🎹 🤣 💆 एक बार फिर सिम्फनी 2 उपयोगकर्ता-संसाधन-विशेषाधिकार दृष्टिकोण में सुरक्षा के बारे में 🕹️ 📆 🍭

इतना समय पहले Symfony2 नहीं लिया था। इस तथ्य के बावजूद कि इससे पहले मुझे Zend1 के साथ संचार करने में काफी समृद्ध अनुभव था, प्रवेश की बाधा मेरे लिए अधिक थी। पर्याप्त पढ़ने के बाद, मेरे लिए कुछ करना शुरू कर दिया। एक्सेस अधिकारों के परिसीमन के मुद्दे के कारण सबसे बड़ी कठिनाइयाँ थीं। लगभग मेरी सभी खोजों ने मुझे FOSUserBundle या सूचना के स्निपेट के लिए नेतृत्व किया कि कैसे फ्रेमवर्क के मानक वितरण से सुरक्षा मॉड्यूल की कार्यक्षमता का विस्तार किया जाए। मुझे भारी FOSUserBundle में अपने लिए कोई लाभ नहीं मिला। इसलिए, यह लेख इस बारे में होगा कि मैंने अपनी आवश्यकताओं को पूरा करने के लिए Symfony2 Security को कैसे समाप्त किया। लक्ष्य निम्नलिखित था: उपयोगकर्ता की भूमिका के आधार पर ऑब्जेक्ट स्तर पर सिम्फनी 2 + सुरक्षा + पहुंच अधिकारों का विभेदीकरण। यह लेख भूमिकाओं और संचयी विशेषाधिकारों की विरासत के बारे में नहीं होगा, जिसके बारे में जानकारी आप आसानी से पा सकते हैं। मेरी परियोजना में अधिकार योजना: सब कुछ जो अनुमति नहीं है निषिद्ध है। एक उपयोगकर्ता की एक भूमिका सख्त है। विभिन्न भूमिकाओं के साथ विभिन्न संसाधनों तक एक भूमिका का उपयोग होता है। विभिन्न भूमिकाओं में विभिन्न संसाधनों या विशेषाधिकारों के समान सेटों तक पहुंच हो सकती है। मैं कोड को यथासंभव अमूर्त बनाने की कोशिश नहीं करूंगा, लेकिन मैं सिर्फ सर्विसिंग उपकरणों के लिए ऑर्डर-ऑर्डर की कार्यक्षमता से संबंधित अपनी परियोजना से टुकड़ों का उपयोग करूंगा।

तो बात है। हमारे पास एक सही ढंग से कॉन्फ़िगर की गई परियोजना है , एक बैकएंडवर्कऑर्डरबंडल इसमें बनाया गया था, सभी राउटर और फायरवॉल कॉन्फ़िगर किए गए हैं। यानी पहुँच अधिकार को छोड़कर सब कुछ है। जिसमें प्रमाणीकरण भी शामिल है। डेटाबेस डिजाइन के लिए, MySQL कार्यक्षेत्र उपकरण का उपयोग किया गया था। बढ़िया सामान। लिनक्स के लिए एक संस्करण है। तालिका संरचना इस प्रकार दिखती है:

-- ----------------------------------------------------- -- Table `backend_role` -- ----------------------------------------------------- CREATE TABLE IF NOT EXISTS `backend_role` ( `role_id` INT NOT NULL AUTO_INCREMENT, `name` VARCHAR(45) NULL, `description` VARCHAR(45) NULL, PRIMARY KEY (`role_id`)) ENGINE = InnoDB; -- ----------------------------------------------------- -- Table `backend_user` -- ----------------------------------------------------- CREATE TABLE IF NOT EXISTS `backend_user` ( `user_id` INT NOT NULL AUTO_INCREMENT, `role_id` INT NOT NULL, `firstname` VARCHAR(45) NULL, `lastname` VARCHAR(45) NULL, `printname` VARCHAR(45) NULL, `username` VARCHAR(45) NULL, `salt` VARCHAR(255) NULL, `password` VARCHAR(255) NULL, `created` DATETIME NULL, `updated` DATETIME NULL, `last_login` DATETIME NULL, `is_active` TINYINT(1) NULL, PRIMARY KEY (`user_id`), INDEX `fk_backend_user_backend_role1_idx` (`role_id` ASC), CONSTRAINT `fk_backend_user_backend_role1` FOREIGN KEY (`role_id`) REFERENCES `parts`.`backend_role` (`role_id`) ON DELETE NO ACTION ON UPDATE NO ACTION) ENGINE = InnoDB; -- ----------------------------------------------------- -- Table `backend_rule` -- ----------------------------------------------------- CREATE TABLE IF NOT EXISTS `backend_rule` ( `rule_id` INT NOT NULL AUTO_INCREMENT, `role_id` INT NOT NULL, `resource_id` VARCHAR(255) NULL, `privileges` TEXT NULL, PRIMARY KEY (`rule_id`), INDEX `fk_backend_rule_backend_role1_idx` (`role_id` ASC), CONSTRAINT `fk_backend_rule_backend_role1` FOREIGN KEY (`role_id`) REFERENCES `parts`.`backend_role` (`role_id`) ON DELETE NO ACTION ON UPDATE NO ACTION) ENGINE = InnoDB;

