返回首页 Symfony2 Cookbook
关于

Assetic

如何使用 Assetic 进行资产管理
使用 PHP 库联合,编译和最小化 Web 资产
如何裁剪 CSS/JS 文件(使用 UglifyJS 和 UglifyCSS)
如何使用 YUI Compressor 裁剪 Javascripts 和 Stylesheets
如何使用 Assetic 和 Twig Functions 进行图像优化
如何将 Assetic Filter 应用到具体的文件扩展名上

Bundles

如何安装第三方 Bundles
可复用 Bundles 的最佳实践
如何使用 Bundle 的继承来重写部分 Bundle
如何重写部分 Bundle
如何移除 AcmeDemoBundle
如何在 Bundle 内部加载服务配置
如何为一个 Bundle 创建友好的配置
如何简化多个 Bundle 的配置

缓存

如何使用 Varnish 加速我的Web站点
缓存包含 CSRF 保护表单的页面

Composer

安装 Composer

配置

如何掌握并创建新的环境
如何重写 Symfony 默认的目录结构
在独立注入类中使用参数
理解前端控制器、内核及环境如何协同工作
如何在服务容器内设置外部参数
如何在数据库中使用 PdoSessionHandler 存储 Sessions
如何使用 Apache Router
配置 Web Server
如何组织配置文件

控制台

如何创建一个控制台命令
如何使用控制台
如何从 Controller 调用一个命令
如何在控制台生成 URL 和 发送邮件
如何在控制台命令中启用日志
如何把命令定义为服务

Controller

如何定制错误页
如何把 Controller 定义为服务
如何上传文件

调试

如何将你的开发环境优化为调试环境

部署

如何部署一个 Symfony 应用
部署在 Microsoft Azure 云
部署在 Heroku 云
部署在 Platform.sh

Doctrine

如何使用 Doctrine 上传文件
如何使用 Doctrine 扩展: Timestampable, Sluggable, Translatable, etc
如何注册事件监听器和订阅
如何使用 Doctrine DBAL
如何从已存在的数据库中生成实体
如何使用多个实体管理器和连接
如何注册自定义 DQL 函数
如何定义虚拟类和接口之间的关系
如何提供为多个Doctrine的实现提供模型类
如何实现一个简单的注册表单
控制台命令
如何在数据库中使用 PdoSessionHandler 存储 Sessions

电子邮件

如何发送一封电子邮件
如何使用 Gmail 发送电子邮件
如何使用云服务发送电子邮件
如何在开发时使用电子邮件
如何缓存电子邮件
如何在功能测试中测试电子邮件是否发送

事件分发器

如何在过滤器的前后设置事件分发器
如何以非继承方式扩展一个类
如何以非继承方式自定义方法
如何创建事件监听器

表达式

如何在安全,路由,服务和验证中使用表达式

表单

如何自定义表单渲染
如何使用数据转换
如何利用表单事件动态修改表单
如何嵌入集合表单
如何创建一个自定义表单域类型
如何创建一个表单类型扩展
如何用 "inherit-data" 减少代码冗余
如何对表单单元测试
如何为表单类配置空数据
如何使用 submit() 函数处理表单提交
如何创建一个自定义验证限制
如何使用 Doctrine 处理文件上传

前端

使用 Bower 安装 Symfony

日志

如何使用 Monolog 记录日志
如何对电子邮件错误配置 Monolog
如何对显示控制台信息配置 Monolog
如何配置 Monolog 从日志中排除 404 错误
如何记录消息到不同的文件

分析器

如何创建一个自定义数据收集器
如何使用匹配器有条件地启用分析器
切换分析器存储
如何编程访问分析器数据

请求

如何配置 Symfony 使其工作在负载均衡和反转代理
如何注册一个新的请求格式和 Mime 类型
在用户的 Session 中使用局部 "Sticky"

路由

如何强制路由总是使用 HTTPS 或者 HTTP
如何在路由参数中允许"/"字符
如何不用自定义控制器配置重定向
如何在路由中使用除了 GET 和 POST 的 HTTP 方法
如何在路由中使用服务容器参数
如何创建一个自定义路由加载器
使用结尾反斜线重定向 URL
如何从路由向控制器传输额外的信息

