Symfony 4:ROLE_USER 不继承 IS_AUTHENTICATED_FULLY 并且 Voter 抛出 AccessDeniedException

分类:编程问答

如何解决Symfony 4:ROLE_USER 不继承 IS_AUTHENTICATED_FULLY 并且 Voter 抛出 AccessDeniedException

我正在处理一个有很多古老员工的遗留项目。有大量使用非常罕见的动作。半年前,我们从 Symfony 2.8 升级到 Symfony 4.4。一切都运行良好,直到经理尝试使用现在返回 AccessDeniedException: Access Denied.

的旧操作之一

我查看了 Symfony 文档,对我来说一切都非常简单。

The documentation 说:

检查用户是否已登录 (IS_AUTHENTICATED_FULLY)

如果您只想检查用户是否登录(您不关心角色),您有两个选择。首先,如果您为每个用户指定了 ROLE_USER,您可以检查该角色。

app/config/security.yml 的下一个配置:

security:
    access_decision_manager:
        strategy: unanimous
        allow_if_all_abstain: true

    encoders:
        FOS\UserBundle\Model\UserInterface:
            algorithm: sha512
            encode_as_base64: false
            iterations: 1

    role_hierarchy:
        ROLE_CUSTOMER_ADMIN: ROLE_USER
        ROLE_ADMIN: ROLE_USER
        ROLE_ADMIN_CAN_EDIT_PERMISSIONS: ROLE_ADMIN
        ROLE_SUPER_ADMIN: ROLE_ADMIN_CAN_EDIT_PERMISSIONS

    providers:
          fos_user:
              id: fos_user.user_provider.username

    firewalls:
        main:
            pattern: ^/
            form_login:
                provider: fos_user
                default_target_path: /user-post-login
                always_use_default_target_path: true
                login_path: user_security_login
                check_path: fos_user_security_check
            logout:
                path: /logout
                target: /login
                handlers: [mp.logout_handler]
                invalidate_session: false
            anonymous: ~
            remember_me:
                secret:      "%secret%"
                lifetime: 31536000 # 365 days in seconds
                path:     /
                domain:   ~ # Defaults to the current domain from $_SERVER

    access_control:
        - { path: ^/login,role: IS_AUTHENTICATED_ANONYMOUSLY }
        ...
        - { path: ^/api,role: IS_AUTHENTICATED_ANONYMOUSLY }
        ...
        - { path: ^/admin/select-customer-status,role: [ROLE_CUSTOMER_ADMIN,ROLE_SUPER_ADMIN] }
        ...
        - { path: ^/admin,role: ROLE_USER }

我当前的用户具有角色 ROLE_SUPER_ADMIN,根据 role_hierarchy 这个角色在祖先中有 ROLE_USER,但是当我尝试打开 http://localhost:8080/admin/select -customer-status/1 我收到此 Access Denied 异常。

我尝试调试并发现此异常出现在 Symfony\Component\Security\Http\Firewall\AccessListener

enter image description here

但真正的问题是 Voter 正在检查 IS_AUTHENTICATED_FULLY under the hood,但是 $attributes 中没有这个。

另一个有趣的事情是,当我将此配置直接添加到 Action 时,它会按预期工作并且不会引发异常:

/**
 * @Route("/admin/update-user-permissions/{id}",name="update_user_permissions")
 * @Method({"POST"})
 * 
 * @IsGranted("ROLE_SUPER_ADMIN")
 * @IsGranted("ROLE_CUSTOMER_ADMIN")
 */

有人可以帮忙解决这种奇怪的行为吗?

附言有 a similar question,但它适用于 Symfony 2,对我来说不可靠。

解决方法

显然发生的是,所有提到的角色都是必需的,即两者 ROLE_SUPER_ADMIN 以及 ROLE_CUSTOMER_ADMIN。据我了解您的问题描述,您的用户是两者之一,但不能两者兼而有之。

您提供的 screenshot 在底部显示了处理请求的访问管理器: enter image description here

这清楚地表明,AuthenticatedVoter 不是问题,因为它弃权(因为它只投票给 IS_AUTHENTICATED_* 角色(例如 IS_AUTHENTICATED_FULLY),这也很容易在its code

但是,也可以很容易地看出,两个角色都被单独检查(!)。 RoleHierarchyVoter 现在尝试查看,如果 ROLE_CUSTOMER_ADMIN 被授予,并且我假设您的用户具有 ROLE_SUPER_ADMIN,RoleHierarchyVoter 将通过使用层次结构将其扩展为 ROLE_SUPER_ADMIN,{{1} }、ROLE_ADMIN_CAN_EDIT_PERMISSIONSROLE_ADMIN。其中没有一个是 ROLE_USER

正如我在评论中所建议的,您可能希望选择添加一个新角色,两个扩展管理员角色都拥有该角色。如果 ROLE_CUSTOMER_ADMIN 不合适,可能是 ROLE_ADMIN 之类的。

ROLE_EXTENDED_ADMIN

然后在访问控制中:

ROLE_CUSTOMER_ADMIN: [ROLE_ADMIN,ROLE_EXTENDED_ADMIN]
ROLE_SUPER_ADMIN: [ROLE_ADMIN_CAN_EDIT_PERMISSIONS,ROLE_EXTENDED_ADMIN]
,

你可以使用

use Sensio\Bundle\FrameworkExtraBundle\Configuration\Security;

