我有一个动作,通过sfGuard保护POST数据。这意味着,如果用户没有登录,则POST数据将被发送到登录表单。通常,这不是问题,用户继续登录,并且必须再次提交数据。
不幸的是,登录表单似乎正在使用POST数据,就好像它是与表单本身一起提交的一样。这意味着它会抱怨缺少所需的用户名和密码字段,并抱怨缺少CSRF令牌。最后一个问题在提交表单后不会消失,这意味着用户无论如何都无法登录。
如果用户没有登录,则不应该向用户显示表单,但是用户可能在表单仍然打开的情况下注销。所以我要求保持接口的水密性和无错误。
这是sfGuard的缺点吗?可以避免吗?还是我做错了什么?
说明一下,路由是这样的:
add_subgroup:
url: /group/:id/add
class: sfPropelRoute
options:
model: Group
type: object
param: { module: subgroups, action: create }
requirements:
group_id: 'd+
sf_method: [post]
用于提交请求的表单如下:
<form action="<?php echo url_for('add_subgroup', $group) ?>" method="post">
<input type="hidden" name="group_id" value="<?php echo $group->getId() ?>" />
<input type="text" name="subgroup_id" />
<input type="submit" class="button" value="Add" />
</form>
这是sfGuard的一个缺点,因为登录操作将检查POST请求,如果是,则绑定表单。
来自BasesfGuardActions.class.php中的代码:
if ($request->isMethod('post'))
{
$this->form->bind($request->getParameter('signin'));
我个人不太喜欢symfony中动作之间的转发,就像在这个例子中,我认为重定向比转发更合适。这也解决了您的问题,因为这将导致一个新的GET请求。您可以通过扩展sfGuardBasicSecurityFilter来实现此行为。
class mySecurityFilter extends sfGuardBasicSecurityFilter
{
protected function forwardToLoginAction()
{
$context = $this->getContext();
// If you want to redirect back to the original URI (note: original POST data will be lost)
$context->getUser()->setReferer($context->getRequest()->getUri());
$url = sfConfig::get('sf_login_module') . '/' . sfConfig::get('sf_login_action');
$context->getController()->redirect($url);
throw new sfStopException();
}
}
现在在app/myapp/config/filters.yml
security:
class: mySecurityFilter
这可能是因为您将验证登录数据的代码放在了相同的操作中(可能是通过检查请求是否为post)。
然而,你可以把一个动作分成两个动作。一个用于显示登录表单,另一个用于验证用户的登录数据。并将secure_action设置为显示登录表单的动作