你的问题让我思考。使用 symfony2 安全性时,您遇到一个问题:要么会话有效(这意味着用户被验证为匿名用户或真实用户),要么会话无效。
因此,考虑到这一点,我认为您的方法无法按您希望的方式工作,因为假设 user1 登录并正在使用 app1。现在他切换到 app2 并且不在数据库中,这意味着他不应该具有访问权限。现在做什么?使会话无效?这意味着他必须在 app1 中再次登录。
如果您要使用子域,则可以将会话绑定到该子域,但这意味着用户必须为每个应用程序重新登录。
还有另一个问题:似乎 symfony2 将用户的 id 存储到会话中,因此如果无法访问 app1 数据库,您无法知道 app1 数据库中用户的密码和角色是什么,也无法检查它。
我想 symfony2 的安全性根本就不是为了这种行为而设计的。它期望会话与整个应用程序中的同一用户相关。
我不认为 symfony2 是这里的大问题但总体处理是用 php.让我们想一下如果没有 symfony2 我会建议什么:
当用户登录时,将用户和角色存储到会话中的特定数组中,例如:
user.app1 = array('username','password',array('role1','role2'))
现在,在对 app1 的每个请求中,我都会检查 user.app1 是否在会话中并从那里读取角色。如果没有,我会检查 user.app2、user.app3 等。如果找不到,请重定向到登录。如果找到一个,我将查询数据库以查找具有相同用户名的用户并比较其他值。如果匹配,则将所有内容存储到数据库中。如果没有,请检查会话中的下一个用户。
我查了一下 symfony安全参考 http://symfony.com/doc/current/reference/configuration/security.html,并且您有一些扩展点,所以也许您可以从那里开始工作。这form_login
got a success_handler
,因此应按照上面的建议将数组添加到会话中。防火墙本身有一些参数,例如request_matcher
and entry_point
它可以用来添加额外的检查,就像我上面提到的那样。所有这些都被定义为服务,因此注入实体管理器和安全上下文应该没有问题。
我个人认为这里的设计本身并不是最佳的,您可能最好重构代码以将一个用户用于所有应用程序和不同的角色(请记住您可以定义许多实体管理器并使用不同的数据库),甚至整合所有数据库和将所有内容存储到一个数据库中,使用 acl 来防止用户查看“错误”内容。