安全

如何建立一个传统的登录表单
如何从数据库(实体提供者)读取安全用户
如何添加 "记住我" 登录功能
如何冒充一个用户
如何使用 Voter 检查用户权限
如何使用访问控制列表(ACLs)
如何使用高级的访问控制列表
如何对不同的 URL 强制使用 HTTPS 或者 HTTP
如何重定向防火墙至一个特殊的请求
如何重定向防火墙至一个特殊的主机
如何自定义登录表单
如何在应用中保护服务和方法
如何创建自定义用户提供者
如何创建自定义表单密码验证器
如何使用 API 验证用户
如何创建自定义认证提供者
使用预认证安全防火墙
如何改变默认的目标路径行为
在登录表单中使用 CSRF 保护
如何动态选择密码加密算法
安全访问控制是如何工作的
如何使用多用户提供者

序列化

如何使用序列化

服务容器

如何创建事件监听器
如何使用作用域
如何在 Bundle 中使用 Compiler Passes

会话

会话代理实例
在用户的 Session 中使用局部 "Sticky"
配置 Session 文件的保存目录
在遗留的应用上使用 Symfony Session
限制 Session 元数据的写入
如何使用 PdoSessionHandler 在数据库中存储 Session
避免匿名用户开始 Session 会话

PSR-7

The PSR-7 Bridge

Symfony 版本

Symfony2 与 Symfony1 的区别

模板

如何注入变量到所有的模板(如全局变量)
如何使用和注册命名空间路径
如何在模板中使用 PHP 而不是 Twig
如何写一个自定义的 Twig 扩展
如何不用一个自定义的控制器渲染一个模板

测试

如何在功能测试中模拟 HTTP 认证
如何在功能测试中用 Token 模拟认证
如何测试多个客户端的交互
如何在功能测试中使用分析器
如何测试与数据库交互的代码
如何测试 Doctrine 仓库
如何在运行测试之前自定义引导过程
如何在功能测试中测试一封电子邮件被发送
如何对表单单元测试

升级

升级一个补丁版本
升级一个副版本
升级一个主版本
"XXX is deprecated" E-USER-DEPRECATED 的警告是什么意思?

验证

如何创建一个自定义的验证限制
如何处理不同的错误级别

Web 服务器

如何使用内建的 PHP Web 服务器
配置一个 Web 服务器

Web 服务

如何在一个 Symfony 控制器中创建一个 SOAP 的 Web 服务

工作流

如何在 Git 中创建并保存一个 Symfony 项目
如何在 SubVersion 中创建并保存一个 Symfony 项目
via 由「UDN技术社区 Wiki」提供

如何使用高级的访问控制列表

本章的目的是给出一个更深入的 ACL 系统的观点,并解释其背后的一些设计决策。

设计概念

Symfony 的对象实例的安全功能是基于一个访问控制列表的概念。每一个域对象实例都有自己的 ACL。ACL 实例有一个详细的列表,访问控制项(ACEs),用于访问决策。Symfony 的 ACL 系统集中在两个主要目标:

  • 为您的域对象提供一种方式来有效地检索大量的 ACLs / ACEs,并修改它们;

  • 提供一种方式来容易地决定一个人是否被允许在域对象上执行操作。

正如第一点中所暗示的,Symfony 的 ACL 系统的主要功能之一是以高性能的方式检索 ACLs / ACEs。这是非常重要的,因为每个 ACL 可能有一些 ACEs,并以树形方式继承另一个 ACL。因此,ORM 是没有作用的,代替使用 Doctrine 的 DBAL 直接连接的默认实现。

对象身份

ACL 系统是完全脱离您的域对象。他们甚至不需要存储在同一个数据库中,或在同一台服务器上。为了实现这种分离,ACL 系统对象通过对象标识对象表示。每次你想为一个域对象检索 ACL,ACL 系统将首先从你的域对象创建一个对象的身份,然后通过这个对象身份 ACL 提供者进行进一步处理。

安全身份

这是模拟对象身份标识,但在您的应用程序中代表一个用户或角色。每个角色或用户有自己的安全标识。

数据库表结构

默认实现使用五个数据库表如下所示。这些表按行数递增的顺序排在一个典型的应用程序中:

  • acl_security_identities:此表记录所有持有 ACEs 的安全身份。默认实现附带两个安全身份:RoleSecurityIdentityUserSecurityIdentity
  • acl_classes:这个表类名映射到一个唯一的 ID,可以引用其他表。  
  • acl_object_identities:该表中每一行代表一个单独的域对象实例。
  • acl_object_identity_ancestors:这个表允许所有的祖先 ACL 在一个非常有效的方法下决定。
  • acl_entries:这个表包含所有 ACEs。这通常是行数最多的表。它可以包含数千万没有显著影响性能的 ACEs。

访问控制条目的范围

访问控制条目在他们的应用中可以有不同的适用范围。在 Symfony 中,基本上有两个不同的范围:

  • 类范围:这些条目适用于所有从属于相同类的对象。

  • 对象范围:这个使用范围只用在前一章,它只适用于一个特定的对象。

有时,你会发现只需要为对象的一个特定字段申请一个 ACE。假设您想要一个只对管理员而不是您的客户服务可见的 ID。为了解决这个普遍的问题,增加了两个 sub-scopes:

  • Class-Field-Scope:这些条目适用于所有从属于相同类的对象,但只有特定字段的对象。

  • Object-Field-Scope:这些条目适用于一个特定的对象,并且只适用于那个对象的特定字段。  

预先授权决策

预先授权决策,即做出决定之前任何安全方法被调用(或安全措施),已证实 AccessDecisionManager 服务是被使用的。AccessDecisionManager 也被用于实现基于角色的授权决策。就像角色,ACL 系统添加了一些新的属性,可以用来检查不同的权限。

内置权限映射

属性 含义 整数位掩码
VIEW 是否有人可以查看域对象。 VIEW, EDIT, OPERATOR, MASTER, or OWNER
EDIT 一个人是否可以更改域对象。 EDIT, OPERATOR, MASTER, or OWNER
CREATE 一个人是否被允许创建域对象。 CREATE, OPERATOR, MASTER, or OWNER
DELETE 一个人是否被允许删除域对象。 DELETE, OPERATOR, MASTER, or OWNER
UNDELETE 删除的人是否可以恢复以前删除的域对象。 UNDELETE, OPERATOR, MASTER, or OWNER
OPERATOR 是否有人允许执行所有上述操作。 OPERATOR, MASTER, or OWNER
MASTER 是否有人允许执行所有上述操作,并且允许任何上述权限授予其他人。 MASTER, or OWNER
OWNER 是否有人拥有域对象。OWNER 可以执行上述任何操作并授予 MASTER 和 OWNER 权限。 OWNER

权限属性 vs. 权限位掩码   

AccessDecisionManager 属性的使用就像角色一样。通常,这些属性事实上代表一个聚合的整数位掩码。使用整数位掩码另一方面,ACL 系统内部在数据库中有效存储用户的权限,并使用极快的位掩码操作执行访问检查。

可扩展性

上述许可映射绝不是静态的,并且理论上可以完全被取代。然而,它应该囊括大多数您遇到的问题,以及与其他包的互操作性。鼓励您坚持它们原本被设想的意义。

后授权决策

后授权决策在一个安全的方法被调用后做出,并且通常涉及被这样的方法返回的域对象。在调用完成后,提供者也允许修改,或在返回之前过滤域对象之前返回。

由于当前的 PHP 语言的局限性,没有 post-authorization 功能构建为核心的安全组件。然而,有一个实验 JMSSecurityExtraBundle 增加这些功能。如果您想了解更多关于这是如何完成的的信息,请看它的相关文档。 

达到授权决策的过程

ACL 类提供了两个方法来确定是否一个安全标识需要位掩码,isGrantedisFieldGranted。当 ACL 通过这些方法之一收到授权请求,它代表这个请求 PermissionGrantingStrategy 的实现。这允许您替换访问决策的方式而不修改 ACL 类本身。

PermissionGrantingStrategy 首先检查你所有的 object-scope ACEs。如果没有适用的,class-scope ACEs 将被检查。如果没有适用的,那么这个过程会重复地对父 ACL 的 ACEs 进行。如果没有父亲 ACL 存在,将会抛出一个异常。

上一篇: 如何使用访问控制... 下一篇: 如何对不同的 URL...