如何在创建资源时自动添加当前授权用户为资源所有者(POST
).
我使用的是JWT认证,而且api路由是受保护的,不会被未经授权的用户使用。我想把它设置为当一个经过认证的用户创建一个新的资源时(例如通过发送一个 POST
请示 /api/articles
)新创建的 Article
资源与认证用户相关。
我目前正在使用一个自定义的 EventSubscriber
来从token存储中添加用户。
这是subscriber基类的要旨。https:/gist.github.comdsuurlant5988f90e757b41454ce52050fd502273。
以及扩展它的实体订阅者。https:/gist.github.comdsuurlanta8af7e6922679f45b818ec4ddad36286。
然而,如果实体构造函数要求用户作为参数,这就不行了。
例如
class Book {
public User $owner;
public string $name;
public class __construct(User $user, string $name) {
$this->owner = $user;
$this->name = $name;
}
}
如何在实体创建时自动注入授权用户?
目前,我正在使用 DTO和数据变换器.
主要的缺点是必须为每个需要这种行为的资源创建一个新的DTO。
作为一个简单的例子,我正在做这样的事情。
class BootDtoTransformer implements DataTransformerInterface
{
private Security $security;
public function __construct(Security $security)
{
$this->security = $security;
}
public function transform($data, string $to, array $context = [])
{
$owner = $this->security->getUser();
return $new Book($owner, $data->name);;
}
public function supportsTransformation($data, string $to, array $context = []): bool
{
if ($data instanceof Book) {
return false;
}
return Book::class === $to && null !== ($context['input']['class'] ?? null);
}
}
从逻辑上讲,这只适用于单个资源。为了拥有一个适用于多个资源的通用变换器,我最终使用一些接口来区分 "可欠债 "的资源,并使用一点反射来实例化每个类。
我认为这在去规范化阶段是可以做到的,但我无法做到。
正如 @nealio82 和 @lavb 所说的,你应该看看 Gedmo/\Blameable,它可以帮助你把属性处理为 createdBy
或 updatedBy
在那里你可以存储 User
创建资源的人。
然后要处理访问,可以看看Voters,它很厉害,可以处理安全和不同的访问。
例如
书籍实体
...
use Gedmo\Mapping\Annotation as Gedmo;
class Book {
...
/**
* @var string $createdBy
*
* @Gedmo\Blameable(on="create")
* @ORM\Column
*/
public User $owner;
public function getOwner() {
return $this->owner;
}
public function setOwner(User $owner) {
$this->owner = $owner
}
}
srcSecurityVoterBookVoter
namespace App\Security;
use App\Entity\Book;
use App\Entity\User;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Authorization\Voter\Voter;
class BookVoter extends Voter
{
const VIEW = 'view';
const EDIT = 'edit';
protected function supports(string $attribute, $subject)
{
// if the attribute isn't one we support, return false
if (!in_array($attribute, [self::VIEW, self::EDIT])) {
return false;
}
// only vote on `Book` objects
if (!$subject instanceof Book) {
return false;
}
return true;
}
protected function voteOnAttribute(string $attribute, $subject, TokenInterface $token) {
$user = $token->getUser();
if (!$user instanceof User) {
// the user must be logged in; if not, deny access
return false;
}
/** @var Book $book */
$book = $subject;
switch ($attribute) {
case self::VIEW:
return $this->canView($book, $user);
case self::EDIT:
return $this->canEdit($book, $user);
}
throw new \LogicException('This code should not be reached!');
}
private function canEdit(Book $book, User $user) {
// ONLY OWNER CAN EDIT BOOK
return $user === $book->getOwner();
}
private function canView(Book $book, User $user) {
// DIFFERENT LOGIC ?
return $user === $book->getOwner();
}
...
}