Symfony 身份验证提供程序

Question

我正在使用fr3d/ldap-bundle。如果他们不在数据库中，它会让我登录并从 AD 导入用户。没关系。

尽管有 AD 用户，但我也有本地用户，它们在我的数据库中。有一个特殊的列 authType 说明了用户应该如何被认证——通过 LDAP 或本机（ FOS ）。我已经创建了自己的用户提供程序：

public function chooseProviderForUsername($username)
{
    if($user->getAuthType() == User::LOGIN_LDAP) {
         $this->properProvider = $this->ldapUserProvider;
     } elseif($user->getAuthType() == User::LOGIN_NATIVE) {
         $this->properProvider = $this->fosUserProvider;
     } else {
         throw new InvalidArgumentException('Error');
     }
}

public function loadUserByUsername($username)
{
    return $this->chooseProviderForUsername($username)->loadUserByUsername($username);
}

问题：链供应商不是一个选项 - 它允许用户使用他的 LDAP 密码和他的本地密码登录！这是一个很大的安全问题。

是否有办法通过不同的身份验证提供程序登录用户，具体取决于 db 字段？

编辑：

我的 security.yml：

 providers:
        fos_userbundle:
            id: fos_user.user_provider.username
        appbundle_user_provider:
            id: appbundle.user_provider
        fr3d_ldapbundle:
            id: fr3d_ldap.security.user.provider

    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false
        admin:
            pattern: ^/admin.*
            context: user
            fr3d_ldap:  ~
            form_login:
                provider: appbundle_user_provider
                csrf_provider: security.csrf.token_manager
                always_use_default_target_path: true
                default_target_path: admin_main
                login_path: /admin/login
                check_path: /admin/login_check
            logout:
                path:   /admin/logout
                target: /admin/login
            anonymous:    true

这里是security.yml。 fr3d_ldap: ~ 这一行启用了 ldap 包，它授权 ldap 用户并将他们保存到我的数据库中。没有它我无法授权他们，可能我必须编写自定义 AuthenticationProvider。

Answer 1

我能想到的最简洁的方法是创建自己的ChainProvider class，它只允许使用一个提供商和use the Dependency Injection Container to use yours 登录。

您只需要覆盖您的包配置文件中的 security.user.provider.chain.clas 参数定义。

Answer 2

好的，非常简短的回答，但我认为目前 Symfony 正在任何旧用户提供程序中搜索用户，而不是您希望为特定用户搜索的用户（这解释了使用两个密码登录的整个过程）。解决方案应该是让AppBundleUserProvider 实现UserProviderInterface，从security.yml 中删除其他用户提供程序，然后确保AppBundleUserProvider 的第一件事是找出该用户需要哪个用户提供程序，然后模仿它对于UserProviderInterface 中的每个方法。您可以根据用户名设置$this->realUP，然后将每个方法设置为只返回$this->realUP->someMethod()。

Answer 3

您的方法看起来不错，但您应该检查方法的逻辑。 首先是这个：

public function chooseProviderForUsername($username)
{
    if($user->getAuthType() == User::LOGIN_LDAP) {
         $this->properProvider = $this->ldapUserProvider;
     } elseif($user->getAuthType() == User::LOGIN_NATIVE) {
         $this->properProvider = $this->fosUserProvider;
     } else {
         throw new InvalidArgumentException('Error');
     }
}

您将$username 作为参数传递给此方法，然后使用$user 对象，该对象在当前上下文中似乎未定义。 其次：

public function loadUserByUsername($username)
{
    return $this->chooseProviderForUsername($username)->loadUserByUsername($username);
}

所以chooseProviderForUsername 方法实际上不返回任何值，你不能以这种方式链接它。

我希望重构这些问题能让您的提供程序正常工作。

Answer 4

我对 ldap 不是很熟悉，但我建议尝试完全手动登录

  $token = new UsernamePasswordToken($user, null, "firewallname", $user->getRoles());
  $securityContext = $this->container->get('security.context');
  $securityContext->setToken($token);

然后您可以自己手动进行检查，并根据检查结果决定在验证之前如何验证用户。例如，在执行此登录代码或其他任何内容之前通过用户名和密码运行查询，具体取决于您想要的 db 字段。