我在Symfony 3中使用了SonataAdminBundle.因为我使用Symfony 3,我仍然无法使用SonataUserBundle.所以我只使用带有FOSUserBundle的SonataAdminBundle.
现在我试图实现的是隐藏每个角色的特定路线.例如,我只有三个角色;
超级管理员拥有管理员拥有的所有角色,管理员拥有所有第三个角色,第三个显然拥有ROLE_USER.超级管理员应该能够创建新用户并为他分配角色.超级管理员也应该能够更改用户的密码.用户应该能够更改自己帐户的密码.最后,超级管理员不应该更改自己的角色和创建新用户的其他角色.
如何在不使用SonataUserBundle的情况下实现此目的.为了删除路线部分我试过这样的事情:
protected function configureRoutes(RouteCollection $collection)
{
$securityContext = $this->getConfigurationPool()->getContainer()->get('security.authorization_checker');
if (!$securityContext->isGranted('ROLE_SUPER_ADMIN')) {
$collection->remove('create');
$collection->remove('edit');
}
}
但我想有一个更好的解决方案.我完全了解official documentation about security,但我对此感到困惑,这是否意味着我必须在我的security.yml文件中对所有不同管理员的每个角色进行硬编码?没有SonataUserBundle,这甚至可以工作吗?我不想为ACL添加额外的数据库表.
有人可以帮助和/或提供一个好例子吗?我会非常感激的.
您可以为User实体定义自定义用户权限选民,请参阅
here.
原文链接:https://www.f2er.com/php/136459.htmlnamespace AppBundle\Security;
use AppBundle\Entity\User;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Authorization\Voter\Voter;
use Symfony\Component\Security\Core\Authorization\AccessDecisionManagerInterface;
class UserVoter extends Voter
{
private $decisionManager;
public function __construct(AccessDecisionManagerInterface $decisionManager)
{
$this->decisionManager = $decisionManager;
}
protected function supports($attribute,$subject)
{
// only vote on User objects inside this voter
if (!$subject instanceof User) {
return false;
}
return true;
}
protected function voteOnAttribute($attribute,$subject,TokenInterface $token)
{
// ROLE_SUPER_ADMIN can do anything! The power!
if ($this->decisionManager->decide($token,array('ROLE_SUPER_ADMIN'))) {
return true;
}
$user = $token->getUser();
if (!$user instanceof User) {
// the user must be logged in; if not,deny access
return false;
}
/** @var User $targetUser */
$targetUser = $subject;
// Put your custom logic here
switch ($attribute) {
case "ROLE_SONATA_ADMIN_USER_VIEW":
return true;
case "ROLE_SONATA_ADMIN_USER_EDIT":
return ($user === $targetUser);
}
return false;
}
}
然后,您创建服务
sonata_admin.user_voter:
class: AppBundle\Security\UserVoter
arguments: ['@security.access.decision_manager']
public: false
tags:
- { name: security.voter }
小心access decision strategy,如果定义为一致或共识,我可能无法工作,具体取决于您的配置
如果您不希望为每个用户提供对用户列表的访问权限,您还可以向用户自己的编辑页面添加直接链接/路由.
编辑
要限制用户角色编辑,因为您不希望用户编辑自己的角色,您只需编辑configureFormFields函数:
protected function configureFormFields(FormMapper $formMapper)
{
$formMapper
->add('username')
->add('plainPassword','text',array(
'@R_404_103@' => false,)
)
/* your other fields */
;
if ($this->isGranted('ROLE_SUPER_ADMIN')) {
$formMapper->add('roles',\Symfony\Component\Form\Extension\Core\Type\CollectionType::class,array(
'entry_type' => \Symfony\Component\Form\Extension\Core\Type\ChoiceType::class,'entry_options' => array(
'choices' => array(
"ROLE_OPTICKSB2B" => "ROLE_OPTICKSB2B","ROLE_ADMIN" => "ROLE_ADMIN","ROLE_SUPER_ADMIN" => "ROLE_SUPER_ADMIN"
),)
));
}
$formMapper
->add('isActive')
->add('title')
->add('firstname')
->add('lastname')
;
}
显然,Symfony表单组件将检查您,而不是添加其他字段.