/**
 * @Security("has_role('ROLE_SUPER_ADMIN') or has_role('ROLE_CUSTOMER_ADMIN')")
 */

that's all

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐

matplotlib报错:AttributeError: module 'backend_interagg' has no attribute 'FigureCanvas'. Did you mean: 'FigureCanvasAgg'?
使用本地python环境可以成功执行 import pandas as pd import matplotlib.pyplot as plt # 设置字体 plt.rcParams['font.sans-serif'] = ['SimHei'] # 能正确显示负号 p
gitlab登录失败,报错:This challenge page was accidentally cached by an intermediary and is no longer available.
设置时间 控制面板
后端开发常见错误
错误1:Request method ‘DELETE‘ not supported 错误还原:controller层有一个接口,访问该接口时报错:Request method ‘DELETE‘ not supported 错误原因:没有接收到前端传入的参数,修改为如下 参考 错误2:cannot r
docker常见错误
错误1:启动docker镜像时报错:Error response from daemon: driver failed programming external connectivity on endpoint quirky_allen 解决方法:重启docker -> systemctl r
idea常见错误
错误1:private field ‘xxx‘ is never assigned 按Altʾnter快捷键,选择第2项 参考:https://blog.csdn.net/shi_hong_fei_hei/article/details/88814070 错误2:启动时报错,不能找到主启动类 #
pip安装依赖失败
报错如下,通过源不能下载,最后警告pip需升级版本 Requirement already satisfied: pip in c:\users\ychen\appdata\local\programs\python\python310\lib\site-packages (22.0.4) Coll
maven常见错误
错误1:maven打包报错 错误还原:使用maven打包项目时报错如下 [ERROR] Failed to execute goal org.apache.maven.plugins:maven-resources-plugin:3.2.0:resources (default-resources)
cloud项目中常见错误
错误1:服务调用时报错 服务消费者模块assess通过openFeign调用服务提供者模块hires 如下为服务提供者模块hires的控制层接口 @RestController @RequestMapping("/hires") public class FeignControl
springboot常见错误
错误1:运行项目后报如下错误 解决方案 报错2:Failed to execute goal org.apache.maven.plugins:maven-compiler-plugin:3.8.1:compile (default-compile) on project sb 解决方案:在pom.
springmvc拦截器中使用redisTemplate报空指针异常
参考 错误原因 过滤器或拦截器在生效时,redisTemplate还没有注入 解决方案:在注入容器时就生效 @Component //项目运行时就注入Spring容器 public class RedisBean { @Resource private RedisTemplate<String
vite报错:npm ERR! command C:WINDOWSsystem32cmd.exe /d /s /c C:UsersychenAppDataLocalTempnpx-dde1c848.cmd
使用vite构建项目报错 C:\Users\ychen\work>npm init @vitejs/app @vitejs/create-app is deprecated, use npm init vite instead C:\Users\ychen\AppData\Local\npm-
VM VirtualBox中安装centos时报错:设置基础软件仓库时出错
参考1 参考2 解决方案 # 点击安装源 协议选择 http:// 路径填写 mirrors.aliyun.com/centos/8.3.2011/BaseOS/x86_64/os URL类型 软件库URL 其他路径 # 版本 7 mirrors.aliyun.com/centos/7/os/x86
kafka常见问题
报错1 [root@slave1 data_mocker]# kafka-console-consumer.sh --bootstrap-server slave1:9092 --topic topic_db [2023-12-19 18:31:12,770] WARN [Consumer clie
hive常见问题
错误1 # 重写数据 hive (edu)> insert overwrite table dwd_trade_cart_add_inc > select data.id, > data.user_id, > data.course_id, > date_format(
装载数据时报错:Failed to execute spark task, with exception 'org.apache.hadoop.hive.ql.metadata.HiveException(Failed to create spark client.)'
错误1 hive (edu)> insert into huanhuan values(1,'haoge'); Query ID = root_20240110071417_fe1517ad-3607-41f4-bdcf-d00b98ac443e Total jobs = 1
flume常见问题
报错1:执行到如下就不执行了,没有显示Successfully registered new MBean. [root@slave1 bin]# /usr/local/software/flume-1.9.0/bin/flume-ng agent -n a1 -c /usr/local/softwa
hadoop集群常见错误
虚拟及没有启动任何服务器查看jps会显示jps,如果没有显示任何东西 [root@slave2 ~]# jps 9647 Jps 解决方案 # 进入/tmp查看 [root@slave1 dfs]# cd /tmp [root@slave1 tmp]# ll 总用量 48 drwxr-xr-x. 2
hive常见错误
报错1 hive> show databases; OK Failed with exception java.io.IOException:java.lang.RuntimeException: Error in configuring object Time taken: 0.474 se
Linux常见错误
报错1 [root@localhost ~]# vim -bash: vim: 未找到命令 安装vim yum -y install vim* # 查看是否安装成功 [root@hadoop01 hadoop]# rpm -qa |grep vim vim-X11-7.4.629-8.el7_9.x
使用sqoop一直卡在:mapreduce.Job: Running job: job_1703173956074_0001
修改hadoop配置 vi /usr/local/software/hadoop-2.9.2/etc/hadoop/yarn-site.xml # 添加如下 <configuration> <property> <name>yarn.nodemanager.res
pythonJavaScriptjavaHTMLPHPreactjsC#AndroidCSSNode.jssqlrpython-3.xMysqLjQueryc++pandasFlutterangularIOSdjangolinuxswifttypescript路由器JSON路由器设置无线路由器h3c华三华三路由器设置华三路由器电脑软件教程arraysdocker软件图文教程Cvue.jslaravelspring-boot