symfonyセキュリティでダイナミックセキュリティ権限を取得する方法

Question

Symfonyのアクセスコントロールにカスタムアクセス法則を追加する必要があります。私は説明しようとしています。 私はいくつかの顧客とWebアプリケーションを持っており、その顧客が適切なプラグインを持っているときに、コードの一部をアクセスできるようにしたい。プラグイン

namespace AppBundle\Entity; 

class Plugin{ 

private $id; 

private $name; 

private $customerProfiles; 
} 

私は彼のプラグインを取得することができ、顧客からのように、私は関係のための教義を使用するための

namespace AppBundle\Entity; 

class CustomerProfile{ 

private $id; 

private $user; 

private $plugins; 
} 

エンティティ：これは私の顧客です。たとえば、私たちは2顧客と2プラグインを持っている：私のプロジェクトで

AppBundle\Entity\CustomerProfile: 
customer_1: 
    user: '@user_1' 
    plugins: ['@plugin_1','@plugin_2'] 
customer_2: 
    user: '@user_2' 
    plugins: ['@plugin_1'] 

AppBundle\Entity\Plugin: 
plugin_1: 
    name: 'plugin 1' 
plugin_2: 
    name: 'plugin 2' 

の顧客に関するすべてのコードは、/顧客の名前空間、symfonyのような、そしてすべての作業中です。別のプラグインと

access_control: 
    - { path: ^/customer, roles: ROLE_CUSTOMER } 

しかし、この顧客のための私は、動のアクセス制御を設定するだろうが、私は方法がわかりません。私はこのような何かを制御する必要があります：

access_control: 
    - { path: ^/code_for_plugin_1, roles: ROLE_CUSTOMER_WHIT_PLUGIN_1} 
    - { path: ^/code_for_plugin_2, roles: ROLE_CUSTOMER_WHIT_PLUGIN_2} 

を、私は良い方法は、その名前空間でのアクセスに役割をプラグイン持っている顧客ごとに設定するには、「サブ役割」（存在する場合）に設定されていると思います。

私は十分に助けてくれてありがとうと思います。

Answer 1

私は、access_controlではなく、カスタムの投票者を使用することをお勧めします。 としてロールのアプローチを使用しています。提案されたソリューションでは、すべてのプラグインに対して の生成ロール（ROLE_CUSTOMER_WHIT_PLUGIN_{X}）が必要です。プラグインを動的に追加する場合は、 が機能しません。

詳細については、symfonyのドキュメントのHow to Use Voters to Check User Permissionsの記事を参照してください。

基本的には、ログインしたユーザーが要求されたリソースへのアクセスが であるかどうかをチェックするユーザー有権者を実装する必要があります。あなたのケースでは、次のようになります。

<?php 

... 

class YourController extends Controller 
{ 

    public function getFooAction($id) 
    { 
     $this->denyAccessUnlessGranted(YourVoter::VIEW_FOO); 

     // ...method logic 
    } 

    public function getBarAction($id) 
    { 
     $this->denyAccessUnlessGranted(YourVoter::VIEW_BAR); 

     // ...method logic 
    } 
} 

/src/YourBundle/Security/YourVoter.php

<?php 

... 

class YourVoter extends AbstractVoter 
{ 
    const VIEW_FOO = 'YOUR_VIEW_FOO'; 
    const VIEW_BAR = 'YOUR_VIEW_BAR'; 

    public function getVoterAttributes() 
    { 
     return [self::VIEW_FOO, self::VIEW_BAR,]; 
    } 

    protected function supports($attribute, $subject) 
    { 
     ... 
    } 

    protected function voteOnAttribute($attribute, $item, TokenInterface $token) 
    { 
     $user = $token->getUser(); 
     if (!$user instanceof User) { 
      return false; 
     } 

     switch ($attribute) { 
      case self::VIEW_FOO: 
       return $this->canViewFoo($user); 
      case self::VIEW_BAR: 
       return $this->canViewBar($user); 
     } 

     throw new \Exception(sprintf(
      'Invalid vote attribute "%s".', 
      $attribute 
     )); 
    } 

    private function canViewFoo(User $user) 
    { 
     return $user->getProfile()->hasRoleFooXYZ() 
    } 


    private function canViewBar(User $user) 
    { 
     return $user->getProfile()->hasRoleBarXYZ() 
    } 
} 

/src/YourBundle/Controller/YourController.php