使用 Symfony 安全元件進行使用者驗證
在本文中,您将了解如何使用 Symfony 安全组件在 PHP 中设置用户身份验证。除了身份验证之外,我还将向您展示如何使用其基于角色的授权,您可以根据需要进行扩展。
Symfony 安全组件
Symfony 安全组件允许您轻松设置身份验证、基于角色的授权、CSRF 令牌等安全功能。事实上,它又分为四个子组件,您可以根据需要进行选择。
安全组件具有以下子组件:
- symfony/安全核心
- symfony/security-http
- symfony/security-csrf
- symfony/security-acl
在本文中,我们将探讨 symfony/security-core 组件提供的身份验证功能。
像往常一样,我们将从安装和配置说明开始,然后探索一些实际示例来演示关键概念。
安装和配置
在本节中,我们将安装 Symfony 安全组件。我假设您已经在系统上安装了 Composer — 我们需要它来安装 Packagist 上提供的安全组件。
因此,请继续使用以下命令安装安全组件。
$composer require symfony/security
在我们的示例中,我们将从 MySQL 数据库加载用户,因此我们还需要一个数据库抽象层。让我们安装最流行的数据库抽象层之一:Doctrine DBAL。
$composer require doctrine/dbal
这应该创建了 composer.json 文件,它应该如下所示:
{
"require": {
"symfony/security": "^4.1",
"doctrine/dbal": "^2.7"
}
}
让我们将 composer.json 文件修改为如下所示。
{
"require": {
"symfony/security": "^4.1",
"doctrine/dbal": "^2.7"
},
"autoload": {
"psr-4": {
"Sfauth\\": "src"
},
"classmap": ["src"]
}
}
由于我们添加了新的 classmap 条目,让我们继续通过运行以下命令来更新 Composer 自动加载器。
$composer dump -o
现在,您可以使用 Sfauth 命名空间来自动加载 src 目录下的类。
这就是安装部分,但是你应该如何使用它呢?事实上,只需将 Composer 创建的 autoload.php 文件包含在您的应用程序中即可,如以下代码片段所示。
<?php require_once './vendor/autoload.php'; // application code ?>
现实世界的例子
首先,让我们了解一下 Symfony 安全组件提供的常规身份验证流程。
- 第一件事是检索用户凭据并创建未经身份验证的令牌。
- 接下来,我们会将未经身份验证的令牌传递给身份验证管理器进行验证。
- 身份验证管理器可能包含不同的身份验证提供程序,其中之一将用于对当前用户请求进行身份验证。如何对用户进行身份验证的逻辑在身份验证提供程序中定义。
- 身份验证提供商联系用户提供商以检索用户。用户提供商有责任从相应的后端加载用户。
- 用户提供程序尝试使用身份验证提供程序提供的凭据加载用户。大多数情况下,用户提供程序返回实现
UserInterface接口的用户对象。 - 如果找到用户,身份验证提供程序会返回未经身份验证的令牌,您可以存储此令牌以供后续请求使用。
在我们的示例中,我们要将用户凭据与 MySQL 数据库进行匹配,因此我们需要创建数据库用户提供程序。我们还将创建处理身份验证逻辑的数据库身份验证提供程序。最后,我们将创建 User 类,它实现 UserInterface 接口。
用户类
在本节中,我们将创建 User 类,它代表身份验证过程中的用户实体。
继续创建包含以下内容的 src/User/User.php 文件。
<?php
namespace Sfauth\User;
use Symfony\Component\Security\Core\User\UserInterface;
class User implements UserInterface
{
private $username;
private $password;
private $roles;
public function __construct(string $username, string $password, string $roles)
{
if (empty($username))
{
throw new \InvalidArgumentException('No username provided.');
}
$this->username = $username;
$this->password = $password;
$this->roles = $roles;
}
public function getUsername()
{
return $this->username;
}
public function getPassword()
{
return $this->password;
}
public function getRoles()
{
return explode(",", $this->roles);
}
public function getSalt()
{
return '';
}
public function eraseCredentials() {}
}
重要的是 User 类必须实现 Symfony Security UserInterface 接口。除此之外,这里没有任何异常。
数据库提供程序类
从后端加载用户是用户提供者的责任。在本节中,我们将创建数据库用户提供程序,它从 MySQL 数据库加载用户。
让我们创建包含以下内容的 src/User/DatabaseUserProvider.php 文件。
<?php
namespace Sfauth\User;
use Symfony\Component\Security\Core\User\UserProviderInterface;
use Symfony\Component\Security\Core\User\UserInterface;
use Symfony\Component\Security\Core\Exception\UsernameNotFoundException;
use Symfony\Component\Security\Core\Exception\UnsupportedUserException;
use Doctrine\DBAL\Connection;
use Sfauth\User\User;
class DatabaseUserProvider implements UserProviderInterface
{
private $connection;
public function __construct(Connection $connection)
{
$this->connection = $connection;
}
public function loadUserByUsername($username)
{
return $this->getUser($username);
}
private function getUser($username)
{
$sql = "SELECT * FROM sf_users WHERE username = :name";
$stmt = $this->connection->prepare($sql);
$stmt->bindValue("name", $username);
$stmt->execute();
$row = $stmt->fetch();
if (!$row['username'])
{
$exception = new UsernameNotFoundException(sprintf('Username "%s" not found in the database.', $row['username']));
$exception->setUsername($username);
throw $exception;
}
else
{
return new User($row['username'], $row['password'], $row['roles']);
}
}
public function refreshUser(UserInterface $user)
{
if (!$user instanceof User)
{
throw new UnsupportedUserException(sprintf('Instances of "%s" are not supported.', get_class($user)));
}
return $this->getUser($user->getUsername());
}
public function supportsClass($class)
{
return 'Sfauth\User\User' === $class;
}
}
用户提供者必须实现 UserProviderInterface 接口。我们使用 DBAL 学说来执行与数据库相关的操作。由于我们已经实现了 UserProviderInterface 接口,因此我们必须实现 loadUserByUsername、refreshUser 和 supportsClass 方法。
loadUserByUsername 方法应通过用户名加载用户,这是在 getUser 方法中完成的。如果找到用户,我们返回对应的Sfauth\User\User对象,该对象实现了UserInterface接口。
另一方面, refreshUser 方法通过从数据库获取最新信息来刷新提供的 User 对象。
最后,supportsClass 方法检查 DatabaseUserProvider 提供程序是否支持提供的用户类。
数据库身份验证提供程序类
最后,我们需要实现用户身份验证提供程序,它定义身份验证逻辑 - 如何对用户进行身份验证。在我们的例子中,我们需要将用户凭据与 MySQL 数据库进行匹配,因此我们需要相应地定义身份验证逻辑。
继续创建包含以下内容的 src/User/DatabaseAuthenticationProvider.php 文件。
<?php
namespace Sfauth\User;
use Symfony\Component\Security\Core\Authentication\Provider\UserAuthenticationProvider;
use Symfony\Component\Security\Core\User\UserProviderInterface;
use Symfony\Component\Security\Core\User\UserCheckerInterface;
use Symfony\Component\Security\Core\Exception\UsernameNotFoundException;
use Symfony\Component\Security\Core\Exception\AuthenticationServiceException;
use Symfony\Component\Security\Core\Authentication\Token\UsernamePasswordToken;
use Symfony\Component\Security\Core\User\UserInterface;
use Symfony\Component\Security\Core\Exception\AuthenticationException;
class DatabaseAuthenticationProvider extends UserAuthenticationProvider
{
private $userProvider;
public function __construct(UserProviderInterface $userProvider, UserCheckerInterface $userChecker, string $providerKey, bool $hideUserNotFoundExceptions = true)
{
parent::__construct($userChecker, $providerKey, $hideUserNotFoundExceptions);
$this->userProvider = $userProvider;
}
protected function retrieveUser($username, UsernamePasswordToken $token)
{
$user = $token->getUser();
if ($user instanceof UserInterface)
{
return $user;
}
try {
$user = $this->userProvider->loadUserByUsername($username);
if (!$user instanceof UserInterface)
{
throw new AuthenticationServiceException('The user provider must return a UserInterface object.');
}
return $user;
} catch (UsernameNotFoundException $e) {
$e->setUsername($username);
throw $e;
} catch (\Exception $e) {
$e = new AuthenticationServiceException($e->getMessage(), 0, $e);
$e->setToken($token);
throw $e;
}
}
protected function checkAuthentication(UserInterface $user, UsernamePasswordToken $token)
{
$currentUser = $token->getUser();
if ($currentUser instanceof UserInterface)
{
if ($currentUser->getPassword() !== $user->getPassword())
{
throw new AuthenticationException('Credentials were changed from another session.');
}
}
else
{
$password = $token->getCredentials();
if (empty($password))
{
throw new AuthenticationException('Password can not be empty.');
}
if ($user->getPassword() != md5($password))
{
throw new AuthenticationException('Password is invalid.');
}
}
}
}
DatabaseAuthenticationProvider 身份验证提供程序扩展了 UserAuthenticationProvider 抽象类。因此,我们需要实现 retrieveUser 和 checkAuthentication 抽象方法。
retrieveUser 方法的作用是从相应的用户提供程序加载用户。在我们的例子中,它将使用 DatabaseUserProvider 用户提供程序从 MySQL 数据库加载用户。
另一方面,checkAuthentication 方法执行必要的检查以验证当前用户的身份。请注意,我使用 MD5 方法进行密码加密。当然,您应该使用更安全的加密方法来存储用户密码。
整体工作原理
到目前为止,我们已经创建了身份验证所需的所有元素。在本节中,我们将了解如何将它们组合在一起来设置身份验证功能。
继续创建 db_auth.php 文件并使用以下内容填充它。
<?php
require_once './vendor/autoload.php';
use Sfauth\User\DatabaseUserProvider;
use Symfony\Component\Security\Core\User\UserChecker;
use Sfauth\User\DatabaseAuthenticationProvider;
use Symfony\Component\Security\Core\Authentication\AuthenticationProviderManager;
use Symfony\Component\Security\Core\Authentication\Token\UsernamePasswordToken;
use Symfony\Component\Security\Core\Exception\AuthenticationException;
// init doctrine db connection
$doctrineConnection = \Doctrine\DBAL\DriverManager::getConnection(
array('url' => 'mysql://{USERNAME}:{PASSWORD}@{HOSTNAME}/{DATABASE_NAME}'), new \Doctrine\DBAL\Configuration()
);
// init our custom db user provider
$userProvider = new DatabaseUserProvider($doctrineConnection);
// we'll use default UserChecker, it's used to check additional checks like account lock/expired etc.
// you can implement your own by implementing UserCheckerInterface interface
$userChecker = new UserChecker();
// init our custom db authentication provider
$dbProvider = new DatabaseAuthenticationProvider(
$userProvider,
$userChecker,
'frontend'
);
// init authentication provider manager
$authenticationManager = new AuthenticationProviderManager(array($dbProvider));
try {
// init un/pw, usually you'll get these from the $_POST variable, submitted by the end user
$username = 'admin';
$password = 'admin';
// get unauthenticated token
$unauthenticatedToken = new UsernamePasswordToken(
$username,
$password,
'frontend'
);
// authenticate user & get authenticated token
$authenticatedToken = $authenticationManager->authenticate($unauthenticatedToken);
// we have got the authenticated token (user is logged in now), it can be stored in a session for later use
echo $authenticatedToken;
echo "\n";
} catch (AuthenticationException $e) {
echo $e->getMessage();
echo "\n";
}
回想一下本文开头讨论的身份验证流程 - 上面的代码反映了该顺序。
第一件事是检索用户凭据并创建未经身份验证的令牌。
$unauthenticatedToken = new UsernamePasswordToken(
$username,
$password,
'frontend'
);
接下来,我们将该令牌传递给身份验证管理器进行验证。
// authenticate user & get authenticated token $authenticatedToken = $authenticationManager->authenticate($unauthenticatedToken);
当调用authenticate方法时,幕后会发生很多事情。
首先,身份验证管理器选择适当的身份验证提供程序。在我们的例子中,它是 DatabaseAuthenticationProvider 身份验证提供程序,将选择它进行身份验证。
接下来,它通过 DatabaseUserProvider 用户提供程序中的用户名检索用户。最后,checkAuthentication 方法执行必要的检查以验证当前用户请求。
如果您希望测试 db_auth.php 脚本,则需要在 MySQL 数据库中创建 sf_users 表。
CREATE TABLE `sf_users` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`username` varchar(255) NOT NULL,
`password` varchar(255) NOT NULL,
`roles` enum('registered','moderator','admin') DEFAULT NULL,
PRIMARY KEY (`id`)
) ENGINE=InnoDB;
INSERT INTO `sf_users` VALUES (1,'admin','21232f297a57a5a743894a0e4a801fc3','admin');
继续运行 db_auth.php 脚本,看看效果如何。成功完成后,您应该会收到一个经过身份验证的令牌,如以下代码片段所示。
$php db_auth.php UsernamePasswordToken(user="admin", authenticated=true, roles="admin")
用户通过身份验证后,您可以将经过身份验证的令牌存储在会话中以供后续请求使用。
至此,我们就完成了简单的身份验证演示!
结论
今天,我们研究了 Symfony 安全组件,它允许您在 PHP 应用程序中集成安全功能。具体来说,我们讨论了 symfony/security-core 子组件提供的身份验证功能,并且我向您展示了如何在您自己的应用程序中实现此功能的示例。
请随意使用下面的提要发表您的想法!
以上是使用 Symfony 安全元件進行使用者驗證的詳細內容。更多資訊請關注PHP中文網其他相關文章!
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
記事本++7.3.1
好用且免費的程式碼編輯器
SublimeText3漢化版
中文版,非常好用
禪工作室 13.0.1
強大的PHP整合開發環境
Dreamweaver CS6
視覺化網頁開發工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
說明PHP中的安全密碼散列(例如,password_hash,password_verify)。為什麼不使用MD5或SHA1?
Apr 17, 2025 am 12:06 AM
在PHP中,應使用password_hash和password_verify函數實現安全的密碼哈希處理,不應使用MD5或SHA1。1)password_hash生成包含鹽值的哈希,增強安全性。 2)password_verify驗證密碼,通過比較哈希值確保安全。 3)MD5和SHA1易受攻擊且缺乏鹽值,不適合現代密碼安全。
PHP和Python:比較兩種流行的編程語言
Apr 14, 2025 am 12:13 AM
PHP和Python各有優勢,選擇依據項目需求。 1.PHP適合web開發,尤其快速開發和維護網站。 2.Python適用於數據科學、機器學習和人工智能,語法簡潔,適合初學者。
PHP行動:現實世界中的示例和應用程序
Apr 14, 2025 am 12:19 AM
PHP在電子商務、內容管理系統和API開發中廣泛應用。 1)電子商務:用於購物車功能和支付處理。 2)內容管理系統:用於動態內容生成和用戶管理。 3)API開發:用於RESTfulAPI開發和API安全性。通過性能優化和最佳實踐,PHP應用的效率和可維護性得以提升。
PHP:網絡開發的關鍵語言
Apr 13, 2025 am 12:08 AM
PHP是一種廣泛應用於服務器端的腳本語言,特別適合web開發。 1.PHP可以嵌入HTML,處理HTTP請求和響應,支持多種數據庫。 2.PHP用於生成動態網頁內容,處理表單數據,訪問數據庫等,具有強大的社區支持和開源資源。 3.PHP是解釋型語言,執行過程包括詞法分析、語法分析、編譯和執行。 4.PHP可以與MySQL結合用於用戶註冊系統等高級應用。 5.調試PHP時,可使用error_reporting()和var_dump()等函數。 6.優化PHP代碼可通過緩存機制、優化數據庫查詢和使用內置函數。 7
PHP的持久相關性:它還活著嗎?
Apr 14, 2025 am 12:12 AM
PHP仍然具有活力,其在現代編程領域中依然佔據重要地位。 1)PHP的簡單易學和強大社區支持使其在Web開發中廣泛應用;2)其靈活性和穩定性使其在處理Web表單、數據庫操作和文件處理等方面表現出色;3)PHP不斷進化和優化,適用於初學者和經驗豐富的開發者。
PHP類型提示如何起作用,包括標量類型,返回類型,聯合類型和無效類型?
Apr 17, 2025 am 12:25 AM
PHP類型提示提升代碼質量和可讀性。 1)標量類型提示:自PHP7.0起,允許在函數參數中指定基本數據類型,如int、float等。 2)返回類型提示:確保函數返回值類型的一致性。 3)聯合類型提示:自PHP8.0起,允許在函數參數或返回值中指定多個類型。 4)可空類型提示:允許包含null值,處理可能返回空值的函數。
PHP和Python:代碼示例和比較
Apr 15, 2025 am 12:07 AM
PHP和Python各有優劣,選擇取決於項目需求和個人偏好。 1.PHP適合快速開發和維護大型Web應用。 2.Python在數據科學和機器學習領域佔據主導地位。
PHP與其他語言:比較
Apr 13, 2025 am 12:19 AM
PHP適合web開發,特別是在快速開發和處理動態內容方面表現出色,但不擅長數據科學和企業級應用。與Python相比,PHP在web開發中更具優勢,但在數據科學領域不如Python;與Java相比,PHP在企業級應用中表現較差,但在web開發中更靈活;與JavaScript相比,PHP在後端開發中更簡潔,但在前端開發中不如JavaScript。
