Аутентификация локального клиента с удаленного хоста SSO

Я могу немного ошибиться в своей терминологии, но дни проб и ошибок, гугления, документации по symfony, поиска здесь и чтения различных туториалов, моя голова, возможно, немного поджарилась.

Что я использую:

  • PHP 8.1.0
  • Symfony lts (6)
  • Провайдер Evelabs OAuth2 для EveOnline
  • MySQL 5.7
  • Доктрина

Среди других пакетов композитора

Я пытаюсь перенаправить пользователя, который хочет войти на мой сайт через систему единого входа (EveOnline). После возвращения на мой сайт сохраните соответствующие данные и аутентифицируйте пользователя для доступа к областям только для участников на моем сайте.

В будущем я буду делать запросы ESI (EveSwaggerInterface) от имени пользователя.

В настоящее время у меня есть SSO, работающий с OAuth2, я создаю URL-адрес, перенаправляюсь на Eve, пользователь входит в систему и отправляется обратно мне, затем я перехватываю ответ, заполняю/обновляю базу данных или ловлю ошибку, наконец, перенаправляю участника области, все в моем контроллере.


use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
use Symfony\Component\Routing\Annotation\Route;
use Evelabs\OAuth2\Client\Provider\EveOnline;
use Doctrine\Persistence\ManagerRegistry;
use App\Entity\User;

class SecurityController extends AbstractController
{
    #[Route('/login', name: 'page_login')]
    public function login_page()
    {
        return $this->render('login.html.twig');
    }

    #[Route('/redirect', name: 'app_login')]
    public function login(ManagerRegistry $doctrine)
    {
        session_start();

        $provider = new EveOnline([
            'clientId'          => $this->getParameter('eve.client_id'),
            'clientSecret'      => $this->getSecret,
            'redirectUri'       => $this->getParameter('eve.redirect_uri'),
        ]);
        if (!isset($_GET['code'])) {

            $options = [
                'scope' => ['publicData'] // array or string
            ];

            // If we don't have an authorization code then get one
            $authUrl = $provider->getAuthorizationUrl($options);
            $_SESSION['oauth2state'] = $provider->getState();
            unset($_SESSION['token']);
            header('Location: '.$authUrl);
            exit;

        // Check given state against previously stored one to mitigate CSRF attack
        } elseif (empty($_GET['state']) || ($_GET['state'] !== $_SESSION['oauth2state'])) {

            unset($_SESSION['oauth2state']);
            exit('Invalid state');

        } else{ // In this example we use php native $_SESSION as data store
            if (!isset($_SESSION['token']))
            {
                $_SESSION['token'] = $provider->getAccessToken('authorization_code', [
                    'code' => $_GET['code']
                ]);

            }elseif ($_SESSION['token']->hasExpired()) {
                // This is how you refresh your access token once you have it
                $new_token = $provider->getAccessToken('refresh_token', [
                    'refresh_token' => $_SESSION['token']->getRefreshToken()
                ]);
                // Purge old access token and store new access token to your data store.
                $_SESSION['token'] = $new_token;
            }try{
                // Try to get an access token using the authorization code grant.
                $accessToken = $provider->getResourceOwner($_SESSION['token']);
                //Store eve user data
                $userdata = $accessToken->toArray();
                //Init Entity Manager
                $entityManager = $doctrine->getManager();
                //Get Repo
                $userobject = $doctrine->getRepository(User::class)->findBy(['userID' => $userdata['CharacterID']]);

                //If user exist, update database
                if ($accessToken && $userobject != null){
                    $id = $userobject[0]->getId();
                    $userobject[0]->setId($id);
                    $userobject[0]->setUserName($userdata['CharacterName']);
                    $userobject[0]->setUserID($userdata['CharacterID']);
                    $userobject[0]->setToken($_SESSION['token']->getToken());
                    $userobject[0]->setTokenRefresh($_SESSION['token']->getRefreshToken());
                    $userobject[0]->setExpiry($_SESSION['token']->getExpires());

                    $entityManager->flush();
                    //If user exists update tokens
                }elseif ($accessToken != null){
                    $userobject = new User();
                    $userobject->setUserName($userdata['CharacterName']);
                    $userobject->setUserID($userdata['CharacterID']);
                    $userobject->setRoles(['ROLE_USER']);
                    $userobject->setToken($_SESSION['token']->getToken());
                    $userobject->setTokenRefresh($_SESSION['token']->getRefreshToken());
                    $userobject->setExpiry($_SESSION['token']->getExpires());