विशेषाधिकारों के लिए जाँच करने के दो तरीके हैं:
1. टहनी से is_granted('[ ]', [])
2. नियंत्रक $this->get('security.context')->isGranted('[ ]', []) से $this->get('security.context')->isGranted('[ ]', [])
दूसरा तर्क वैकल्पिक है, लेकिन मेरी परियोजना के उद्देश्यों के लिए आवश्यक है (यह मतदाता कोड में थोड़ा कम हो जाएगा)। मैं आपको याद दिलाता हूं कि HTML पृष्ठ से किसी ऑब्जेक्ट को छोड़कर नियंत्रक में डेटा सत्यापन को रद्द नहीं करता है।

वोटर कोड। मैं यह उल्लेख करना भूल गया कि परियोजना में एक और बैकएंडकोरबंडल बंडल है जो पूरे बैकेंड के लिए सबसे आम कार्यों को शामिल करता है। मतदाता के बारे में यहाँ और पढ़ें।

 <?php // /src/Backend/CoreBundle/Security/Authorization/Voter/PrivilegeVoter.php namespace Backend\CoreBundle\Security\Authorization\Voter; use Symfony\Component\DependencyInjection\ContainerInterface; use Symfony\Component\Security\Core\Authorization\Voter\VoterInterface; use Symfony\Component\Security\Core\Authentication\Token\TokenInterface; class PrivilegeVoter implements VoterInterface { public function supportsAttribute($attribute) { return true; } public function supportsClass($class) { return in_array($class, array( 'Backend\WorkorderBundle\Entity\Workorder' )); } public function vote(TokenInterface $token, $object, array $attributes) { //  voter    . //           . if ( !($this->supportsClass(get_class($object))) ) { return VoterInterface::ACCESS_ABSTAIN; } foreach ($attributes as $attribute) { //      if ( !$this->supportsAttribute($attribute) ) { return VoterInterface::ACCESS_ABSTAIN; } } //   $user = $token->getUser(); $privileges = $user->getPrivileges(); $resourceId = $object->getResourceId(); $acess_granted = false; foreach ($attributes as $attribute) { if (isset($privileges[$resourceId])) { $resource_privileges = $privileges[$resourceId]; if (in_array($attribute, $resource_privileges)) { $acess_granted = true; } else { $acess_granted = false; break; } } } if ($acess_granted) return VoterInterface::ACCESS_GRANTED; return VoterInterface::ACCESS_DENIED; } }

उपयोगकर्ता के लिए getPrivileges फ़ंक्शन बैकएंड_यूज़र तालिका से जुड़े सिद्धांत ऑब्जेक्ट में घोषित किया गया है

 <?php ///src/Backend/CoreBundle/Entity/BackendUser.php namespace Backend\CoreBundle\Entity; use Doctrine\ORM\Mapping as ORM; use Symfony\Component\Security\Core\User\AdvancedUserInterface; /** * BackendUser * * @ORM\Table(name="backend_user") * @ORM\Entity */ class BackendUser implements AdvancedUserInterface, \Serializable { .. public function getPrivileges() { //  : backend_user->backend_role->backend_rule // $rule->getPrivileges()    privileges  backend_rule //         resource_id, //         (  ) $rules = $this->getRole()->getRules(); $result = array(); foreach ($rules as $rule){ $result[$rule->getResourceId()] = explode(",", $rule->getPrivileges()); } return $result; } .. }

मतदाता को /app/config/security.yml में पंजीकृत करें

 services: security.access.privilege_voter: class: Backend\CoreBundle\Security\Authorization\Voter\PrivilegeVoter public: false tags: - { name: security.voter }

आपने शायद देखा कि $ object-> getResourceId () को वोट फ़ंक्शन में कहा जाता है। विधि इस प्रकार दिखती है

 <?php // /src/Backend/WorkorderBundle/Entity/Workorder.php namespace Backend\WorkorderBundle\Entity; use Doctrine\Common\Collections\ArrayCollection; use Doctrine\ORM\Mapping as ORM; /** * Workorder * * @ORM\Table(name="workorder") * @ORM\Entity */ class Workorder { .. public function getResourceId() { //           //   Backend\WorkorderBundle\Entity\Workorder return \Doctrine\Common\Util\ClassUtils::getClass($this); } .. }

यह बात है! आलोचना का, हमेशा की तरह स्वागत किया जाता है, अगर कोई इस दृष्टिकोण की कमियों और स्केलिंग के साथ संभावित समस्याओं को इंगित कर सकता है - मुझे बहुत खुशी होगी।

एक बार फिर सिम्फनी 2 उपयोगकर्ता-संसाधन-विशेषाधिकार दृष्टिकोण में सुरक्षा के बारे में

More articles: