堆栈内存溢出
  繁体   English   中英

如何使用symfony2安全性实现自定义编码

[英]How to implement custom encoding with symfony2 security

 原文  2013-12-05 00:37:14       security/ symfony/ authentication/ doctrine-orm/ blowfish

问题描述

所以我遇到的问题如下:目前,我所拥有的symfony2项目有一个用户实体,它有自己的方法来加密数据库中的密码: 

private function blowfishCrypt($password,$cost)
{
    $chars='./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
    $salt=sprintf('$2a$%02d$',$cost);
    //Create a 22 character salt -edit- 2013.01.15 - replaced rand with mt_rand
    mt_srand();
    for($i=0;$i<22;$i++) $salt.=$chars[mt_rand(0,63)];
    return crypt($password,$salt);
}

public function encryptPassword($string)
{
    $this->setEncryptedPassword($this->blowfishCrypt($string, 10));
}

登录方法基本上只检查输入的密码,如下所示: 

if (crypt($userPost['password'], $user->getEncryptedPassword()) != $user->getEncryptedPassword())

然后它设置会话变量, authTokenuserId

但由于这一点,整个应用程序必须进行调用以确保在会话中设置userId和authToken - 因此我们希望经过身份验证的用户只能访问的任何操作我们必须执行以下检查: 

if (!authToken) { return 401 } //not exactly, but you get the idea.

我清理所有这些检查的临时解决方案是创建一个接口,我的所有控制器都可以实现在控制器操作之前运行一些代码,并且如果用户没有登录则可以返回重定向。我想做的是重写所有这些,以便我可以利用symfony2的安全层。 我怎么能做到这一点?

编辑:我有一个单独的门户网站,从相同的代码库运行,为用户使用完全不同的表(如管理门户)。 假设以上是可能的,symfony2的安全功能是否可以实现?

编辑2:试图将这一切全部集成,所以我认为第一步是在我的用户实体中实现UserInterface。 我已经做到了,这是我的security.yml: 

security:
  firewalls:
    secured_area:
      pattern: ^/
      anonymous: ~
      form_login:
        login_path: login
        check_path: login_check
  access_control:
    - { path: ^/., roles: IS_AUTHENTICATED_FULLY }
    - { path: ^/, roles: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/login.*, roles: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/login_check.*, roles: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/signup.*, roles: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/_wdt, role: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/_profiler, role: IS_AUTHENTICATED_ANONYMOUSLY }
  providers:
    main:
      entity:
        class: BundleNamespace\Entity\User
        property: email
  encoders:
    Symfony\Component\Security\Core\User\User: plaintext

我得到一个无限循环。 基本上我需要用户能够访问/,/登录,/注册等,而无需登录。几乎每个其他页面都需要经过身份验证的用户。 我还没有得到自定义密码编码器,我认为这将是我的最后一步。 我想通过这个重定向循环问题。 有任何想法吗?

2 个解决方案

解决方案1
 2  2013-12-12 14:31:54

你必须使用一个自定义编码器,而不是一个自制的东西放在用户权利之上......

请查看: https//stackoverflow.com/a/8175657/2858398

然后,您可以使用本机symfony连接方法与自定义密码编码器。

解决方案2
 0 已采纳  2013-12-19 22:23:43

不想过多细节,因为这是一个非常艰苦的转换过程。 我唯一的建议是 - 从头开始​​做这种事情,让自己头疼。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何独立使用Symfony2 Security? Symfony2安全问题 Symfony2中的安全性 MySQL安全性和symfony2 Symfony2的安全性和角色 安全和路线-Symfony2 symfony2安全角色 Symfony2登录和安全 Symfony2:设置security.yml并使用自定义密码加密 用于DemoController的symfony2安全防火墙
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM