Symfony：对某些类型的用户取消后端模块的安全。如何？

Question

开门见山——我有一个 Symfony 1.3 / Propel 1.4 项目。我有一个通过其自己的 security.yml 中的 is_secure: true 来保护的模块。我希望这个模块不仅可供超级管理员访问——我正在使用 sfGuardPlugin symfony 插件。该模块位于后端应用程序中。

我想让具有任意 type 属性值的用户可以访问该模块。该网站的普通用户在那里有 NULL ，其余所有都有某种值。当我将安全指令更改为 is_secure: false （只是为了测试它）时，我会转到 /admin 并使用具有某种 类型的用户登录，我被正确重定向到 /admin/purchases （唯一不安全的后端模块），但出现安全错误消息 - “您没有访问权限显示此页面”或类似的内容。

由于我不太熟悉 sfGuardPlugin （以及 Symfony 的总体安全性），因此我需要一些关于如何执行此操作的帮助。

Answer 1

请参阅文档了解行动安全。

使用 sfGuardPlugin 中的组权限自动为您选择的用户提供广告凭据（请参阅额外文档 sfGuardPlugin 以了解插件如何将用户组和权限转换为凭据）

Answer 2

如果您不想中继 security.yml 凭据，您还可以在操作中处理此问题：

public function executeIndex($request){
  if(!$this->getUser()->hasGroup('desired-group')){
    $this->getUser->setFlash('message', 'You do not have access to show this page');
    return $this->redirect('admin/purchases');
  }

  // more logic here
}

如果这适用于模块的更多操作，则您可以在 DRY 的情况下使用 preExecute() 方法（不要重复自己） ……）

Answer 3

只要您拥有每个用户的正确凭据。在您的后端模块中
security.yml 文件中，您可以执行以下操作：

all:
  credentials: [[admin, developer]]

或者您可以执行单独的操作：

requestView:
  credentials: [[supporter, admin, developer]]