\PasswordAuthenticatedUserInterface: 'auto'
# https://symfony.com/doc/current/security.html#loading-the-user-the-user-provider
providers:
# used to reload user from session & other features (e.g. switch_user)
app_user_provider:
entity:
class: App\Entity\User
property: userID
firewalls:
dev:
pattern: ^/(_(profiler|wdt)|css|images|js)/
security: false
main:
lazy: true
provider: app_user_provider
# activate different ways to authenticate
# https://symfony.com/doc/current/security.html#the-firewall
# https://symfony.com/doc/current/security/impersonating_user.html
# switch_user: true
# Easy way to control access for large sections of your site
# Note: Only the *first* access control that matches will be used
access_control:
# - { path: ^/admin, roles: ROLE_ADMIN }
# - { path: ^/profile, roles: ROLE_USER }
# - {path: ^/success, roles: ROLE_USER }
when@test:
security:
password_hashers:
# By default, password hashers are resource intensive and take time. This is
# important to generate secure password hashes. In tests however, secure hashes
# are not important, waste resources and increase test times. The following
# reduces the work factor to the lowest possible values.
Symfony\Component\Security\Core\User\PasswordAuthenticatedUserInterface:
algorithm: auto
cost: 4 # Lowest possible value for bcrypt
time_cost: 3 # Lowest possible value for argon
memory_cost: 10 # Lowest possible value for argon
Entity\User - На всякий случай
namespace App\Entity;
use App\Repository\UserRepository;
use Doctrine\ORM\Mapping as ORM;
use Symfony\Component\Security\Core\User\UserInterface;
#[ORM\Entity(repositoryClass: UserRepository::class)]
class User implements UserInterface
{
#[ORM\Id]
#[ORM\GeneratedValue]
#[ORM\Column]
private ?int $id = null;
#[ORM\Column(length: 180, unique: true)]
private ?string $userID = null;
#[ORM\Column]
private array $roles = [];
#[ORM\Column(length: 255)]
private ?string $userName = null;
#[ORM\Column(length: 1000, nullable: true)]
private ?string $token = null;
#[ORM\Column(length: 255, nullable: true)]
private ?string $tokenRefresh = null;
#[ORM\Column(nullable: true)]
private ?int $expiry = null;
#[ORM\Column(length: 1000, nullable: true)]
private ?string $scopes = null;
public function getId(): ?int
{
return $this->id;
}
public function setId(?int $id): self
{
$this->id = $id;
return $this;
}
public function getUserID(): ?string
{
return $this->userID;
}
public function setUserID(string $userID): self
{
$this->userID = $userID;
return $this;
}
/**
* A visual identifier that represents this user.
*
* @see UserInterface
*/
public function getUserIdentifier(): string
{
return (string) $this->userID;
}
/**
* @deprecated since Symfony 5.3, use getUserIdentifier instead
*/
public function getUsername(): string
{
return (string) $this->userID;
}
/**
* @see UserInterface
*/
public function getRoles(): array
{
$roles = $this->roles;
// guarantee every user at least has ROLE_USER
$roles[] = 'ROLE_USER';
return array_unique($roles);
}
public function setRoles(array $roles): self
{
$this->roles = $roles;
return $this;
}
/**
* This method can be removed in Symfony 6.0 - is not needed for apps that do not check user passwords.
*
* @see PasswordAuthenticatedUserInterface
*/
public function getPassword(): ?string
{
return null;
}
/**
* This method can be removed in Symfony 6.0 - is not needed for apps that do not check user passwords.
*
* @see UserInterface
*/
public function getSalt(): ?string
{
return null;
}
/**
* @see UserInterface
*/
public function eraseCredentials()
{
// If you store any temporary, sensitive data on the user, clear it here
// $this->plainPassword = null;
}
public function setUserName(string $userName): self
{
$this->userName = $userName;
return $this;
}
public function getToken(): ?string
{
return $this->token;
}
public function setToken(?string $token): self
{
$this->token = $token;
return $this;
}
public function getTokenRefresh(): ?string
{
return $this->tokenRefresh;
}
public function setTokenRefresh(?string $tokenRefresh): self
{
$this->tokenRefresh = $tokenRefresh;
return $this;
}
public function getExpiry(): ?int
{
return $this->expiry;
}
public function setExpiry(?int $expiry): self
{
$this->expiry = $expiry;
return $this;
}
public function getScopes(): ?string
{
return $this->scopes;
}
public function setScopes(?string $scopes): self
{
$this->scopes = $scopes;
return $this;
}
}
У меня был некоторый опыт работы с брандмауэрами Symfony еще в v2, но я использовал форму входа, которую обрабатывает мой сайт для своего сайта, но теперь я использую 6.1, все по-другому, а также использую совершенно другой тип провайдера, я не могу вызвать аутентификатор по умолчанию, так как я не использую форму пароля электронной почты.
мне нужно создать собственный аутентификатор, чтобы справиться с этим? если да то как. я не очень умный код, поэтому объяснение непрофессионала будет оценено.
У меня было откровение во время работы, поскольку срок действия токена истек.
Это выглядит,
поставщик Oauth2 проверяет срок действия токена скрыто или за кулисами и передает статус HTTP (500) по умолчанию, когда срок действия токена истекает и не обновляется.
брандмауэр symfony 6 полностью обойден и обрабатывается в коде в другом месте.
любая страница, которую я использую session_start()
, становится «защищенной». если срок действия данных сеанса истек, поставщик Oauth выдает неавторизованное исключение.
это решает мои проблемы с аутентификацией, так как каждый раз, когда мне нужно, чтобы страница считалась только членами, мне нужно только начать сеанс, если сеанс недействителен, перенаправить пользователя для входа в систему
пожалуйста, поправьте меня, если я ошибаюсь.