                    $entityManager->persist($userobject);
                    $entityManager->flush();
                }else{
                    print_r('You messed it all, go slap undo');
                    //TODO: Update this error with a real error
                }

            }catch (\League\OAuth2\Client\Provider\Exception\IdentityProviderException $e) {

                // Failed to get the access token or user details.
                exit($e->getMessage());
            }
        }
        return $this->redirectToRoute('page_success');
    }


    #[Route('/success', name: 'page_success')]
    public function success()
    {
        return $this->render('callback.html.twig');
    }

}

Моя проблема в том, что я не могу решить, где и как в этом проверить, вошел ли пользователь в систему или установить флаги, аутентифицирующие пользователя локально.

Я предположил, что в случае успешного возврата из SSO с полезной нагрузкой пользователь аутентифицируется удаленным хостом. Когда мне удалось установить флаги аутентификации, я могу сделать свой процесс аутентификации более безопасным, проверив токен обновления, который должен подтвердите, что это не ложная полезная нагрузка && || печенье

мой профилировщик показывает, что пользователь не аутентифицирован, а также что сеанс вообще не активен, даже при вызове session_start(); хотя я могу сбросить($_SESSION['токен']); с успехом

любая помощь в преодолении этого контрольно-пропускного пункта будет оценена по достоинству

Конфиг\безопасность.yaml

    enable_authenticator_manager: true
    # https://symfony.com/doc/current/security.html#registering-the-user-hashing-passwords
    password_hashers:
        Symfony\Component\Security\Core\User\PasswordAuthenticatedUserInterface: 'auto'
    # https://symfony.com/doc/current/security.html#loading-the-user-the-user-provider
    providers:
        # used to reload user from session & other features (e.g. switch_user)
        app_user_provider:
            entity:
                class: App\Entity\User
                property: userID
    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false
        main:
            lazy: true
            provider: app_user_provider

            # activate different ways to authenticate
            # https://symfony.com/doc/current/security.html#the-firewall

            # https://symfony.com/doc/current/security/impersonating_user.html
            # switch_user: true

    # Easy way to control access for large sections of your site
    # Note: Only the *first* access control that matches will be used
    access_control:
        # - { path: ^/admin, roles: ROLE_ADMIN }
        # - { path: ^/profile, roles: ROLE_USER }
#        - {path: ^/success, roles: ROLE_USER }

when@test:
    security:
        password_hashers:
            # By default, password hashers are resource intensive and take time. This is
            # important to generate secure password hashes. In tests however, secure hashes
            # are not important, waste resources and increase test times. The following
            # reduces the work factor to the lowest possible values.
            Symfony\Component\Security\Core\User\PasswordAuthenticatedUserInterface:
                algorithm: auto
                cost: 4 # Lowest possible value for bcrypt
                time_cost: 3 # Lowest possible value for argon
                memory_cost: 10 # Lowest possible value for argon

Entity\User - На всякий случай


namespace App\Entity;

use App\Repository\UserRepository;
use Doctrine\ORM\Mapping as ORM;
use Symfony\Component\Security\Core\User\UserInterface;

#[ORM\Entity(repositoryClass: UserRepository::class)]
class User implements UserInterface
{
    #[ORM\Id]
    #[ORM\GeneratedValue]
    #[ORM\Column]
    private ?int $id = null;

    #[ORM\Column(length: 180, unique: true)]
    private ?string $userID = null;

    #[ORM\Column]
    private array $roles = [];

    #[ORM\Column(length: 255)]
    private ?string $userName = null;

    #[ORM\Column(length: 1000, nullable: true)]
    private ?string $token = null;

    #[ORM\Column(length: 255, nullable: true)]
    private ?string $tokenRefresh = null;

    #[ORM\Column(nullable: true)]
    private ?int $expiry = null;

    #[ORM\Column(length: 1000, nullable: true)]
    private ?string $scopes = null;

    public function getId(): ?int
    {
        return $this->id;
    }

    public function setId(?int $id): self
    {
        $this->id = $id;

        return $this;
    }

    public function getUserID(): ?string
    {
        return $this->userID;
    }

    public function setUserID(string $userID): self
    {
        $this->userID = $userID;

        return $this;
    }

    /**
     * A visual identifier that represents this user.
     *
     * @see UserInterface
     */
    public function getUserIdentifier(): string
    {
        return (string) $this->userID;
    }

