个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
24
4
有没有人很了解Symfony认证?
因为每次我尝试在启动后使用新浏览器登录时,我都会收到 SessionUnavailable 异常,文本为“没有可用的 session ,超时或未启用 cookie。”为什么我在启动后使用新浏览器时没有创建新 session ?
我挖得更深一点,发现一个选项“require_previous_session”在:vendor/symfony/symfony/src/Symfony/Component/Security/HTTP/Firewall/AbstractAuthenticationListener.php 中设置为 true,但我不知道是什么在不知道它实际做什么的情况下将其设置为 false。
任何提示都会很棒。
由于角色系统的原因,Security.yml 文件相当大,但请看这里: Security.yml
最佳答案
require_previous_session 设置有点隐晦,但(希望)可以用一些代码来解释。
所以通常情况下,当您设置标准表单登录(如 the docs )时,您会在 security.yml 文件中使用模式(比如 /user)设置防火墙并设置anonymous 选项。现在在您的访问控制中,您将登录页面(比如 /user/login)设置为具有 IS_AUTHENTICATED_ANONYMOUSLY 的角色,如下所示:
firewalls:
default:
pattern: ^/user
anonymous: ~
form_login:
login_path: /user/login
check_path: /user/login_check
access_control:
- { path: ^/user/login, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/user, roles: ROLE_USER }
现在,当有人访问 /user 时会发生什么,他们会被转发到 /user/login; 但是当他们这样做时,他们会为他们创建一个 session (如果他们还没有创建的话)并且他们分配的角色将是anon(您可以在 Symfony 中查看) /user/login 上的工具栏)如上面的 access_control 部分所允许的。
这意味着无论何时有人登录(即向 /user/login_check 发送凭据)他们都已经为他们创建了一个 session 并且 require_previous_session 将为真。
对于大多数人来说,这很好,您不必担心此设置。但是,如果您开始接触安全组件的边缘,例如,创建您自己的身份验证提供程序,或禁用安全性(security: false 对于特定模式,请参阅默认的 dev firewall 作为一个例子)那么你可能会遇到这个问题。
据我所知,在您登录之前没有 session 不会造成安全损失 - 我的生产站点就是这种情况。但是,有一个好处是您可以在登录表单上使用 CSRF token ( cookbook entry ) 以提高安全性,这意味着对用户帐户的攻击要困难得多。
简短版本:如果它能解决您的问题,我不会担心设置该选项。根据您的站点大小,这样做可能会提高性能(如果您可以登录整个站点,但未经身份验证的用户不需要 session ),但在安全方面,您应该做得很好。
编辑上面的示例,将 require_previous_session 设置为 false:
firewalls:
default:
pattern: ^/user
anonymous: ~
form_login:
login_path: /user/login
check_path: /user/login_check
require_previous_session: false
关于php - Symfony session 不可用异常,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32802932/
24
4
0
问题很简单:我正在寻找一种优雅的使用方式 CompletableFuture#exceptionally与 CompletableFuture#supplyAsync 一起.这是行不通的: priva
对于 Web 服务,我们通常使用 maven-jaxb2-plugin 生成 java bean,并在 Spring 中使用 JAXB2 编码。我想知道如何处理 WSDL/XSD 中声明的(SOAP-
这个问题已经有答案了: Array index out of bound behavior (10 个回答) 已关闭 8 年前。 我对下面的 C 代码感到好奇 int main(){
当在类的开头使用上下文和资源初始化 MediaPlayer 对象时,它会抛出 NullPointer 异常,但是当在类的开头声明它时(因此它是 null),然后以相同的方式初始化它在onCreate方
嘿 我尝试将 java 程序连接到 REST API。 使用相同的代码部分,我在 Java 6 中遇到了 Java 异常,并且在 Java 8 中运行良好。 环境相同: 信任 机器 unix 用户 代
我正在尝试使用 Flume 和 Hive 进行 Twitter 分析。为了从 twitter 获取推文,我在 flume.conf 文件中设置了所有必需的参数(consumerKey、consumer
我在 JavaFX 异常方面遇到一些问题。我的项目在我的 Eclipse 中运行,但现在我的 friend 也尝试访问该项目。我们已共享并直接保存到保管箱文件夹中。但他根本无法让它发挥作用。他在控制台
假设我使用 blur() 事件验证了电子邮件 ID,我正在这样做: $('#email').blur(function(){ //make ajax call , check if dupli
我这样做是为了从 C 代码调用非托管函数。 pCallback 是一个函数指针,因此在托管端是一个委托(delegate)。 [DllImport("MyDLL.dll")] public stati
为什么这段代码是正确的: try { } catch(ArrayOutOfBoundsException e) {} 这是错误的: try { } catch(IOException e) {} 这段
我遇到了以下问题:有导出函数的DLL。 代码示例如下:[动态链接库] __declspec(dllexport) int openDevice(int,void**) [应用] 开发者.h: __de
从其他线程,我知道我们不应该在析构函数中抛出异常!但是对于下面的例子,它确实有效。这是否意味着我们只能在一个实例的析构函数中抛出异常?我们应该如何理解这个代码示例! #include using n
为什么需要异常 引出 public static void main(String[
1. Java的异常机制 Throwable类是Java异常类型的顶层父类,一个对象只有是 Throwable 类的(直接或者间接)实例,他才是一个异常对象,才能被异常处理机制识别。JDK中内
我是 Python 的新手,我对某种异常方法的实现有疑问。这是代码(缩写): class OurException(Exception): """User defined Exception"
我已经创建了以下模式来表示用户和一组线程之间的关联,这些线程按他们的最后一条消息排序(用户已经阅读了哪些线程,哪些没有): CREATE TABLE table(user_id bigint, mes
我正在使用 Python 编写一个简单的自动化脚本,它可能会在多个位置引发异常。在他们每个人中,我都想记录一条特定的消息并退出程序。为此,我在捕获异常并处理它(执行特定的日志记录操作等)后引发 Sys
谁能解释一下为什么这会导致错误: let xs = [| "Mary"; "Mungo"; "Midge" |] Array.iter printfn xs 虽然不是这样: Array.iter pr
在我使用 Play! 的网站上,我有一个管理部分。所有 Admin Controller 都有一个 @With 和一个 @Check 注释。 断开连接后,一切正常。连接后,每次加载页面(任何页面,无论
我尝试连接到 azure 表存储并添加一个对象。它在本地主机上工作得很好,但是在我使用的服务器上我得到以下异常及其内部异常: Exception of type 'Microsoft.Wind
我是一名优秀的程序员,十分优秀!