api-платформа: насколько безопасна пользовательская операция

Question

api-платформа: насколько безопасна пользовательская операция

Я хочу знать, как защитить пользовательские элементы. Работа с API-платформой, я нашел этот код в документации:

/**
* Secured resource.
*
* @ApiResource(
*     attributes={"access_control"="is_granted('ROLE_USER')"},
*     collectionOperations={
*         "get"={"method"="GET"},
*         "post"={"method"="POST", "access_control"="is_granted('ROLE_ADMIN')"}
*     },
*     itemOperations={
*         "get"{"method"="GET","access_control"="is_granted('ROLE_USER') and object.owner == user"}
*     }
* )
* @ORM\Entity
*/

Но я хочу сделать что-то вроде:

/**
* @ApiResource(itemOperations={
*     "get"={"method"="GET"} //Public route,
*     "special"={"route_name"="special", "access_control"="is_granted('ROLE_ADMIN') or object.owner == user"}},
*     "special2"={"route_name"="special2",  "access_control"="is_granted('ROLE_USER')"}
* })
*/

Это работает? Или я должен проверить роли пользователя в специальном файле действий?

Какова лучшая практика в этом случае?

2

api-platform.com php symfony

Решение

Другие решения

Других решений пока нет …

Источник

Accepted Answer

Вы должны рассмотреть возможность создания кастома Symfony избиратель

Пожалуйста, попробуйте этот код, я здесь, если вы не понимаете что-то с избирателями

<?php
namespace yournamespace;

use App\Entity\User;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Authorization\Voter\Voter;

class YourObjectVoter extends Voter
{
const YOUR_CUSTOM_ACTION = 'custom_action';

protected function supports($attribute, $subject)
{
if (!$subject instanceof YourObject) {
return false;
}

if (!in_array($attribute, array(self::YOUR_CUSTOM_ACTION))) {
return false;
}

return true;
}

protected function voteOnAttribute($attribute, $subject, TokenInterface $token)
{
if($this->isGranted('ROLE_ADMIN')) {
return true;
}

$user = $token->getUser();
if(!$user instanceOf User) {
return false;
}

if($subject->getOwner() === $user) {
return true;
}

return false;
}
}

Затем вам нужно определить вашего избирателя как службу с тегом security.voter

class:  Yournamespace\Security\YourObjectVoter
public: false
tags:
- { name: security.voter }

custom_action та же самая строка, которая определена в классе избирателя

С помощью этого кода вы можете просто обезопасить свои действия с помощью:

itemOperations={
*         "get"{"method"="GET","access_control"="is_granted('custom_action', object)"}
*     }

Дайте мне знать, если это не сработает. Я надеюсь, что это поможет!

4