您混淆了 ACL 和角色。它们都与权限有关,但它们的处理方式和功能彼此不同。
角色本身并不与特定资源相关联。另一方面,ACL 是,并且该链接是持久的。用户可以通过使用选民与资源绑定(或看起来如此)。
https://symfony.com/doc/current/security/voters.html#creating-the-custom-voter
用户特定的 ACL,例如如果用户具有特定访问权限定义的 PER 资源,您将需要更多的东西。
看看 SF 食谱:
https://symfony.com/doc/current/cookbook/security/acl.html
https://symfony.com/doc/current/cookbook/security/acl_advanced.html
所有者/主人/操作者可以
所有资源(使用角色完成)
ROLE_USER 可以
OWN RESOURCES(这部分是用 ACL 或 voter 完成的)
选民实际上是在创建您自己的 ACL,因此除非您明确地创建一个,否则没有永久权限(此时我会使用 ACL)。 ACL 的用例与选民的用例基本相同,选择一个还是另一个是一个复杂的问题。
内置 ACL 信息来自数据库,但根据 SF 文档:“它可以包含数千万条 [记录] 而不会显着影响性能。”
非常简单?可以使用选民。
如果您不想为资源维护自己的规则(投票者)并且不介意 ACL 的复杂性,或者喜欢持久化 + 缓存权限,您可以改用 ACL。
请注意,创建资源时ACL的复杂度一般如下(虽然这可以放在服务中):
$aclProvider = $this->get('security.acl.provider');
$objectIdentity = ObjectIdentity::fromDomainObject($resource);
$acl = $aclProvider->createAcl($objectIdentity);
$tokenStorage = $this->get('security.token_storage');
$user = $tokenStorage->getToken()->getUser();
$securityIdentity = UserSecurityIdentity::fromAccount($user);
$acl->insertObjectAce($securityIdentity, MaskBuilder::MASK_OWNER);
$aclProvider->updateAcl($acl);
对于前面的场景,您可以使用 ROLE_USER 来确保经过身份验证的用户实际上是实际用户,而不是 AUTHENTICATED_ANONYMOUSLY 和投票者或 ACL 来确保他们只能编辑自己的资源,如果他们的 ROLE是 ROLE_ADMIN。 (假设用户在注册后获得 ROLE_USER)
security.yml 中的示例
# This could be done via @Secure(roles="ROLE_USER")
access_control:
- { path: ^/my/api/endpoint, role: IS_USER, requires_channel: https }
- { path: ^/my/admin/api/endpoint, role: IS_ADMIN, requires_channel: https }
controller::action 中的示例
// check for edit access
if (
false === $authorizationChecker->isGranted('EDIT', $resource) &&
false === $this->get('security.context')->isGranted('ROLE_ADMIN')
) {
throw new AccessDeniedException();
}
这是 StackOverflow 中的另一个 QA,它也提供了一些示例:
Symfony 2 ACL and Role Hierarchy
你也可以对这些东西使用注解:
https://symfony.com/doc/current/best_practices/security.html#authorization-i-e-denying-access(它显示了一个与另一个的工作方式)。
如果其中任何部分需要进一步解释,请告诉我。
谢谢。