我在服务器上有一个通过SSO进行身份验证的用户。我可以用在我的应用程序中获得它
$user = $request->server->getHeaders();
var_dump($user['X_REMOTE_USER']);
我有一个SOAP web服务来检索更多关于用户的信息,比如他在应用程序上的权限。
我想知道什么是保护我的应用程序安全的好方法?
例如:/admin如果用户获得管理员角色
我必须在symfony上对我的用户进行身份验证吗?如果是,我如何在symfony上识别我的用户?(我们不想要登录表格)
我已经看到我可以使用userProvider。但我不知道它如何与已经通过服务器验证的用户一起工作。
谢谢你的帮助,当做
您可以在ACL的security.yml文件中设置角色类似于:
# security.yml
security:
access_control:
# require ROLE_ADMIN for /admin*
- { path: ^/admin, roles: ROLE_ADMIN }
这里有更多信息。http://symfony.com/doc/current/book/security.html
但对于身份验证,您需要这样的东西:https://stackoverflow.com/a/25984933/3758361,或者您可以尝试使用此捆绑包https://github.com/BeSimple/BeSimpleSsoAuthBundle