在捆綁配置

Question

定義角色我對角色的一些問題，我想明白了很久：

我們有一些捆綁，我們在幾個項目中使用。我們希望在bundle配置中定義角色，這樣我們就不會將角色複製到security.yml中的role_hierarchy中。有沒有乾淨的方法來做到這一點？

我的第一個想法是將其導入role_hierarchy這樣的：

role_hierarchy: 
    ROLE_ADMIN:        ROLE_USER, ROLE_TRANSLATOR 
    ROLE_SUPER_ADMIN:      ROLE_ADMIN 
    ROLE_NOT_APPROVED_USER:     ROLE_USER 
    ROLE_TRANSLATOR:      ROLE_USER 
    "%base_bundle.role.hierarchy%" 

當然，這是行不通的。有沒有可能這樣做（在yaml中合併數組）？

我的另一個想法是將角色存儲在數據庫中，但在我看來這是過度殺毒，因爲我們沒有動態角色。一切都是靜態的。

是否有任何解決方法來實現我嘗試做的事情？或者將它定義在一個包中是一個好主意？

2.我用角色權限（ROLE_POST_EDIT，ROLE_POST_DELETE ...）和選民拒絕或批准對資源的訪問。所以最後有很多角色。將角色與權限混合使用是一個好主意嗎？如果不是最佳做法是什麼？

編輯：我覺得ROLE_POST_EDIT和ROLE_USER或ROLE_ADMIN之間的差異。用戶有ROLE_USER，因爲他是用戶。但用戶有「權限ROLE_EDIT_POST」才能編輯帖子。在我看來，有一個區別。無論如何，我應該關心這種差異還是有其他的做法如何做？

Answer 1

1. 我們在幾個項目中使用了一些捆綁包。我們希望在bundle config中定義角色，這樣我們就不會將角色複製到security.yml中的role_hierarchy中。有沒有乾淨的方法來做到這一點？

可以使用另一部分的Prepended Extensions到 「前面加上」 配置：

class AcmeHelloExtension extends Extension implements PrependExtensionInterface 
{ 
    // ... 

    public function prepend(ContainerBuilder $container) 
    { 
     $container->prependExtensionConfig('security', [ 
      'role_hierarchy' => [ 
       'ROLE_ADMIN' => ... 
       ... 
      ], 
     ]); 
    } 
} 

我用角色的權限（ROLE_POST_EDIT，ROLE_POST_DELETE。 ..）和選民拒絕或批准訪問資源。所以最後有很多角色。將角色與權限混合使用是一個好主意嗎？如果不是最佳做法是什麼？

小misconfusion在這裏：你role_hierarchy定義的角色不與您傳遞給isGranted()的事情。您將屬性傳遞給isGranted()。不幸的是，對於RoleHierarchyVoter，symfony決定將屬性similair設置爲角色名稱（也就是說，如果角色名稱以ROLE_開頭）。

選民在權限或屬性被調用時進行投票。因此，在isGranted()中擁有許多權限是非常有效的。

但是，我建議不要使用ROLE_*來啓動它們。這些屬性由RoleVoter/RoleHierarchyVoter檢查。將它們命名爲POST_EDIT，POST_DELETE：

if ($this->isGranted('POST_EDIT', $post)) { 
    // ... 
}