    /**
     * @deprecated since Symfony 5.3, use getUserIdentifier instead
     */
    public function getUsername(): string
    {
        return (string) $this->userID;
    }

    /**
     * @see UserInterface
     */
    public function getRoles(): array
    {
        $roles = $this->roles;
        // guarantee every user at least has ROLE_USER
        $roles[] = 'ROLE_USER';

        return array_unique($roles);
    }

    public function setRoles(array $roles): self
    {
        $this->roles = $roles;

        return $this;
    }

    /**
     * This method can be removed in Symfony 6.0 - is not needed for apps that do not check user passwords.
     *
     * @see PasswordAuthenticatedUserInterface
     */
    public function getPassword(): ?string
    {
        return null;
    }

    /**
     * This method can be removed in Symfony 6.0 - is not needed for apps that do not check user passwords.
     *
     * @see UserInterface
     */
    public function getSalt(): ?string
    {
        return null;
    }

    /**
     * @see UserInterface
     */
    public function eraseCredentials()
    {
        // If you store any temporary, sensitive data on the user, clear it here
        // $this->plainPassword = null;
    }

    public function setUserName(string $userName): self
    {
        $this->userName = $userName;

        return $this;
    }

    public function getToken(): ?string
    {
        return $this->token;
    }

    public function setToken(?string $token): self
    {
        $this->token = $token;

        return $this;
    }

    public function getTokenRefresh(): ?string
    {
        return $this->tokenRefresh;
    }

    public function setTokenRefresh(?string $tokenRefresh): self
    {
        $this->tokenRefresh = $tokenRefresh;

        return $this;
    }

    public function getExpiry(): ?int
    {
        return $this->expiry;
    }

    public function setExpiry(?int $expiry): self
    {
        $this->expiry = $expiry;

        return $this;
    }

    public function getScopes(): ?string
    {
        return $this->scopes;
    }

    public function setScopes(?string $scopes): self
    {
        $this->scopes = $scopes;

        return $this;
    }
}

У меня был некоторый опыт работы с брандмауэрами Symfony еще в v2, но я использовал форму входа, которую обрабатывает мой сайт для своего сайта, но теперь я использую 6.1, все по-другому, а также использую совершенно другой тип провайдера, я не могу вызвать аутентификатор по умолчанию, так как я не использую форму пароля электронной почты.

мне нужно создать собственный аутентификатор, чтобы справиться с этим? если да то как. я не очень умный код, поэтому объяснение непрофессионала будет оценено.

Стоит ли изучать PHP в 2023-2024 годах?
Стоит ли изучать PHP в 2023-2024 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Symfony Station Communiqué - 7 июля 2023 г
Symfony Station Communiqué - 7 июля 2023 г
Это коммюнике первоначально появилось на Symfony Station .
Оживление вашего приложения Laravel: Понимание режима обслуживания
Оживление вашего приложения Laravel: Понимание режима обслуживания
Здравствуйте, разработчики! В сегодняшней статье мы рассмотрим важный аспект управления приложениями, который часто упускается из виду в суете...
Установка и настройка Nginx и PHP на Ubuntu-сервере
Установка и настройка Nginx и PHP на Ubuntu-сервере
В этот раз я сделаю руководство по установке и настройке nginx и php на Ubuntu OS.
Коллекции в Laravel более простым способом
Коллекции в Laravel более простым способом
Привет, читатели, сегодня мы узнаем о коллекциях. В Laravel коллекции - это способ манипулировать массивами и играть с массивами данных. Благодаря...
Как установить PHP на Mac
Как установить PHP на Mac
PHP - это популярный язык программирования, который используется для разработки веб-приложений. Если вы используете Mac и хотите разрабатывать...
1
0
62
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

У меня было откровение во время работы, поскольку срок действия токена истек.

Это выглядит,

поставщик Oauth2 проверяет срок действия токена скрыто или за кулисами и передает статус HTTP (500) по умолчанию, когда срок действия токена истекает и не обновляется.

брандмауэр symfony 6 полностью обойден и обрабатывается в коде в другом месте.

любая страница, которую я использую session_start(), становится «защищенной». если срок действия данных сеанса истек, поставщик Oauth выдает неавторизованное исключение.

это решает мои проблемы с аутентификацией, так как каждый раз, когда мне нужно, чтобы страница считалась только членами, мне нужно только начать сеанс, если сеанс недействителен, перенаправить пользователя для входа в систему

пожалуйста, поправьте меня, если я ошибаюсь.

Другие вопросы по теме