在本文中,您将学习如何使用 symfony 安全组件在 php 中设置用户身份验证。除了身份验证之外,我还将向您展示如何使用其基于角色的授权,您可以根据需要对其进行扩展。
Symfony 安全组件
Symfony 安全组件允许您更轻松地设置安全功能,如身份验证、基于角色的授权、csrf令牌等。实际上,它进一步分为四个子组件,您可以根据需要进行选择。
安全组件具有以下子组件:
symfony/安全核心
symfony/安全-http
symfony/security-csrf
symfony/security-acl
在本文中,我们将探索symfony/security-core组件提供的身份验证功能。
像往常一样,我们将从安装和配置说明开始,然后我们将探索一些真实世界的示例来演示关键概念。
安装和配置
在本节中,我们将安装 Symfony 安全组件。我假设你已经在你的系统上安装了 Composer——我们需要它来安装 Packagist 提供的安全组件。
因此,继续使用以下命令安装安全组件。
$composer require symfony/security
在我们的示例中,我们将从mysql 数据库加载用户,因此我们还需要一个数据库抽象层。让我们安装最流行的数据库抽象层之一:Doctrine DBAL。
$composer require doctrine/dbal
那应该已经创建了composer.json文件,它应该如下所示:
{ "require": { "symfony/security": "^4.1", "doctrine/dbal": "^2.7" } }
让我们将composer.json文件修改为如下所示。
{ "require": { "symfony/security": "^4.1", "doctrine/dbal": "^2.7" }, "autoload": { "psr-4": { "Sfauth\\": "src" }, "classmap": ["src"] } }
由于我们添加了一个新classmap条目,让我们继续通过运行以下命令来更新composer 自动加载器。
$composer dump -o
现在,您可以使用Sfauth命名空间来自动加载src目录下的类。
这就是安装部分,但你应该如何使用它呢?实际上,只需将 Composer 创建的autoload.php文件包含在您的应用程序中即可,如下面的代码片段所示。
<?php require_once './vendor/autoload.php';// 应用代码 ?>
一个真实的例子
首先,让我们看一下Symfony 安全组件提供的通常的身份验证流程。
首先是检索用户凭据并创建未经身份验证的令牌。
接下来,我们会将未经身份验证的令牌传递给身份验证管理器进行验证。
身份验证管理器可能包含不同的身份验证提供程序,其中之一将用于对当前用户请求进行身份验证。用户身份验证的逻辑在身份验证提供程序中定义。
身份验证提供者联系用户提供者以检索用户。用户提供者有责任从各自的后端加载用户。
用户提供程序尝试使用身份验证提供程序提供的凭据加载用户。UserInterface大多数情况下,用户提供者返回实现接口的用户对象。
如果找到用户,身份验证提供程序会返回一个未经身份验证的令牌,您可以存储此令牌以供后续请求使用。
在我们的示例中,我们将用户凭据与 Mysql 数据库进行匹配,因此我们需要创建数据库用户提供程序。我们还将创建处理身份验证逻辑的数据库身份验证提供程序。最后,我们将创建实现UserInterface接口的 User 类。
用户类
在本节中,我们将创建 User 类,它代表身份验证过程中的用户实体。
继续创建包含以下内容的src/User/User.php文件。
<?php namespace Sfauth\User; use Symfony\Component\Security\Core\User\UserInterface; class User implements UserInterface { private $username; private $password; private $roles; public function __construct(string $username, string $password, string $roles) { if (empty($username)) { throw new \InvalidArgumentException('No username provided.'); } $this->username = $username; $this->password = $password; $this->roles = $roles; } public function getUsername() { return $this->username; } public function getPassword() { return $this->password; } public function getRoles() { return explode(",", $this->roles); } public function getSalt() { return ''; } public function eraseCredentials() {} }
重要的是 User 类必须实现 Symfony Security UserInterface接口。除此之外,这里并没有什么特别之处。
数据库提供者类
从后端加载用户是用户提供者的责任。在本节中,我们将创建数据库用户提供程序,它从 MySQL 数据库加载用户。
让我们使用以下内容创建src/User/databaseUserProvider.php文件。
<?php namespace Sfauth\User; use Symfony\Component\Security\Core\User\UserProviderInterface; use Symfony\Component\Security\Core\User\UserInterface; use Symfony\Component\Security\Core\Exception\UsernameNotFoundException; use Symfony\Component\Security\Core\Exception\UnsupportedUserException; use Doctrine\DBAL\Connection; use Sfauth\User\User; class DatabaseUserProvider implements UserProviderInterface { private $connection; public function __construct(Connection $connection) { $this->connection = $connection; } public function loadUserByUsername($username) { return $this->getUser($username); } private function getUser($username) { $sql = "SELECT * FROM sf_users WHERE username = :name"; $stmt = $this->connection->prepare($sql); $stmt->bindValue("name", $username); $stmt->execute(); $row = $stmt->fetch(); if (!