Symfony2>更容易的方法來確定訪問

Question

我正忙於在Symfony2中編寫一個API。其中一個API函數是返回所有用戶（並不罕見）。顯然，在我返回用戶列表之前，我必須確保用戶在返回用戶之前已經登錄並且至少具有ROLE_ADMIN。目前，我做這樣的：

public function getAllUsersAction() 
{ 
    $user = $this->getUser(); 
    if ($user == null) die("Unauthorized"); 
    $userRoles = $user->getRoles(); 
    $bAuthorized = false; 
    foreach ($userRoles as $userRole) 
     if ($userRole->getRole() == "ROLE_ADMIN" || $userRole->getRole() == "ROLE_SUPER_ADMIN") 
      $bAuthorized = true; 
    if ($bAuthorized) return createJsonResponse($this->getDoctrine()->getRepository('PmbLicensingBundle:User')->findAll()); 
    else die("Unauthorized"); 
} 

我的問題很簡單是否有Symfony的一個簡單的方法來確定用戶是否登錄並具有ROLE_ADMIN比我服用，因爲它似乎過程相當笨重。

Answer 1

嘗試：

if (!$this->get('security.context')->isGranted('ROLE_ADMIN')) die('Nope Nope Nope'); 

或者你當然可以按照@ artworkad的意見，並建立一個防火牆會阻止從不斷被稱爲擺在首位的動作。

Answer 2

驗證邏輯不屬於控制器的操作。如果認證失敗或給定角色不足，您的軟件必須檢查用戶是否在訪問操作前重定向響應。

FosUserBundle是一個很棒的工具，可以爲您提供大量的安全和身份驗證。在SO上，已經有答案如何配置FosUserBundle以使用REST，例如

How to restfully login, Symfony2 Security, FOSUserBundle, FOSRestBundle?