在哪里实施动态组的安全过滤器

Question

首先我将大致描述一下上下文。我想要一个 symfony 应用程序，可以在其中创建各种区域。在每个区域中，您可以拥有不同类型的用户（或角色）。每个用户可以在不同区域担任多个角色。

为了说明这个问题，我们将定义：

• 2 个区域：“区域 1”和“区域 2”。
• 2 个用户：“用户 1”和“用户 2”。
• 2个角色：“卖家”和“买家”。
• “用户 1”是“区域 1”的卖家和买家
• “用户 2”是“区域 1”的卖家和买家，仅是“区域 2”的买家

我的问题是：哪个是最好的方法来检查受限制的页面，如果用户属于给定区域以及他是否在该区域具有所需的角色。

经过一番思考后，我做了以下操作：

1. 创建区域时，我还为每个角色创建一个 sfGuardGroup，并为该区域创建一个全局 sfGuardGroup，每个 sfGuardGroup 后缀均带有区域 id。因此，在我们的示例中，我们将拥有以下角色：
   • 区域 1 的区域 1、卖家 1、买家 1
   • 区域 2 的区域 2、卖家 2、买家 2
2. 用户将被添加到相关组中。所以在我们的例子中：
   • 用户 1 将属于组area-1、sellers-1 和buyers-1
   • 用户 2 将属于组area-1、sellers-1、buyers-1、area-2 和buyers-2
3. 2 URL，我知道我们在哪个区域，例如：
   • http://example.com/area-1/sellers-restricted-page< /a>（组area-1和sellers-1中的用户可以访问）
   • http://example.com/area-2/buyers-restricted-page< /a>（组area-2和buyers-2中的用户可以访问）
   • http://example.com/area-2/（群组中的用户可以访问区域-2)

那时，我有点陷入困境，因为我无法弄清楚实施权限检查的最佳位置：修改守卫过滤器？改变动作？

Answer 1

sfGuard 不支持您所需的实现，因此我建议创建一个新的附加安全过滤器。

您可以创建一个扩展sfFilter的全新过滤器，然后将其添加到filter.yml中现有安全过滤器之后。这意味着 sfGuard 提供的所有现有安全功能将继续存在。

然后，您可以通过查看当前模块名称和操作名称来确定正在请求的区域（根据您使用的 symfony 版本，访问这些区域的方式有所不同，请查看sfBasicSecurityFilter以获取线索）然后将其与当前用户使用 sfGuardSecurityUser 拥有的角色进行比较。