$row['username']) { $exception = new UsernameNotFoundException(sprintf('Username "%s" not found in the database.', $row['username'])); $exception->setUsername($username); throw $exception; } else { return new User($row['username'], $row['password'], $row['roles']); } } public function refreshUser(UserInterface $user) { if (!$user instanceof User) { throw new UnsupportedUserException(sprintf('Instances of "%s" are not supported.', get_class($user))); } return $this->getUser($user->getUsername()); } public function supportsClass($class) { return 'Sfauth\User\User' === $class; } }
用户提供者必须实现UserProviderInterface接口。我们正在使用教义 DBAL 来执行与数据库相关的操作。由于我们已经实现了UserProviderInterface接口,我们必须实现 loadUserByUsername、refreshUser和supportsClass方法。
该loadUserByUsername方法应该通过用户名加载用户,这在getUser方法中完成。如果找到用户,我们返回相应的Sfauth\User\User对象,该对象实现了UserInterface接口。
另一方面,该refreshUser方法通过从数据库中获取最新信息来刷新提供的User对象。
最后,该supportsClass方法检查DatabaseUserProvider提供者是否支持提供的用户类。
数据库身份验证提供程序类
最后,我们需要实现用户身份验证提供程序,它定义了身份验证逻辑——如何对用户进行身份验证。在我们的例子中,我们需要将用户凭据与 MySQL 数据库进行匹配,因此我们需要相应地定义身份验证逻辑。
继续创建具有以下内容的src/User/DatabaseAuthenticationProvider.php文件。
<?php namespace Sfauth\User; use Symfony\Component\Security\Core\Authentication\Provider\UserAuthenticationProvider; use Symfony\Component\Security\Core\User\UserProviderInterface; use Symfony\Component\Security\Core\User\UserCheckerInterface; use Symfony\Component\Security\Core\Exception\UsernameNotFoundException; use Symfony\Component\Security\Core\Exception\AuthenticationServiceException; use Symfony\Component\Security\Core\Authentication\Token\UsernamePasswordToken; use Symfony\Component\Security\Core\User\UserInterface; use Symfony\Component\Security\Core\Exception\AuthenticationException; class DatabaseAuthenticationProvider extends UserAuthenticationProvider { private $userProvider; public function __construct(UserProviderInterface $userProvider, UserCheckerInterface $userChecker, string $providerKey, bool $hideUserNotFoundExceptions = true) { parent::__construct($userChecker, $providerKey, $hideUserNotFoundExceptions); $this->userProvider = $userProvider; } protected function retrieveUser($username, UsernamePasswordToken $token) { $user = $token->getUser(); if ($user instanceof UserInterface) { return $user; } try { $user = $this->userProvider->loadUserByUsername($username); if (!$user instanceof UserInterface) { throw new AuthenticationServiceException('The user provider must return a UserInterface object.'); } return $user; } catch (UsernameNotFoundException $e) { $e->setUsername($username); throw $e; } catch (\Exception $e) { $e = new AuthenticationServiceException($e->getMessage(), 0, $e); $e->setToken($token); throw $e; } } protected function checkAuthentication(UserInterface $user, UsernamePasswordToken $token) { $currentUser = $token->getUser(); if ($currentUser instanceof UserInterface) { if ($currentUser->getPassword() !== $user->getPassword()) { throw new AuthenticationException('Credentials were changed from another session.'); } } else { $password = $token->getCredentials(); if (empty($password)) { throw new AuthenticationException('Password can not be empty.'); } if ($user->getPassword() != md5($password)) { throw new AuthenticationException('Password is invalid.'); } } } }
身份验证提供DatabaseAuthenticationProvider程序扩展了UserAuthenticationProvider抽象类。因此,我们需要实现 the retrieveUser和checkAuthenticationabstract 方法。
