Security Symfony2-URL的安全特定HTTP方法

所以，我试图在Symfony2中创建一个RESTful API，但我遇到了一个安全问题

比方说，我想用我的API创建一个新用户。我将按照以下要求行事：

POST/api/v1/users.json HTTP/1.1

所有客户端都可以访问此URL，因此不需要身份验证。但是，假设我想请求所有用户的列表。根据剩下的想法，我应该提出一个GET请求：

GET/api/v1/users.json HTTP/1.1

当然，我不希望每个人都能访问此列表，因此我必须将其保存在Symfony2中。当然，以下操作不起作用，因为它保护了整个URL模式，而不是HTTP方法：

security:
    encoders:
        Symfony\Component\Security\Core\User\User: plaintext

    role_hierarchy:
        ROLE_ADMIN:       ROLE_USER
        ROLE_SUPER_ADMIN: [ROLE_USER, ROLE_ADMIN, ROLE_ALLOWED_TO_SWITCH]

    providers:
        in_memory:
            users:
                user:  { password: userpass, roles: [ 'ROLE_USER' ] }
                admin: { password: adminpass, roles: [ 'ROLE_ADMIN' ] }

    firewalls:
        secured_area:
            pattern:    ^/
            anonymous: ~
            http_basic:
                realm: "Social Portal API"

    access_control:
        - { path: /api/v1/users.json, roles: ROLE_ADMIN }

那么，

access\u control

指令是否有一个秘密参数来保护HTTP方法？或者还有别的办法吗？我已尝试使用JMSSecurityExtraBundle：

/**
 * @Secure(roles="ROLE_ADMIN")
 */
public function listAction()
{
    return new Response('Cubilon\\SocialPortal\\APIBundle\\Controller\\UserController', 200);
}

它应该保护此方法，但它不起作用

如何结合URL模式保护某个HTTP方法

编辑：

因此，正如我在下面的答案中所说，我已经使用JMSSecurityExtraBundle修复了它。我已在Resources/config/services.xml中定义了要保护的服务：

# Resources/config/services.xml
<?xml version="1.0" encoding="utf-8"?>
<services>
    <service id="user_controller" class="Cubilon\SocialPortal\APIBundle\Controller\UserController">
        <tag name="security.secure_service" />
    </service>
</services>

#Resources/config/services.xml

然后我在UserController中相应地保护了每个操作：

# Controller/UserController.php
<?php
namespace Cubilon\SocialPortal\APIBundle\Controller\UserController;

use Symfony\Bundle\FrameworkBundle\Controller\Controller;
use JMS\SecurityExtraBundle\Annotation\Secure;

class UserController extends Controller
{
    public function createAction($_format)
    {
        // ...
    }

    /**
     * @Secure(roles="ROLE_USER, ROLE_ADMIN")
     */
    public function readAction($username, $_format)
    {
        // ...
    }

    /**
     * @Secure(roles="ROLE_USER, ROLE_ADMIN")
     */
    public function updateAction($username, $_format)
    {
        // ...
    }

    /**
     * @Secure(roles="ROLE_USER, ROLE_ADMIN")
     */
    public function deleteAction($username, $_format)
    {
        // ...
    }
}

#Controller/UserController.php
根据，您无法通过方法保护URL

不是最好的方式，但你可以这样做，在行动中：

public function listAction(Request $request)
{
    if ($request->getMethod() == 'GET' && !$this->get('security.context')->isGranted('ROLE_ADMINISTRATOR')) {
        throw $this->createNotFoundException("This page doesn't exist."); // forward a 404, or a message in a json...
    }

    return new Response('Cubilon\\SocialPortal\\APIBundle\\Controller\\UserController', 200);
}

或者您可以创建一个新的，将检查方法和用户角色，就像我前面的示例一样，但扩展到所有操作^^
 我知道现在已经晚了，但是如果有人无意中发现了这个问题，这里的问题是如何确保每个HTTP方法的每个请求的安全（请参阅）：

注意设置规则的顺序很重要。
注意，有两件事：


防火墙（身份验证）
访问控制（授权）

接受的答案显示了如何将访问控制规则限制为HTTP方法，但下面是如何将防火墙规则限制为HTTP方法：

security:
    firewalls:
        secured_area:
            methods: [POST, PUT]

security:
    # ...
    access_control:
        - { path: ^/api/v1/users.json, roles: ROLE_ADMIN, methods: [POST, PUT] }

请注意，此功能是在Symfony 2.5中添加的

如另一个答案所示，下面是如何将访问控制规则限制为HTTP方法的：

security:
    firewalls:
        secured_area:
            methods: [POST, PUT]

security:
    # ...
    access_control:
        - { path: ^/api/v1/users.json, roles: ROLE_ADMIN, methods: [POST, PUT] }

我最终用JMSSecurityExtraBundle修复了它，就像我以前尝试的那样，但我不知怎么的没有读到你也必须指定类。雷蒙：你能详细谈谈你的评论吗？如何指定类？我认为这是正确的答案。防火墙仅处理post、put（删除）方法，并应用相应的防护