HTTP аутентифікація
Компонент безпеки може налаштовується у файлі app/config/security.yml .У прикладі нижче налаштовується обмеження доступу до каталогу /admin/* . Облікові дані запитуються у користувача за допомогою (старої-доброї) HTTP аутентифікації:
# app/config/security.yml security: firewalls: secured_area: pattern: ^/ anonymous: ~ http_basic: realm: "Secured Demo Area" access_control: - { path: ^/admin, roles: ROLE_ADMIN } providers: in_memory: memory: users: ryan: { password: ryanpass, roles: 'ROLE_USER' } admin: { password: kitten, roles: 'ROLE_ADMIN' } encoders: Symfony\Component\Security\Core\User\User: plaintext
В результаті ми отримаємо повнофункціональну систему безпеки, яка:
- Має два користувачі (ryan і admin);
- Користувачі аутентифікуються за допомогою діалогу HTTP аутентифікації;
- Будь який URL, що містить /admin/* має закритий доступ і тільки admin може туди ввійти;
- Всі решта URL, які не містять /admin/* доступні всім користувачам (тобто для їх перегляду не потрібно вводити логін і пароль у діалог HTTP аутентифікації;
Отже розглянемо детальніше як це працює.
Аутентифікація
Система безпеки активується коли користувач хоче получити доступ до закритої сторінки. Спочатку визначається чи потрібно користувачу пройти аутентифікацію і якщо так, тоді вона здійснюється.Firewall Symfony активується, якщо адреса запиту відповідає шаблону файлу конфігурації. Та це ще не значить, що появляється діалог аутентифікації.
Авторизація
У файлі конфігурації безпеки кожному шаблону ставиться у відповідність певна роль (наприклад ROLE_ADMIN) яку повинен мати користувач, щоб отримати доступ до сторінки.
У наступному приклад користувач ryan успішно проходить аутентифікацію, але оскільки він не має прав адміністратора (ROLE_ADMIN) то не може получити доступ до /admin/foo.