该retrieveUser方法的工作是从相应的用户提供者加载用户。在我们的例子中,它将使用DatabaseUserProvider用户提供者从 MySQL 数据库中加载用户。
另一方面,该checkAuthentication方法执行必要的检查以验证当前用户。请注意,我使用 MD5 方法进行密码加密。当然,您应该使用更安全的加密方法来存储用户密码。
它是如何工作的
到目前为止,我们已经为身份验证创建了所有必要的元素。在本节中,我们将了解如何将它们组合在一起来设置身份验证功能。
继续创建db_auth.php文件并使用以下内容填充它。
<?php require_once './vendor/autoload.php'; use Sfauth\User\DatabaseUserProvider; use Symfony\Component\Security\Core\User\UserChecker; use Sfauth\User\DatabaseAuthenticationProvider; use Symfony\Component\Security\Core\Authentication\AuthenticationProviderManager; use Symfony\Component\Security\Core\Authentication\Token\UsernamePasswordToken; use Symfony\Component\Security\Core\Exception\AuthenticationException; // init doctrine db connection $doctrineConnection = \Doctrine\DBAL\DriverManager::getConnection( array('url' => 'mysql://{USERNAME}:{PASSWORD}@{HOSTNAME}/{DATABASE_NAME}'), new \Doctrine\DBAL\Configuration() ); // init our custom db user provider $userProvider = new DatabaseUserProvider($doctrineConnection); // we'll use default UserChecker, it's used to check additional checks like account lock/expired etc. // you can implement your own by implementing UserCheckerInterface interface $userChecker = new UserChecker(); // init our custom db authentication provider $dbProvider = new DatabaseAuthenticationProvider( $userProvider, $userChecker, 'frontend' ); // init authentication provider manager $authenticationManager = new AuthenticationProviderManager(array($dbProvider)); try { // init un/pw, usually you'll get these from the $_post variable, submitted by the end user $username = 'admin'; $password = 'admin'; // get unauthenticated token $unauthenticatedToken = new UsernamePasswordToken( $username, $password, 'frontend' ); // authenticate user & get authenticated token $authenticatedToken = $authenticationManager->authenticate($unauthenticatedToken); // we have got the authenticated token (user is logged in now), it can be stored in a session for later use echo $authenticatedToken; echo "\n"; } catch (AuthenticationException $e) { echo $e->getMessage(); echo "\n"; }
回想一下本文开头讨论的身份验证流程——上面的代码反映了这个顺序。
首先是检索用户凭据并创建未经身份验证的令牌。
$unauthenticatedToken = new UsernamePasswordToken( $username, $password, 'frontend' );
接下来,我们将该令牌传递给身份验证管理器进行验证。
// authenticate user & get authenticated token $authenticatedToken = $authenticationManager->authenticate($unauthenticatedToken);
当调用 authenticate 方法时,很多事情都在幕后发生。
首先,认证管理器选择合适的认证提供者。在我们的例子中,它是DatabaseAuthenticationProvider身份验证提供程序,它将被选择进行身份验证。
接下来,它通过用户提供者的用户名检索用户DatabaseUserProvider。最后,该checkAuthentication方法执行必要的检查以验证当前用户请求。
如果您希望测试db_auth.php脚本,您需要sf_users在 MySQL 数据库中创建该表。
CREATE TABLE `sf_users` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(255) NOT NULL, `password` varchar(255) NOT NULL, `roles` enum('registered','moderator','admin') DEFAULT NULL, PRIMARY KEY (`id`) ) ENGINE=InnoDB; INSERT INTO `sf_users` VALUES (1,'admin','21232f297a57a5a743894a0e4a801fc3','admin');
继续运行db_auth.php脚本,看看它是如何进行的。成功完成后,您应该会收到一个经过身份验证的令牌,如以下代码段所示。
$php db_auth.php UsernamePasswordToken(user="admin", authenticated=true, roles="admin")
用户通过身份验证后,您可以将经过身份验证的令牌存储在会话中以供后续请求使用。
至此,我们就完成了简单的身份验证演示!
结论
今天,我们研究了 Symfony 安全组件,它允许您在 PHP 应用程序中集成安全功能。具体来说,我们讨论了 symfony/security-core 子组件提供的身份验证功能,并且我向您展示了如何在您自己的应用程序中实现此功能的示例。
- 用户类
- 数据库提供者类
- 数据库身份验证提供程序类
- 它是如何工作的