Symfony @ParamConverter 通过用户关系获取实体

Question

我有几条以/experiment/{id}/...开头的路线，我厌倦了重写相同的逻辑来检索已登录用户的实验。 我想我可以重构我的代码，但我猜@ParamConverter会是一个更好的解决方案。

我将如何重写以下代码以利用 Symfony 的@ParamConverter功能？

/**
 * Displays details about an Experiment entity, including stats.
 *
 * @Route("/experiment/{id}/report", requirements={"id" = "\d+"}, name="experiment_report")
 * @Method("GET")
 * @Template()
 * @Security("has_role('ROLE_USER')")
 */
public function reportAction(Request $request, $id)
{
    $em = $this->getDoctrine()->getManager();

    $experiment = $em->getRepository('AppBundle:Experiment')
        ->findOneBy(array(
            'id'   => $id,
            'user' => $this->getUser(),
        ));

    if (!$experiment) {
        throw $this->createNotFoundException('Unable to find Experiment entity.');
    }

    // ...
}

实验实体具有如下复合主键：

class Experiment
{
    /**
     * @var integer
     *
     * @ORM\Column(name="id", type="integer")
     * @ORM\Id
     */
    protected $id;

    /**
     * @var integer
     *
     * @ORM\Column(name="user_id", type="integer")
     * @ORM\Id
     */
    protected $userId;

    /**
     * @ORM\ManyToOne(targetEntity="UserBundle\Entity\User", inversedBy="experiments", cascade={"persist"})
     * @ORM\JoinColumn(name="user_id", referencedColumnName="id")
     */
    protected $user;

    // ..

}

我想使用他们的用户id和路由中的实验id检索登录用户的实验。

Answer 1

您可以通过使用自定义ParamConverter来实现。 例如这样的：

namespace AppBundle\Request\ParamConverter;

use Sensio\Bundle\FrameworkExtraBundle\Configuration\ParamConverter;
use Sensio\Bundle\FrameworkExtraBundle\Request\ParamConverter\ParamConverterInterface;
use Doctrine\ORM\EntityManager;
use Symfony\Component\Security\Core\Authentication\Token\Storage\TokenStorage;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpKernel\Exception\NotFoundHttpException;
use AppBundle\Entity\Experiment;

class ExperimentConverter implements ParamConverterInterface
{
    protected $em;
    protected $user;

    public function __construct(EntityManager $em, TokenStorage $tokenStorage)
    {
        $this->em = $em;
        $this->user = $tokenStorage->getToken()->getUser();
    }

    public function apply(Request $request, ParamConverter $configuration)
    {
        $object = $this->em->getRepository(Experiment::class)->findOneBy([
            'id'   => $request->attributes->get('id'),
            'user' => $this->user
        ]);

        if (null === $object) {
            throw new NotFoundHttpException(
                sprintf('%s object not found.', $configuration->getClass())
            );
        }

        $request->attributes->set($configuration->getName(), $object);

        return true;
    }

    public function supports(ParamConverter $configuration)
    {
        return Experiment::class === $configuration->getClass();
    }
}

您需要注册您的转换器服务并为其添加标签：

# app/config/config.yml
services:
    experiment_converter:
        class: AppBundle\Request\ParamConverter\ExperimentConverter
        arguments:
            - "@doctrine.orm.default_entity_manager"
            - "@security.token_storage"
        tags:
            - { name: request.param_converter, priority: 1, converter: experiment_converter }

Answer 2

不幸的是，您不能将当前登录的用户 id 注入参数转换器，除非您实际上将其作为参数传递到 url。

您可以创建自己的转换器，但我认为您最好的选择是创建一个受保护的方法来获取实验。 它将像注释一样易于使用和维护：

protected function getCurrentUsersExperiment($experimentId)
{
    return $this->getDoctrine()->getManager()->getRepository('AppBundle:Experiment')
        ->findOneBy(array(
            'id' => $experimentId,
            'user' => $this->getUser()
        ));
}

public function reportAction(Request $request, $id)
{
    $experiment = $this->getCurrentUsersExperiment($id);

    ...
}

正如symfony 最佳实践中指出的那样：在适当的时候使用ParamFetcher ，但不要想太多。

Answer 3

虽然这个问题已经有了答案，但我想加两分钱：

看起来您可能正在解决一个错误的问题：您的目标是阻止访问其他用户的实验吗？ 如果是这样，只需加载 Experiment 对象，并使用Security Voter来确定当前用户是否可以访问该实验。

以您想要的方式使用参数转换器将抛出 404 错误而不是 401，最终结果相同：访问其他人的实验被拒绝。 除非您试图隐藏特定实验 ID 的存在，否则您还不如返回反映实际情况的 HTTP 响应 - 401，而不是 404。我认为隐藏某些 ID 的存在可能没有真正的好处。

如果不出意外，与自制参数转换器相比，在 Symfony 上下文中使用安全投票器拒绝访问听起来更适合目的和可重用的方法。

如果您不想使用安全投票者，您也可以使用表达式：如果您的 Experiment 的存储库类正在自动装配 Security 对象，您将能够从存储库类中获取当前用户。 如果该存储库类具有方法findCurrentUserExperiment(int $id) ，则用法将接近：

/**
 * @Route("/experiment/{experiment}/report", requirements={"experiment" = "\d+"}, name="experiment_report")
 * @Entity("experiment", expr="repository.findCurrentUserExperiment(experiment)")
 */
public function reportAction(Request $request, ?Experiment $experiment)

我仍然认为安全选民更适合，但至少使用表达式您不必管理狭窄用例的 ParamConverter。